セキュアな組み込みシステムを求めて「信頼」を掘り下げる：SYSTEM DESIGN JOURNAL（5/5 ページ）

組み込みシステムは誤動作せず、高い信頼性を持たなくてはなりません。ですが、「信頼」はどこまで求めることができるのでしょうか。できる限りの掘り下げを行ってみましょう。

[Ron Wilson，Altera Corporation. MONOist]

評価できないものを安全にする

　ここまで読み進めれば、諦めたくなるかもしれません。チップの仕様からアプリケーションの支援まで、デザインのあらゆる段階を安全にすることは財務的にも技術的にも不可能であると思えるかもしれません。

　TyphoneのCEO、Siva Narendra（シバ・ナレンドラ）氏も、セキュリティに関するパネル討論の中で「スタックのどのレベルも信頼するのは不可能です」と述べています。幸いなことに、通常はその必要はありません。Trail of BitsのCTO、Dai Zovi（ダイ・ゾビ）氏は、「攻撃者は容赦のない悪魔ではありません。彼らは受け入れるリスクの大きさが違うビジネスを行っているのです。彼らはゆっくり移動し、得られそうな見返りを超えるコストをかけて攻撃することはありません」と述べています。

　攻撃者がかけるコストは攻撃によって異なります。それなりのPCとツール、少しの創意工夫があれば多くのアプリケーションとOSに侵入できます。本当にしつこい攻撃は、他人の保護されていないシステムからボットネットを集めるか、多くGPUを集める必要があることがあります。ナレンドラ氏は、不安に駆られている聴衆に「1000 枚のグラフィックボードがあれば、64文字のどのようなパスワードでも9時間で解読できます」と断言しました。SoCをリバースエンジニアリングするには、極端な場合、いくつかの動作するチップを盗み、数百万ドルのイオンビームツールと電子顕微鏡を使用する必要があるかもしれません。

　自動販売機から缶ジュースを盗もうとする人が大きな投資をするとは考えられません。一方、犯罪組織は数万ドルを投資して送電網を確実に脅かし、電力会社に数千万ドルの賠償金を払わせる可能性があります（悲しいことに、今日ではそれよりはるかに少ない投資で攻撃できます）。国家は、研究所全体を仮想敵国の軍事や民間の秩序維持に不可欠なシステムの攻撃に使用することがあります。原則として、経済的に意味がある攻撃だけからデザインを保護する必要があります。

　残念なことに多くの組み込みシステムでは、リスクと報酬の割合を見積もることが困難です。あなたにとって、自宅の給湯器が故障しないようにすることにはどのような価値があるでしょうか。全国規模の保険会社にとって、数十万台の給湯器が爆発しないように維持することにはどのような価値があるでしょうか。1つのノードからネットワーク全体を攻撃する規模と能力の両方を持ってすれば、重要でない機器への攻撃の方が機器そのものの価値よりもはるかに重大な場合があります。

　この不確実さはあるとしても、この記事の元になった疑問に対する最良の答えは「投資に対する利益」という観点から得られる可能性があります。理性的な攻撃者がさらに攻撃するための投資をやめるレベルに達したら、信頼のルーツを求めて掘り下げるのをやめることができます。

　これは多くのシステムで、単なる注意深いアプリケーションコーディング、ARMのTrustZoneのようなものを使用したセキュアなアップデートプロセス、極めてセキュアなキーストアを意味することがあります。生命が危険にさらされる輸送システムや産業システム、一国の電力および通信インフラストラクチャの場合、それはISO 26262や同様のものを意味します。防衛システムの場合は、分割して分かりにくくしたたデザイン、複数の国内ファウンドリ、公式に証明されたコードを意味します。

　確かに、今日のほとんどのデザインは、その状況から考えられるよりもはるかに信頼できます。悲しいことに、悪いニュースが続いているので、この信頼の状態は変わるざるを得ません。GMのマシミラ氏が述べたよう、重役会議での議題となるに至っています。

（本稿はSYSTEM DESIGN JOURNALに掲載された「Secure Embedded Systems: Digging for the Roots of Trust」の翻訳です）