IoTが攻撃者にとって格好のターゲットである理由：ARM Tech Symposia 2015（3/3 ページ）

無数の組み込み機器がインターネットに常時接続されるIoTの世界が現実味を帯びる中、セキュリティ対策は大きな問題となる。ARMが64bit命令セットとTrustZoneで実現しようとする世界とは何か。ARM Tech Symposia 2015での講演から紹介する。

[鈴木淳也（Junya Suzuki），MONOist]

マイクロコントローラーのセキュリティ対策

　では、実際にどのようなセキュリティ上のトラブル対策が行われるのだろうか。スマートフォンやタブレットに搭載されるARM Cortex-Aシリーズでは、Androidに代表されるリッチOSが搭載され、ユーザーが行う作業の幅も広いことから、さまざまなセキュリティ対策が必要になることは簡単に予想できる。

　一方で、IoT機器に搭載されるのは「マイクロコントローラー（MCU）」と呼ばれるARM Cortex-Mシリーズを主なコアとする小型ユニットで、システムのフットプリントも比較的小さく、できることも限られている。搭載されるOSもリッチOSというより、機能カスタマイズを施されたLinuxやRTOSが中心だ。しかし、前述のように、常時接続で外部攻撃にさらされる時間が長いデバイスでもある。

　システムブートやソフトウェアアップデートのタイミングが最も狙われやすく、これをガードするのがIoTデバイスにおける重要なポイントだ。車載システムにおいては、テレマトリクスやカーエンタテインメントのシステムを経由してメインの車の制御システムが狙われ、実際にリコールに至った例も報告されるほどで、外部との出入り口や、システムが起動する瞬間の一瞬無防備になった隙を攻撃者は突いてくる。

テレマトリクスやカーエンタテイメントを経由して車の制御システムを乗っ取り、エンジン停止やドアロックを可能にしてしまった例もある

　前述のように、Cortex-AシリーズではハイパーバイザとTrustZoneを組み合わせた仕組みが対策として有効であり、ARMも推奨するセキュリティ対策となっている。TrustZoneのセキュアエクステンション自体はARM11（ARMv6）以降のリリースに含まれているものだが、フットプリントの小さいCortex-Mの命令セットであるARMv7-MではTrustZoneはサポートされず、アドレス空間の分割でプライベート領域を作り出す「μVisor（μバイザー）」の仕組みが利用される。

Cortex-Mシリーズ向けのARMv8-MアーキテクチャではTrustZoneが利用できるが、既存 ARMv7-M向けにはμVisorのような仕組みを使って特定のアドレス領域を保護する

　現在、Cortex-MはこのARMv7-Mが中心だが、TrustZoneをサポートするARMv8-Mが既にリリースされており、今後は少しずつ新アーキテクチャを導入する事例が増えてくるだろう。なおSELTECHでは、μVisor向けのハイパーバイザ・ソリューションの提供も計画しているという。

　またSeltechでは大日本印刷との提携で、FEXER OXを使った車載向けの暗号化通信ソリューションを開発している。前述のように、テレマトリクスのように外部との通信が発生したり、カーエンタテイメントのようにリッチOSを活用するシステムが車内に搭載され、これが車本体の制御システムに直結していると、ここを経由して外部攻撃や乗っ取りが行われる危険性がある。そこでTrustZoneで両者を分割しつつ、VPNによる安全な通信でデータの漏えいや外部攻撃からの保護を行うことで、車載システム全体の安全性を向上させる狙いだ。

車載システムが中心だが、SELTECHでは大日本印刷との提携でFEXER OXによるセキュリティソリューションの開発を進めているという