つながる時代のセキュリティ、チップと組み込みOSの連携で守る：組み込みソフトウェア技術（1/4 ページ）

　エレクトロニクスの世界は今、高度化が急速に進展している。それを後押しする要因は、さまざまな機器が通信によってインターネット上のサービスと連携し、高いインテリジェンスを提供するM2M（Machine to Machine）の興隆や、マルチメディアのさらなる普及、高額金融取引などの登場といった状況だ。

　このような高度化は、基本的には好ましいものである。ただ、その半面、悪意を持ったクラッカーにネットワークへの攻撃衝動をもたらし、彼らの絶好の標的になり得るというのも事実だ。従って、現代のエレクトロニクス設計者は、セキュリティに対する要件をきちんと把握し、それを脅かす攻撃に備えることが求められるだろう。

　そこで本稿では、ハードウェアとソフトウェアの信頼基盤（いわゆるroots of trust）、データストレージの保護、およびセキュアなネットワーク接続に焦点を合わせ、ネットワーク接続機能を備えた組み込み機器におけるセキュリティの実践的な実装方法について解説する。

セキュリティを脅かすトレンド

　自動車に搭載されたエレクトロニクスシステムで、最も初期の例として挙げられるのは、1978年のCadillac Seville（キャデラック・セビル）が採用したトリップコンピュータである。Motorolaのマイクロプロセッサ「6802」を使っており、メモリはRAMが128バイト、ROMが2Kバイトだった。ソースコードを印刷しても、わずか数枚の用紙で済むほどである。

　それから30年以上がたった今では、最低価格帯の自動車でさえ少なくとも十数個のマイコンを搭載しており、高級車ならその数は100個にも上る。インフォテインメントシステムがWindowsやLinuxといった複雑で高度なOSの上で稼働するなど、そのアプリケーションソフトウェアのコードが1億行を超えることも珍しくない。

　このようなエレクトロニクスの革新は社会を便利にしてきたが、一方でセキュリティ被害をもたらす大きな原因になっているという側面もある。エレクトロニクス製品の品質や安全性、あるいはセキュリティの面での事故に関連する多くの問題点は、システムが複雑化しすぎて効果的な管理が難しくなっていることに起因している。

　エレクトロニクスシステムの動向で他に明確に見てとれるのは、ネットワーク接続機能を強化することで、遠隔地からの管理や、ソフトウェアのフィールドにおける更新などを可能にする取り組みが活発化していることだろう。例えば、General Motors（GM）は2010年に、自動車のロック（施錠）やエンジン始動をスマートフォンで操作する機能を導入した。

　ところが皮肉にも、GMがその機能を発表する直前に、そのような車載エレクトロニクスの脆弱性につけこんでブレーキやエンジンスロットリングなどのクリティカルなシステムを第三者が勝手に変更する方法を、大学の研究チームが実証し、発表していたのである^＊1）。現在、世の中の研究者たちはWAN（Wide Area Network：広域ネットワーク）を介した通信を利用する攻撃手法について、可能性の実証に取り組んでいるところだ。

　商取引や、社会にとって影響の大きい各種インフラ、生命にかかわるシステムなどが、エレクトロニクスへの依存をますます強めており、資金のある確信的攻撃者にとっては、それらが絶好の標的になってしまう。核反応炉や石油生成設備、その他の重要基幹施設を管理する産業用コントロールシステムは、広範囲にわたる被害を受ける危険性がある。

　Siemensの原子力プラントのプロセス制御システムに侵入した「Stuxnet」と呼ばれるウイルスは、プロセス制御用エレクトロニクスシステムを直接の標的とした初のマルウェアだとされている。このStuxnetは、現代のエレクトロニクス分野のセキュリティ攻撃が驚くほどに高度化していることを示した事例であり、エレクトロニクス設計者がセキュリティ技術を磨くことの重要性を強く訴えている。

プロセッサ統合もセキュリティホールに

　セキュリティに大きな影響を与える技術動向はこれだけではない。他に注目すべきトレンドとして、“プロセッサの統合”が挙げられる。

　再び自動車を例にとろう。最近の自動車では1台当たりのエレクトロニクス部品の使用量が急増している。そのためメーカーは、製造に要するコストや部品が専有するスペースが大きくなったり、市場投入に要する期間が長くなったりするという課題に直面した。そこで、さまざまな機能を自動車に取り込むというアプリケーション領域のトレンドとは逆に、その実現を担うエレクトロニクスの領域では、それらの機能をより少数の部品にまとめるという流れが生じている。

　プロセッサの統合を推進するには、各部品が予期しない状態で相互干渉したり、それによって信頼性のリスクが高まったりしないように、適切なシステムアーキテクチャを採用しなければならない。例えば、自動車のシステム設計者は、インフォテインメント用のヘッドユニットと後方監視カメラおよびADAS（Advanced Driver Assistance System、先進運転支援システム）のプロセッサ統合を進めている。後方監視カメラは、センタースタック用コンピュータが備えるオーディオやビデオの機能を共有できるので、プロセッサ統合の対象として好適だ。しかし、それは安全にとってクリティカルな機能でもある（図1）。

図1　次世代車載エレクトロニクス機器では、高度なマルチメディアOSと、セーフティクリティカルなリアルタイムアプリケーションという、従来は個別のプロセッサチップが担っていた2つの要素を、単一のプロセッサチップでサポートすることになる。

　ここまでに挙げた複数のトレンドから、次のことが言える。まず、設計者はセキュリティに関する技術を身につけることが重要である。さらに、複雑なシステムの管理とセキュリティの保護を実現できるセキュリティ機能を設計対象に組み込むことが欠かせない。