アプリケーション
セキュリティ技術
「セキュリティ」という言葉も、だいぶ広まってきました。一般的には「セキュリティ」というと、メディアでも多くとりあげられる情報漏えいが思い浮かべられることが多いようですが、それだけではありません。また、「セキュリティ」はインターネットやPC上だけのものでしょうか?昨今、いろいろな所で、携帯電話でもゲームでもMobileプレーヤーでも、様々な情報が扱われ、ワイヤレスで空間を情報が飛び交い、それらの情報や権利を保護するために、多様な分野にセキュリティの必要性が広がってきています。
そこで、今回はセキュリティの技術についてご紹介します。
そもそも「セキュリティ」って何?
「セキュリティ」という言葉は、国際基準であるISO27001:2005では、「情報の機密性、完全性及び可用性を維持すること」、さらに「真正性、責任追跡性、否認防止及び信頼性のような特性を含めてもよい」とされています。
- 真正性(Authenticity):利用者、プロセス、システム及び情報又は資源の身元が主張どおりであることを保証すること
- 責任追跡性(Accountability):主体の行為からその主体にだけ至る形跡をたどれることを保証すること
- 信頼性(Reliability):意図した動作と結果に整合性があること
「セキュリティ」って何するの?
まだ、判りにくいかもしれませんね。セキュリティ侵害の例で、発生のメカニズムを考えてみます。
これは(少し前に話題になった)「機密性」に関するセキュリティ侵害の1つの例です。この事例の場合は、スキミング等で偽造カードを作り、そのカードの暗証番号を手に入れる、という2段階によってセキュリティ侵害が発生しており、このような事件の発生により、暗証番号変更の依頼が通知されたり、銀行などのカードがICカードになったり、指紋認証などが取り入れられたり、と、いろいろな対策がとられました。
情報セキュリティの世界で、セキュリティ侵害が発生する可能性を「リスク」と言います。その「リスク」の大きさを、主に「資産価値」「脅威」「脆弱性」の3つの要素で考えます。
一般的に、「資産価値」、「脅威」の発生頻度、対策できていない弱さである「脆弱性」のそれぞれが多いほど、「リスク」は増加するという関係が言えます。
“カードの暗証番号盗難”の事例における「脅威」は“暗証番号を盗んで不正に使おう”とする人が居ること、「脆弱性」は“簡単に推測される簡単な暗証番号だったこと”や“暗証番号だけで不正に使えてしまうこと”や“限度額が設定されておらず大きな損害を許していたこと”など、複数の弱さが考えられます。
では、どうやって「セキュリティ」を保てばよいのでしょうか?
「リスク」を低くしてあげればよいのですが、「リスク」を考える3つの要素のうち、現実的には、「資産価値」は変わりません。大事なものは大事です。「脅威」も、外部要因であることが多いですから、なかなかコントロールはできません。「脆弱性」、すなわち、脅威によって影響を受け得る資産の弱さを無くしてしまおう!というのが、セキュリティを保つための対策の考え方です。
“カードの暗証番号盗難”の事例における「脅威(暗証番号の盗難による不正使用)」に関係がある「脆弱性」は複数あります。
想定される様々な「脆弱性」を検討し、その弱さを克服するための「対策」を考え、その対策の実現のために考えられる選択肢の中から、新たな脆弱性の発生可能性、メリット・デメリット、費用効果などを考慮して、「具体化」した対策を選びます。
この「具体化」の部分は、守りたい資産の「価値」によって必要な費用効果が違いますし、世の中の技術動向によっても得られる効果が変化していきますから、その効果が何年先まで維持される必要があるのか、なども考慮しなければいけません。
このように、対策を考え(脆弱性をコントロールし)リスクの発生を抑えることによって、“「資産」を守る“。これがセキュリティの目的です。
組込みセキュリティの実装の検討
脅威、脆弱性と対策の検討で、特定の計算/分析法は決められていません。よく使われる欠陥仮定法(FHM : Flaw Hypothesis Method)では、以下の4フェーズで検討されます。
1. 想定される脆弱性のリスト
過去の開発経験や開発する製品と同タイプの製品の公開された脆弱性情報を参考に、一般的にWebや資料などで公開された脆弱性及び攻撃方法に対する対策漏れの観点でリストアップし、開発製品の構成要素(ハードウェア、ミドルウェア、OS、ライブラリ、アプリケーション、ネットワークプロトコルなど)別にキーワードで検索してリストアップし、網羅性を確保します。
2.想定された脆弱性の検証
リストアップした脆弱性が開発する製品に存在するかを確認します。
3.脆弱性の一般化
開発する製品に関係すると確認された脆弱性を一般化し、他のサブシステム/モジュールなどに類似の脆弱性がないか確認します。
4.脆弱性の除去
脆弱性を実際に除去します(構成変更、コード修正、設計文書修正、マニュアル修正など)。
組込みセキュリティの「耐タンパー」技術
様々な情報を扱い、その情報をワイヤレスで空間を飛び交わすようになったPC、携帯電話、ゲーム、Mobileプレーヤー、カーナビ、家電などの機器は、私達が作っている半導体や組込みソフトウェアで構成されています。その半導体や組込みソフトウェアの部品レベルでも、「セキュリティ」の必要性が高まってきており、組込みセキュリティの技術を「耐タンパー」という言葉で呼んでいます。
「タンパー(Tamper)」とは、許可なくいじる、不正に変更する、改ざんする、〔食品などに〕異物・毒物を混入する、干渉するなどの意味で使われます。これに“耐える”ということですから、「耐タンパー(性)」というのは、不正なアクセスを防ぐ能力のことを意味します。
ここでは、全ての技術を詳細に説明することはできませんが、代表的な技術のほんの一部とそれに関係する活動をご紹介します。
物理的攻撃からの保護
| 脅威 |
対策例 |
| メモリ上のデータを、顕微鏡を利用しビジュアルに読み出す |
ビジュアルな解析をさせないように、電気的読み書きを行うような不揮発性メモリを搭載する。 |
| 紫外線(UV)を照射し不揮発性メモリ上のデータを消去する |
UV照射を監視し、検知された場合のメモリへのデータ書き込みを禁止する。 |
| 制御信号やバスへの物理的プロービングによりメモリデータを読み出す |
内部通信の暗号化を行う。 |
内部処理推定の防止
| 脅威 |
対策例 |
| 外部的に電源端子をプロービングし電力を観測する |
解析を考慮したタイミング設計やSoftware/Hardware処理の最適化を行い、解読を困難にする。 |
| システムへの入力情報、出力情報から統計的に内部の処理を推測する |
システム外の入出力情報を必要可能な限り少なくする。
内部処理の推測を困難にする仕組みを適用する。 |
| メモリ上の不正コード実行により秘密情報を読み出す |
不正なコードを実行させない仕組みを搭載する。 |
物理的な異常環境・状態における安全の維持
| 脅威 |
対策例 |
| 電源電圧を変動させることによりCPUを誤動作させる |
電源電圧変動を監視し、異常検知時の誤動作を未然に防ぐ。 |
| 外部クロック周波数を変動させることによりCPUを誤動作させる |
周波数変動を監視し、異常検知時の誤動作を未然に防ぐ。 |
| 温度を変動させることによりCPUを誤動作させる |
温度変動を監視し、異常検知時の誤動作を未然に防ぐ。 |
「耐タンパー性」の評価技術
色々な対策が考えられますが、例えば、“盗聴”や“不正な読み出し”という脅威の発生を防ぐために、“暗号化”の対策を行えば十分に安全でしょうか?
大事な「資産」があれば、それを狙う「盗難」「盗聴」「なりすまし」「改ざん」などの様々な「脅威」も多くなります。守りたい「資産の価値」が高いほど、狙う価値のある資産であるという見方もでき、高い攻撃能力をもった攻撃者(Tamper)への対抗が必要になります。
例えば、共通鍵暗号方式の代表例であったDESは、1970年代に米国政府標準の暗号として認定され、幅広く普及していましたが、1999年にはDESで暗号化した1つのメッセージが22時間強で解読され、2005年には米国政府標準の暗号リストからは外される事が公表されました。
そこで、大事な「資産」を保護するための、具体化したセキュリティ対策が、十分な強度を持っているかどうかを評価する必要もあります。
暗号を組み込んだ製品の安全性を実現するには、この組込みの段階で「脆弱性」が作りこまれていないかを確認する必要があり、適切な暗号実装を確認する仕組みとして、アメリカ・カナダでは、CMVPという試験・認証制度が実施されています。日本でも、独立行政法人情報処理推進機構(IPA)を中心に、2007年4月から「暗号モジュール試験および認証制度」の試行が始まっています。
2003年度から暗号技術や実装に関する様々な委員会・WGが設置され、耐タンパー性の標準化が進められています。
以上
|
ご利用にあたって 
