IoT時代をにらむセキュリティ製品の展開
IoTの市場がいつ、どれほどの規模にまで成長するかは未知数だが、セキュリティ製品が求められることは間違いない。IoTセキュリティ需要の拡大を見込んで提案されているソリューションには、どのようなものがあるのか。
●IoTデバイスのなかに多層防御機能を組み込む IoTで用いられるデバイスは、PCやサーバーに比べてCPUの性能やメモリの容量が限られるものがほとんどだ。そのため、一般的なセキュリティソフトをIoTデバイス上で実行するのは難しい。
この問題に対して、スウェーデンのセキュリティベンダー・Clavister(クラビスター)は、組み込みシステム上でも動作可能なソフトウェアベースのUTM(統合脅威管理)を提案している。日本国内ではキヤノンITソリューションズが販売元となり、昨年11月に提供を開始した。
一般的なUTMは、Linuxなどの汎用OSを組み込みプロセッサで駆動し、その上にアプリケーションソフトとしてさまざまなセキュリティ機能を構築している。それに対してClavisterは汎用OSを用いず、自社開発した独自ファームウェアでセキュリティ機能を実現している。OSの冗長なプロセスが存在しないため、ファームウェアのサイズは最小11MBと非常に小さく、限られたリソースでも高速な動作が可能。対応プラットフォームはインテルのx86アーキテクチャだが、組み込み向けの省電力プロセッサ「Atom」で十分実用的なスループットが得られるという。
WindowsやLinuxをOSとして採用した場合、OS自体がもつぜい弱性を突かれるおそれがあるが、Clavisterは独自開発のソフトウェアを採用し、オープンソースソフトウェアを用いていないため、OSや他のソフトウェアが抱えるぜい弱性の影響を受けないのも特徴となっている。
キヤノンITソリューションズは、ClavisterのソフトウェアUTMを小型のボックスに組み込んで仕立てたセキュリティアプライアンスをすでに販売しているが、今後は複合機やNAS、医療機器、POS、ATMなどの機器内に、UTM機能を組み込んで提供する形態を伸ばしていく予定。Clavister UTMはアンチウイルスやファイアウォール、侵入検知といったセキュリティ機能のほか、VPN機能も搭載しているので、支社のオフィス機器と本社のデータセンターをVPN経由で結び、情報漏えいを防止するといった使い方もできる。
キヤノン
ITソリューションズ
長谷川隼也
主任 キヤノンITソリューションズ セキュリティソリューション事業部の長谷川隼也主任によると、現在Clavisterアプライアンスの販売と並行して、さまざまなデバイスメーカー向けにOEM・組み込み形態での提供を提案しており、市場からはいい反応を得られているという。また、開発元のClavisterはハードウェアの設計ノウハウも豊富に有しており、振動や温度など環境条件が厳しい用途でも、カスタム設計のUTMを提供できる体制があるという。
長谷川主任は「インターネットにつながっていなかったモノがつながるとき、そこには必ずセキュリティの需要が出てくる。ベンダーとしてその動きに乗り遅れないよう準備を整えておく」と話しており、開発元には日本のデバイスメーカーからの要望もフィードバックし、市場のニーズに柔軟に応えられる新たなUTM製品として拡販を図る考えだ。
●死守すべき領域をOSレベルで分割する 昨年、日本年金機構で発生した大規模情報漏えい事件では、本来基幹系システムのみで取り扱うべき年金加入者情報が、インターネットに接続されている情報系の業務ネットワーク上に保存されていた点がとくに問題視された。巧妙な標的型攻撃を完全に防ぐのは難しいが、基幹系と情報系のシステムがきちんと別々に運用されていれば、マルウェアに感染しても重大な被害は発生しなかったと考えられるからだ。
IoTでもこの考え方は有効だ。デバイスをインターネットに接続する以上、何らかの形で攻撃にさらされるのは避けられないが、暗号化機能やカギの管理といったセキュリティ機能、絶対に停めてはならないハードウェアの制御機能などはインターネットから隔離した領域で実行することで、仮に攻撃や侵入を受けても被害を限定的な範囲にとどめられる。
このようなコンセプトのシステムを、ハードウェアのリソースを分割することで実現するのが、アドソル日進が提供している「LynxSecure」だ。これは米Lynx Software Tehnologiesが開発したハイパーバイザーで、1台のマシンのCPU、メモリ、ネットワークなどのリソースを複数の領域に分割し、サイバー攻撃の被害が領域を超えて拡大するのを防止する。考え方としてはクラウド基盤で用いられる仮想化技術と同じだが、従来の仮想化技術がハードウェアリソースの利用効率アップを目的としていたのに対し、LynxSecureはセキュリティ目的に特化しており、アクセス管理機能を充実させているほか、メモリ占有量を抑え、組み込み機器でも動作可能なサイズに仕上げているのが特徴となっている。現在はインテルのx86アーキテクチャに対応しているが、組み込み機器で需要の大きいARMアーキテクチャのサポートも今後予定されている。
アドソル日進
山西正則
部長 アドソル日進 セキュリティ・ソリューション推進部の山西正則部長は「サイバー攻撃の手法が日々高度化する一方で、大量のIoTデバイスですべてのぜい弱性やパッチをきちんと管理できるかというと、それは現実的ではない。絶対に乗っ取られてはいけない領域はどこかを明確化し、システムをセキュリティレベルごとに分けるという考え方が、IoTでは有効ではないか」と話す。
なお、リソースの分割でセキュリティを高めるといっても、実際のシステムでは、分割した領域をまたいでデータのやりとりが必要になるのが普通だ。これに関してLynxSecureでは、領域間で安全に通信するための暗号化プロセスや、読み込み・書き込みのポリシー制御機能を搭載することで解決している。
また、LynxSecureは組み込みシステムを主なターゲットにした製品ではあるが、PCやサーバーでも利用が可能なため、一般の業務システムでもリソース分割によるセキュリティ向上ソリューションとして活用できるという。
[次のページ]
