IoT機器の常時真贋判定機能を軽負荷で組み込み、SBOMとの連携も実現：IoTセキュリティ

NTTは、「SIP／IoT社会に対応したサイバー・フィジカル・セキュリティシンポジウム2022」の展示会において、IoT機器のサプライチェーンの中でその構成を常時確認／証明する真贋判定技術を披露した。

[朴尚洙，MONOist]

　日本電信電話（NTT）は、2023年2月9日開催のイベント「SIP（戦略的イノベーション創造プログラム）／IoT社会に対応したサイバー・フィジカル・セキュリティシンポジウム2022」の展示会において、IoT（モノのインターネット）機器のサプライチェーンの中でその構成を常時確認／証明する真贋判定技術を披露した。

NTTが開発したIoT機器向け真贋判定技術の概要［クリックで拡大］ 出所：NTT

　この真贋判定技術は2つの機能から構成されている。1つは、余剰リソースの少ない組み込み系のIoT機器でも、サイバー攻撃などによるソフトウェアの改ざんの検知を効率良く行う「スマートスキャン」である。スマートスキャンでは、IoT機器ベンダーによる設計開発の内容を基に機器の動作に関する情報を分析して改ざん発生から検知までの時間を最小化する監視パターンを生成し、本来機能に影響を与えずに継続的な監視を行う。「IoT機器と一言で言ってもさまざまな分野で用いられており、最適な監視パターンを作成するのには各分野の専門的な知見が必要だ。スマートスキャンを使えば、非専門家でも正確な監視パターンを作成できる」（NTTの説明員）。

「スマートスキャン」の概要［クリックで拡大］ 出所：NTT

　会場ではスマートスキャンを組み込んだ入退出管理機器を展示した。Linuxベースでプロセッサは「Cortex-A53」×4コアを用いており、スマートスキャンのソフトウェアの容量はMB単位に抑えてある。改ざん検知までの時間は、スマートスキャンを使わない場合と比べて54％短縮できたとしている。

　もう1つは、スマートスキャンの実行プログラムと監視パターンのIoT機器への実装について、IoT機器の製造時に用いるビルドツールのプラグインで実現していることだ。これによって、IoT機器の本体プログラムのソースコードからファームウェアを生成する際にスマートスキャンの機能を一体化できるので、IoT機器ベンダーの製造工程を極力変更せずに真贋判定技術を組み込めるようになる。また、IoT機器に実装する監視パターンの判定基準はSBOM（ソフトウェア部品表）形式で出力するため、IoT機器の運用における脆弱性管理に活用することができる。

「スマートスキャン」はビルドツールのプラグインを使って実装できる［クリックで拡大］ 出所：NTT

　今回の開発で使用したビルドツールは、組み込みLinux機器で広く用いられているyoctoベースのIDE（統合開発環境）である。「SBOMについても代表的な形式であるSPDXとCycloneDXの形式に対応した。さらに、構成管理に利用できる情報も追加してある」（同説明員）という。

⇒その他の「IoTセキュリティ」の記事はこちら