2日目には、弊社の金居が、組み込み機器のセキュリティとファジングによる対策について講演しました。組み込みシステムは急速にネット化が進んでおり、PC環境で形成されてきたセキュリティに関するノウハウが生かされていないケースがあるという背景を説明しました。また、組み込みシステムへの攻撃例を紹介しました。
脆弱性を発見する検査手法の1つであるファジングについても解説。ファジングの種類とそれによって発見できる脆弱性の種類、ファジング実施の流れと要点を、ファジングツールの開発と機器検査で得られたノウハウを交えて紹介しました。
未知の脆弱性を発見する有効な手法であるファジングについて、より多くの人々に知っていただけたのではないかと思います。
FFRI、自動車の情報セキュリティに関するシンポジウム「escar Asia 2014」にて講演 〜組み込みシステムセキュリティの知見とノウハウを世界に発信〜
http://www.ffri.jp/news/release_20140414.htm
最後のセッションは、「セキュリティチップはどこまで必要なのか」というテーマでのパネルディスカッションでした。セキュリティチップの必要性や要点について、関係する発表を行った講演者の方々が議論しました。セキュリティチップは脅威分析を行った上で、既存のシステムへの統合のしやすさ、耐タンパー性やリアルタイム性、コストを含めた総合的な検討が必要という結論でした。
幾つかの議論の中で特に印象深かったのは、現在の自動車のリコールの25%程度は「ソフトウェアに起因する」という話でした。将来的に自動車のICT活用が進んでいくと、この割合はさらに増加していくでしょう。そうすると、自動車のリコール対応方法も、インターネットを介したソフトウェアアップデートになるかもしれません。そのときに、セキュリティは非常に重要になります。
自動車システムのオープン化に関する議論において、パネリストの方々は総じて、一部のコンポーネントを除いてオープン化する方がセキュリティは高くなるという考えでしたが、自動車メーカーの方から「オープン化のメリットはよく分からない、リスクが増加するのではないか」という意見もありました。この意見の違いも認識しておくべきポイントでしょう。
自動車メーカーとセキュリティプロバイダーや研究者、それぞれの考え方があり、今後も継続した議論が必要であると感じました。
FFRIは日本においてトップレベルのセキュリティリサーチチームを作り、IT社会に貢献すべく2007年に設立。日々進化しているサイバー攻撃技術を独自の視点で分析し、日本国内で対策技術の研究開発に取り組んでいる。その研究内容は国際的なセキュリティカンファレンスで継続的に発表し、海外でも高い評価を受けており、これらの研究から得た知見やノウハウを製品やサービスとして提供している。
Copyright © ITmedia, Inc. All Rights Reserved.