DigiKeyがAnalog Devices、STMicroelectronics、NXP Semiconductors、Microchip Technologyとともに、サイバー攻撃に強い組み込みシステムをどのように構築するかをテーマに議論した。組み込み機器は用途が広く、運用期間も長くなりやすい一方で、脅威の変化に追随する設計と運用が課題になりやすい。本稿は、同議論で示された観点を基に、組み込みシステムに求められるセキュリティの考え方を整理する。
議論の中心は、単一の機能や部品だけで安全性を担保するのではなく、設計段階から複数の層で対策を積み上げる必要性である。組み込みシステムでは、ハードウェア、ファームウェア、ソフトウェア、さらに製造や出荷、運用といったライフサイクル全体が攻撃対象になり得る。
そのため、信頼の起点をどこに置くか、更新をどう確実に行うか、想定外の改ざんや不正なコード実行をどう抑止するかといった論点が重要になる。特に、製品が市場に出た後も継続して安全性を維持するには、開発時の設計だけでなく、運用を見据えた仕組みが欠かせないという位置付けである。
組み込み機器は産業機器や社会インフラ、民生機器など幅広い領域で使われるため、ひとたび脆弱性や不正侵入が発生した場合の影響が機器単体にとどまらない可能性がある。開発側には、セキュリティを後付けにせず、初期設計から要件として組み込み、更新や保守まで含めて計画する姿勢が求められる。
対策としては、信頼できる起動や更新の考え方、改ざん検知や権限管理など、複数の防御策を組み合わせて全体として強度を高めることが要点となる。
DigiKeyと半導体メーカーの議論は、組み込みシステムのセキュリティを機能単位で捉えるのではなく、ライフサイクル全体の設計問題として扱う必要があることを示した。攻撃手法が変化し続ける前提に立ち、開発から運用まで一貫した視点で「維持できるセキュリティ」を組み立てることが重要である。
「サイバー攻撃に強い」組み込みシステム、どう構築する?:DigiKeyが半導体メーカーと議論(1/2 ページ) – EDN Japan
