IoTアプリケーションにおけるサイバーセキュリティ問題への対応

モノのインターネットデバイスは悪意のある攻撃の標的となっている 

IoTデバイスは私たちの生活のさまざまな側面に浸透しており、時間の経過とともに、消費者と企業の両方が日常生活と仕事の利便性を高めるためにIoT製品を徐々に採用してきました。しかし、従来はコンピューターを標的としていたハッカーや悪意のある行為者は、現在、IoTデバイスに焦点を移しつつあります。IoTデバイスのセキュリティ強化は、製品開発者、政府、消費者にとっての懸念事項となっています。 

IoT攻撃は通常、インターネット経由でデバイスを標的とするリモート攻撃と、攻撃者が標的のデバイスに物理的に近い場所で攻撃するローカル攻撃の2つの方法で発生します。リモートまたは論理的な攻撃はソフトウェアをターゲットとし、ローカルまたは物理的な攻撃はデバイス自体のチップをターゲットとします。過去には、ネットワーク攻撃のほとんどは個人によってリモートで開始されていましたが、近年では、組織的な取り組みが多額の金額を狙った攻撃やランサムウェアに重点を置き、数百ドルを狙った個人を標的とする攻撃から、企業を攻撃して数百万ドルを脅し取る攻撃へと移行しています。 

さらに、ハッカーが企業のネットワーク システムにアクセスすると、既存のツールを使用して侵入し、防御システムが侵害される可能性のある特定の時間に攻撃をスケジュールし、企業の対応時間を遅らせます。もう1つの傾向は、攻撃がリモートからローカルに移行していることです。これは、企業ネットワークのセキュリティ保護を担当する担当者がクラウド中心の攻撃に対する防御に優れた成果を上げ、攻撃者がインターネットからITインフラストラクチャに侵入することがより困難になっていることが一因です。 

企業におけるネットワーク セキュリティの意識が高まるにつれ、犯罪者はピボット攻撃に目を向けるようになりました。ピボット攻撃は、エンドノードデバイスをターゲットとし、それを悪用して上位レベルのインフラストラクチャを攻撃することを目的としています。エンドノードデバイスは従来ターゲットとは見なされておらず、組み込みのセキュリティが弱い場合が多いため、IoTや産業用IoTの台頭と相まって、基盤となるスマートデバイスの数は大幅に増加しています。これにより、これらのIoTおよび産業用IoTデバイスは市場で簡単に入手できるようになり、ハッカーは脆弱性や侵入ポイントを探すのに時間を費やすことができるようになり、これらのIoTデバイスへの侵入のリスクが高まります。 

ランサムウェア攻撃の焦点はITセンターからOTセンターに移行している 

ランサムウェアは標的がさらに絞られるようになっただけでなく、その焦点も情報技術 (IT) から運用技術 (OT) へと移りつつあります。この変化は、ビルオートメーション、ファクトリーオートメーション、ビル制御に関連するアプリケーションなど、ビジネスを運営する主な目的に対するOTの関連性によるものです。こうした種類の業務における事業継続の中断は、重大な経済的損失につながる可能性があります。攻撃者は、これらの操作によって企業に多大な損害が発生する可能性があることを認識しており、身代金を支払おうとしています。 

利益を上げる能力は、OTをターゲットとする焦点の移行を推進していますが、それが唯一の要因ではありません。製造システム、ロボット、火災警報システム、アクセス制御システムなどの運用デバイスには、コスト上の理由からセキュリティが組み込まれていないことが多いため、導入の容易さも重要な理由です。IoTと産業用IoTのトレンドにより、以前は存在しなかったデバイスがシステムに導入されるようになっています。特に産業用IoTでは、安価なセンサーが工場の現場に設置され、データがクラウドに送信されることがよくあります。これらのデバイスは、クラス最高のセキュリティ機能に重点を置くリソースが不足している非常に小規模な企業やスタートアップ企業から提供される場合があります。 

各センサーは新たな攻撃ベクトルを導入し、重要なシステムに障害を引き起こす手段となり、ダウンタイムを利用してサービスの復旧のために多額の身代金を要求する可能性があります。世界中の安価なセンサーはサプライチェーンを通じてより入手しやすくなり、設備の整ったハッカー研究室で研究され、活用されるようになりました。たとえば、ニューヨークの金融街にある高層オフィスビルの火災警報システムが侵害されたというシナリオを考えてみましょう。警報システムが作動し、300階建てのビルから人々が避難することになるかもしれない。同じ建物のアクセス制御システムも侵害されたらどうなるでしょうか?戦略的に配置されたブレーカーは、都市全体を暗闇に陥れる可能性さえあります。このような状況で犯罪者がどれだけの身代金を要求するか想像してみてください。1分あたりの損失額を考えると、10億ドルの身代金を要求するのも不可能なシナリオではありません。

サイバーセキュリティ基準に対する政府の関心は着実に高まっている

米国カリフォルニア州政府は、サイバーセキュリティの要求に応えて、カリフォルニア州消費者プライバシー法を制定し、2020年1月1日に発効しました。この法律では、デバイスの性質と機能、およびデバイスによって収集、格納、または送信される情報に適用される「合理的な」セキュリティ機能を組み込むことが義務付けられています。これらの機能の設計は、デバイスとそれに含まれるすべての情報を不正アクセス、破壊、使用、変更、または開示から保護できるものでなければなりません。また、製造される各デバイスに事前にプログラムされたパスワードは一意である必要があります。本質的には、法律ではこれらのデバイスがハッキングに耐えられることを要求しています。米国の他の多くの州でも同様の法律が導入されており、米国人口の約30% に影響を与えています。

米国では、国立標準技術研究所 (NIST) が、何が「合理的」であるかを判断する統治機関として機能しています。今後もさらに多くの立法や裁判例が法律の指針となることが予想されます。NISTは、スケーラブルなIoTデバイスのサイバーセキュリティ ベースラインを確立するNISTIR 8259Aをリリースし、ネットワーク接続可能な製品仕様のソフトウェア サイバーセキュリティの一般的な要件を明確にしたUL 2900-1規格の開発を主導しました。

IoTデバイスのセキュリティ確保に取り組んでいる国は米国だけではありません。英国と他のヨーロッパ諸国は現在、欧州電気通信標準化機構 (ETSI) 内で協力し、消費者向けIoT向けの同様の規範的なセキュリティ機能を策定しています。ETSIは欧州委員会によって承認されており、欧州の情報通信技術 (ICT) 標準の開発を担当しています。NISTIR 8259Aは多くの類似したテーマを共有しており、ソフトウェア/ファームウェアの更新可能性やソフトウェアの整合性の確保などのセキュリティ機能を必要とし、組み込みデバイス ファームウェアのセキュア ブートとセキュア アップデートが必要になります。さらに、ETSIは、世界中の消費者向けIoTデバイス向けの初のサイバーセキュリティ標準であるEN 303 645標準も立ち上げ、技術的および組織的な対策を組み合わせてサイバーセキュリティの優れた実践を実現することを目指しています。

IoTデバイスのセキュリティ要件を保護するためのプラットフォーム

Silicon Labsは、進化するセキュリティ トレンドによってもたらされる課題に対処し、規制に準拠するお客様を支援するために、IoTデバイスを保護し、将来に対応できるように設計された受賞歴のあるプラットフォーム、Secure Vaultを導入しました。最近、PSA認定レベル3ステータスを取得した最初のIoTセキュリティ ソリューションとなりました。Secure Vaultの主要カテゴリの1つは、安全なデバイスID、安全なキー管理とストレージ、高度な改ざん検出などの新しいセキュリティ機能を提供することです。

このプロセスの一環として、Secure Vaultは物理的に複製不可能な機能によって生成された固有のデジタル フィンガープリントを利用します。これを使用してAES対称キーを作成できます。このキーはシステムの電源が失われると物理的に消えるため、チップの電源がオフになってもAES対称キーは事実上存在しないことになります。これはキー管理の課題に対処するための非常に効果的なソリューションであり、この機能は開発者のアプリケーションのニーズに基づいて多数のキーをサポートするように拡張できます。Secure Vaultには改ざん検出システムも含まれており、改ざんが発生するとデバイスはシャットダウンし、キーを再構築できなくなります。Secure Vaultは、安全なデバイスID証明書を提供する、現在入手可能な最も高度なハードウェアおよびソフトウェア セキュリティ保護スイートです。概念的には各チップの出生証明書に似ており、導入後のセキュリティ、信頼性、および証明ベースのヘルスチェックを可能にし、チップのライフサイクル全体にわたってチップの信頼性を保証します。

Secure Vaultは高度な改ざん検出機能もサポートしており、デバイスが予期しない動作 (脆弱性を示す可能性のある極端な電圧、周波数、温度の変化など) に遭遇した場合に、開発者が適切な対応アクションを設定できます。Secure Vaultは、キーを暗号化してアプリケーション コードから分離する中心コンポーネントである安全なキー管理とストレージもサポートしており、物理的に複製不可能な関数 (PUF) によって生成されたマスター キー暗号化キー (KEK) を使用して、IoTデバイスとそのデータ ハードウェアへの直接アクセスを防止します。

Secure Vaultのセキュリティ機能をサポートするワイヤレスSoC

Silicon Labsは、EFR32FG23サブGHzワイヤレスSoC、EFR32MG24シリーズ2マルチプロトコル ワイヤレスSoC、EFR32MG27シリーズ2マルチプロトコル ワイヤレスSoCなど、Secure Vaultに対応した一連の製品を発表しました。xG21、xG22、xG23、xG24、xG25、xG27、xG28を含むすべてのシリーズ2製品は、Secure Vaultカテゴリに含めることができます。

EFR32FG23 Flex GeckoサブGHzワイヤレスSoCは、スマート ホーム、セキュリティ、照明、ビル自動化、計測用のサブGHz IoTワイヤレス接続に最適なソリューションです。高性能のサブGHz無線は長距離通信が可能で、2.4 GHzテクノロジによる干渉の影響を受けません。シングルダイのマルチコア ソリューションは、業界をリードするセキュリティ、低消費電力、高速ウェイクアップ時間、統合型パワー アンプを提供し、IoTデバイスの次世代の安全な接続を実現します。

EFR32MG24シリーズ2マルチプロトコル ワイヤレスSoCは、スマート ホーム、照明、ビル自動化製品向けのMatter、OpenThread、Zigbeeプロトコルを使用したメッシュIoTワイヤレス接続に最適です。高性能2.4 GHz RF、低消費電流、AI/MLハードウェア アクセラレータ、Secure Vault™ などの主要な機能により、IoTデバイス メーカーは、リモートおよびローカルのサイバー攻撃から保護する、スマートで堅牢、かつエネルギー効率に優れた製品を作成できます。最大78 MHzで動作し、最大1.5 MBのフラッシュと256 kBのRAMを備えたARM Cortex®-M33は、要求の厳しいアプリケーションにリソースを提供すると同時に、将来の拡張の余地も残しています。対象アプリケーションには、ゲートウェイとハブ、センサー、スイッチ、ドアロック、LED照明、照明器具、位置情報サービス、予測メンテナンス、ガラス破損検出、ウェイクワード検出などがあります。

また、EFR32MG27 SoCはSilicon LabsのZigbeeポートフォリオを拡張し、低電力、小型フォーム ファクタのエンド デバイス向けに特別に開発されました。統合されたDCDCブーストにより、IoTデバイス メーカーは0.8ボルトまで動作できるようになり、単一セルのアルカリ電池やボタン電池を使用してデバイスのフォーム ファクタとコストを削減できます。

さらに、すべてのシリーズ2製品には統合セキュリティ サブシステムが含まれており、Secure Vaultテクノロジーを最大限に活用できます。Secure Vaultは、最先端のセキュリティ ソフトウェア機能とPhysical Unclonable Function (PUF) ハードウェア テクノロジーを提供し、IoTセキュリティの脆弱性と知的財産の侵害のリスクを大幅に軽減します。

現在のシリーズ2製品はすべて、Simplicity Studio 5開発ツールを使用して簡単に移行できます。開発キット、SDK、モバイル アプリ、Silicon Labsのエネルギー プロファイラー、特許取得済みのネットワーク アナライザーを活用して、製品の市場投入までの時間を短縮できます。

結論

IoTデバイスは、個人、家庭、ビジネス環境で広く使用されています。しかし、これは悪意のある攻撃者にとって潜在的な攻撃ベクトルにもなります。したがって、IoTデバイスのセキュリティはオプション機能ではなく、必須機能として考える必要があります。Silicon LabsのSecure Vaultは、進化するIoTの脅威に大きく対処するように設計された、最先端の高度なセキュリティ機能の包括的なセットで構成されています。IoTエコシステムにおけるセキュリティ脆弱性のリスクを大幅に軽減し、偽造による知的財産や収益の損失の影響を最小限に抑えます。Secure Vaultを採用するとIoTデバイスのセキュリティを強化できるため、関連製品を開発しているメーカーにとっては、さらに検討して実装する価値があります。