中世史に学ぶ、組み込みシステムのセキュリティモデル：SYSTEM DESIGN JOURNAL（1/6 ページ）

セキュリティの確保は重要ですが、リソースや利便性との兼ね合いも求められます。組み込みシステムのセキュリティ確保について、中世の城の防衛策を例に考察します。

[Ron Wilson，（Editor-in-chief,Altera）,MONOist]

　あるセキュリティ専門家が述べたように、システムセキュリティはモノではなくプロセスです。ネットワークとの接続、しかも敵対的な接続がますます増える環境ではセキュリティに新しい攻撃が行われ、新しい対抗策が生まれ、続いてより革新的な新しい攻撃が生まれるという連続的なケースが起きています。冷戦の軍拡競争が交戦国のリソースを疲弊させたのと同じように、この新しい課題が脆弱（ぜいじゃく）なシステムに要求するリソースは増え続ける一方です。

　代替可能なコンピューティングリソースを大量に整備したデータセンターでも、このリソースの枯渇は大きな問題となりますが、専用リソースが厳密に制限されることが多いエンベデッドシステムでは、セキュリティが克服できない障害になることがあります。

　また、IoTが先進国世界の重要なインフラストラクチャ全体に広がる中で、これらシステムでのセキュリティの必要性が文字通り生死にかかわる問題になってきています。従って、エンベデッドシステムの設計者は、データセンターのアーキテクトと同じように、この進化し続ける対立を理解することが不可欠です。

セキュリティの3段階

　システムセキュリティは3つの異なる段階に分けて追求できます。この区分は、システムのさまざまな領域に焦点を当てる物理的な機能を果たすとともに、設計者は問題の複雑さを理解するにつれて段階を順番に進める傾向があるので時間的にも機能します。また、段階を軍事的な話に例えるのが分かりやすいでしょう （図1）。

図1.11世紀のバンバラ城（Bamburgh Castle）が、現代のシステムセキュリティの背後にある原理を明確に説明します（注：Bamburgh Castleはイギリス ノーザンバーランド海岸を望む岩場に立つ古城）

　段階は「境界の保全」「内部セキュリティ」「能動的なセキュリティ」からなります。手短に言えば、境界の保全技法は、城を囲む環状の壁と同じように攻撃がシステムに侵入しないようにするものです。内部セキュリティ対策は、城壁に設けられた塔、迷路、最終的には城壁を突破した攻撃者を打ち破るための天守閣と同じように、攻撃がシステムに侵入した場合に被害を最小限に抑えようとします。能動的なセキュリティは、城の護衛隊による城壁内外の巡回、待ち伏せ、敵の軍勢に対する襲撃、対敵坑道と同じように、システムのあらゆる場所で攻撃を特定して無力化します。

　城壁には警備隊が必要であり、城壁がなければはるかに大きな警備隊が必要になるように、現実世界でのシステムセキュリティの段階は全てが連動し、相互依存しています。しかし、不運なシステム設計者は前段階が役に立たないことが分かるまで次の段階を実装しない傾向にあるため、各段階を別々に調査します。

　これは将軍が無防備な壁を築き、壁を乗り越えられたら塔と天守閣を作ってこん棒や熊手を手にした市民を配置し、2回負けて初めて兵士や将校を雇い、武装して訓練するようなものです。

防衛案1　境界の守り

　財宝を保護する最も直感的で分かりやすい方法は、その周りに壁を築くことです。この方法は軍事史でもシステムセキュリティでもほとんど成功した例がありませんが、政治家やシステム設計者はこの方法になぜか魅了され続けています。従って、対象とする攻撃、守るための技法、守るのに必要なリソースといった境界の保全から検討し始める必要があります。