「ヴィッツ」は今回の展示会に会わせ、車載機器をはじめとするさまざまな組み込み機器のセキュリティ導入支援サービスを開始することを発表した。IEC 62443やISO 15408といったセキュリティ標準の解説に始まり、脅威分析とセキュアコーディング手法、ファジングツールなどを用いた脆弱性検証といった開発プロセスでの技術導入支援や、出荷後を見据えたインシデントレスポンスチーム構築、鍵管理のノウハウに至るまで、幅広い内容をカバーする。さらには、組み込みセキュリティを顧客それぞれの開発プロセスに組み入れるための計画立案やガイドライン作成も支援するという。
同社はまた、ドイツのEnCo Softwareが開発した機能安全支援ツール「Safety Office X2」の販売代理店となったことも発表。セキュリティだけでなく、「セーフティ」も確保するための設計・分析作業を支援していくという。ブースでは、車載システムのセキュリティ上の課題を体感できる教材も紹介されていた。
大日本印刷(DNP)とそのグループ会社であるDNPハイパーテックは、組み込み機器やIoT機器の上で動作するソフトウェアを、リバースエンジニアリングなどの攻撃から保護する「CrackProof」を中心に展示を行った。
IoT機器の脆弱性を指摘するデモでは、研究者が実機を手に入れ、そのソフトウェアを解析して弱点を見つけ、改ざんするという手法が使われることが少なくない。CrackProofはこうした解析からアプリケーションを保護し、改ざんやクローンの作成といった悪用を防ぐためのソフトウェアだ。
従来、組み込み機器やIoT機器のソフトウェアは個別に作り込まれることが多かった。一種の「ガラパゴス状態」だが、それが攻撃者にとってのハードルともなっていた。しかし近年、サービス展開やスマートフォンとの連携を視野に、WindowsやLinuxといった汎用OSを採用する動きが広がっている。この結果、「汎用OSを対象とした攻撃ツールやクラッキング、解析のノウハウが、そのまま使えてしまう状態になっている」と、DNPハイパーテックの代表取締役社長、小川秀明氏は指摘する。
小川氏はさらに「IoTデバイスの制御は全てソフトウェアが行っているが、それを解析するクラックツールのレベルも上がっている」と述べ、IoT機器の活用を支えるクラウド・サーバ側のセキュリティ対策や、ネットワークでの盗聴対策と共に「IoT機器のソフトウェアを改ざんから保護する必要がある」ということがCrackProofをIoT向けに提供する理由だと説明した。
CrackProofは実行形式のバイナリファイルをラッピングすることにより、動的解析や静的解析によるリバースエンジニアリングからソフトウェアを保護する。開発したアプリケーションを同社が用意するクラウド上にアップロードすると、独自技術によって耐タンパ処理が施される仕組みだ。ソースコードに直接手を加える必要がないため、開発工数が増えず、パフォーマンスへの影響も少ないことが特徴だという。既に、AndroidやiOSで動作するスマートフォン向けのゲームアプリを対象とした、UnityやXCodeといった統合開発環境と連携して動作するバージョンが提供されており、ゲームのチート対策などを目的に採用されている。
「ITの世界ではこれまで、情報の保護だけを念頭に置いて対策していたが、今後は人の命が関わってくる恐れもある。医療や製造、車、飛行機、船舶など、ありとあらゆる分野でセキュリティが必要になるが、開発者がそこまで手が回らないことも多い」と小川氏は述べ、CrackProofによって、開発者の負担を増やすことなくセキュリティ強化を支援していきたいとした。
大日本印刷(DNP)は他にも、P2P型で同時に複数接続が可能なVPN製品「DNP Multi-Peer VPN」も提供している。デバイス単位ではなく、アプリ単位で柔軟にトンネルを張ることができ、監視カメラの画像送信などに採用されているという。同社はこうした製品に加え、セキュリティインシデントへの対応能力を高める「サイバー・インシデントレスポンス・マネジメントコース」といった人材育成サービスも提供し、安全にIoT機器がつながる世界を支援していくとのことだ。
Copyright © ITmedia, Inc. All Rights Reserved.