　日本電信電話（NTT）は、2023年2月9日開催のイベント「SIP（戦略的イノベーション創造プログラム）／IoT社会に対応したサイバー・フィジカル・セキュリティシンポジウム2022」の展示会において、IoT（モノのインターネット）機器のサプライチェーンの中でその構成を常時確認／証明する真贋判定技術を披露した。

NTTが開発したIoT機器向け真贋判定技術の概要［クリックで拡大］出所：NTT

　この真贋判定技術は2つの機能から構成されている。1つは、余剰リソースの少ない組み込み系のIoT機器でも、サイバー攻撃などによるソフトウェアの改ざんの検知を効率良く行う「スマートスキャン」である。スマートスキャンでは、IoT機器ベンダーによる設計開発の内容を基に機器の動作に関する情報を分析して改ざん発生から検知までの時間を最小化する監視パターンを生成し、本来機能に影響を与えずに継続的な監視を行う。「IoT機器と一言で言ってもさまざまな分野で用いられており、最適な監視パターンを作成するのには各分野の専門的な知見が必要だ。スマートスキャンを使えば、非専門家でも正確な監視パターンを作成できる」（NTTの説明員）。

「スマートスキャン」の概要［クリックで拡大］出所：NTT

　会場ではスマートスキャンを組み込んだ入退出管理機器を展示した。Linuxベースでプロセッサは「Cortex-A53」×4コアを用いており、スマートスキャンのソフトウェアの容量はMB単位に抑えてある。改ざん検知までの時間は、スマートスキャンを使わない場合と比べて54％短縮できたとしている。

　もう1つは、スマートスキャンの実行プログラムと監視パターンのIoT機器への実装について、IoT機器の製造時に用いるビルドツールのプラグインで実現していることだ。これによって、IoT機器の本体プログラムのソースコードからファームウェアを生成する際にスマートスキャンの機能を一体化できるので、IoT機器ベンダーの製造工程を極力変更せずに真贋判定技術を組み込めるようになる。また、IoT機器に実装する監視パターンの判定基準はSBOM（ソフトウェア部品表）形式で出力するため、IoT機器の運用における脆弱性管理に活用することができる。

「スマートスキャン」はビルドツールのプラグインを使って実装できる［クリックで拡大］出所：NTT

　今回の開発で使用したビルドツールは、組み込みLinux機器で広く用いられているyoctoベースのIDE（統合開発環境）である。「SBOMについても代表的な形式であるSPDXとCycloneDXの形式に対応した。さらに、構成管理に利用できる情報も追加してある」（同説明員）という。

⇒その他の「IoTセキュリティ」の記事はこちら

公開鍵暗号搭載のセキュリティ回路で世界最小かつ最少の「SCU」が実用化へ
SCUは、「SIP／IoT社会に対応したサイバー・フィジカル・セキュリティシンポジウム2022」の展示会において、IoT末端ノードを守る極小かつ省電力のセキュア暗号ユニット「SCU」を披露した。
米国大統領令とEUのCRAが示すソフトウェアサプライチェーンセキュリティとは
米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。第1回は、米欧が唱えるソフトウェアサプライチェーンセキュリティの全体像と目的と併せて、製造業などでも増大しつつあるセキュリティインシデントを減らすための基本的な考え方を紹介する。
日本におけるソフトウェアサプライチェーンセキュリティとSBOMの目的
米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。第2回は、日本でのソフトウェアサプライチェーンセキュリティに関する取り組みの状況について紹介する。
ソフトウェアサプライチェーンセキュリティを「品質」で読み解く
米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。最終回となる第3回は、SBOMの流通によってどんな「良いこと」と「悪いこと」が起こるかを整理しつつ、品質保証の枠組みへの取り込みについても考察する。
ソフトウェア部品表「SBOM」に着目、米国FDAの医療機器市販前セキュリティ対策
本連載第80回で、米国食品医薬品局（FDA）の2022会計年度医療機器ガイドライン策定計画を取り上げたが、早速、市販前サイバーセキュリティ要求事項に関する草案が公開された。
ソフトウェア部品表はセキュリティ対策で不可欠に、構成解析ツールに最新版
ブラックベリー（BlackBerry）は2021年8月6日、オンラインで説明会を開き、サプライチェーン全体を対象としたソフトウェア構成解析ツールの最新版「Jarvis 2.0」を発表した。