IoTシステムで使用される「ネットワークデバイス」の品質向上に向けた取り組みについて、米シノプシス ソフトウェアサプライチェーンマネジメント ソフトウェアインテグリティグループ グローバルマネジャー Joe Jarzombek氏に聞いた。
多種多様なデバイスがネットワークに接続されるIoTシステムでは、各デバイスに搭載されたソフトウェアにいかに脆弱(ぜいじゃく)性を作り込まないかがセキュリティ上の重要なポイントの1つになる。こうしたソフトウェアの安全に対する取り組みの1つが、製品安全に関する「第三者認証」だ。
本稿では、2016年4月に米国の第三者安全科学機関であるULが開始した認証プログラム「UL CAP」の概要を紹介するとともに、同プログラム向けに各種テストツールを提供している米シノプシスへのインタビューをお届けする。
UL(Underwriters Laboratories Inc.)は、1894年に米国で設立された安全認証機関だ。発足以来、家電などの電気機器から、産業機械、医療機器、果ては“空気質”に至るまでその認証対象を広げ、2016年6月現在では100カ国以上に拠点を構えている。
そんなULが2016年4月に、米国政府や各種専門機関などと連携して立ち上げたのが、産業制御システムや医療システムに含まれる「ネットワークデバイス」に対するセキュリティ認証「UL CAP(Cybersecurity Assurance Program)」だ。米国ホワイトハウスが2月に発表した「サイバーセキュリティ国家行動計画(CNAP:Cybersecurity National Action Plan)」にも、IoTのネットワークデバイスに対するセキュリティ検査・認証の推進に向け、米国国土安全保障省とUL、産業界のパートナーが連携してUL CAPを立ち上げる旨が示されていた。
UL CAPは、ネットワークデバイスのセキュリティに関するベストプラクティスなどをまとめた規格群である「UL 2900」シリーズをベースに実施される。プログラムには、ソフトウェア自体に対する「既知/未知の脆弱性の有無のチェック」「ファジングテスト」「静的コード解析」といった試験に加え、「開発プロセス」「リリース後のパッチ管理プロセス」の確認といったソフトウェアの開発・運用体制に対する評価も含まれる。これらの検証をクリアした製品には、「UL認証マーク」が与えられる。
ULがサイバーセキュリティ認証プログラムを開始(UL Japan)
このUL CAPの製品試験プロセスにおいて、各種テストツールの提供を行っているのが米シノプシスだ。同社は、本取り組みやIoT時代のセキュリティ対策をどのように捉えているのだろうか。米シノプシスのソフトウェアサプライチェーンマネジメント ソフトウェアインテグリティグループ グローバルマネジャー Joe Jarzombek氏に聞いた。
編集部 UL CAPは日本ではなじみのないプログラムだと思いますが、どのような目的を持った取り組みなのでしょうか。
Jarzombek氏 まず、IoTの世界を動かすのはソフトウェアです。ソフトウェアに問題があった場合、IoTの世界では人命に関わるような事態すら起こり得ます。従って、IoTデバイスに搭載されるソフトウェアに対しては徹底した品質管理が求められます。
ところが現状では、ソフトウェアの開発者がこうした品質管理をしっかりと行っているのかをユーザーが確かめる術がありません。製品が手元に届いた後に、ユーザー自身が「ソフトウェアに脆弱性が残っていないかどうかをテストする」というのは現実的ではないでしょう。
また、「パッチ適用」も大きな問題です。ソフトウェアの既知の脆弱性に関する情報は「CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)」データベースなどから無償で取得することができますが、現実にはこうした情報が公開されていても、脆弱性の残ったソフトウェアを(パッチを適用せずに)利用しているユーザーが多く存在しています。
2013年に米国で発生したPOS端末からのデータ流出事件も、Windowsシステムのパッチが未適用だったことに原因がありました。現在のシステムでも同じことですが、パッチの適用を全てユーザーに任せるのは危険です。IoTデバイスに関しては、開発者による品質管理や製品の運用プロセスの整備と、それを支援・チェックする第三者の存在が不可欠なのです。
UL CAPはこうした観点から、「ソフトウェアに既知/未知の脆弱性が存在していないか」「ソフトウェアを継続的にアップデートするための運用の仕組みが整備されているか」などの点を第三者が試験し、ネットワークデバイスのサイバーセキュリティ認証を行う取り組みです。この認証をクリアしているかどうかを見ることで、ユーザーはそのデバイスが安全であることを確認できます。また、UL CAPのような取り組みに対する認知が広がれば、「ソフトウェアには安全なものとそうでないものがある」という認識をより多くの人に持ってもらうことができるとも考えています。
編集部 UL CAPにおいてシノプシスはテストツールの提供を行っていくとのことですが、どのような経緯でULと協力することになったのですか。
Jarzombek氏 ソフトウェアが使用しているライブラリやOSSの評価ツール、静的解析ツール、ファジングツール、侵入テストツールなど、ソフトウェア開発の各プロセスにおけるテストツールのセットを、1つのプラットフォームとして提供できることが評価されたのでしょう。シノプシスでなければいけないわけではないのでしょうが、これまで誰もこうした取り組みを行ってこなかったものですから、今回、ULとシノプシス、各種専門機関が協力してUL CAPを推進していくことになりました。
編集部 現在は産業制御システムや医療システムが主な対象ということですが、これらをまず対象としたのには、どのような理由があるのでしょうか。また、今後対象領域を拡大していく予定はありますか。
Jarzombek氏 ULが産業制御システム、医療システムをまず対象としたのは、やはり人命へのリスクが大きいからだと考えます。ULは「公共の安全」を守るための組織ですから、まずこれらの分野からスタートしたのでしょう。本プログラムはまだまだ初期段階ですが、今後IoT社会が成熟していくに従って、自動車業界なども対象としていくことを視野に入れています。
Copyright © ITmedia, Inc. All Rights Reserved.