PLMセキュリティソリューション
トータルセキュリティソリューション
※1 PLM:Product Lifecycle Management
さまざまなモノがIoT化することにより生成されるビックデータは、デジタルトランスフォーメーション(DX)の推進に寄与しています。一方でサイバー攻撃は激化しており、これまでクローズド環境で使用していた機器がネットワークにつながることで、脆弱性が顕在化しサイバー攻撃を受けるケースが増加しています。このような情勢を受け、製品ライフサイクル(Product Lifecycle)を通してのサイバーセキュリティ対策を義務化する法規・ガイドラインの制定が進んでおり、設計・開発段階でのセキュリティ要件の実装はもとより、ソフトウェアの構成を把握した製品リリース後の脆弱性管理が求められます。
こんな課題に
※2 SBOM(Software Bill of Materials):ソフトウェア部品表
自動車や医療機器業界では、他業界と比較してサイバーセキュリティ対策の国際基準が先行して定められており、日本国内の規定にもその国際基準※3がすでに取り込まれています。サイバーレジリエンス法(EU Cyber Resilience Act)ではEUで販売されるハードウェア・ソフトウェアを問わずデジタル要素を備えたすべての製品が対象※4となるため、自動車、医療機器以外の業界でもセキュリティ対策の取り組みが拡大していくと考えられます。 同法は2022年9月に草案が提出され議論が続いていましたが、2023年11月30日に暫定的な合意に至ったとのプレスリリースがあり、2024年の早期の発効が見込まれています。発効から適用までは36カ月の経過措置期間が設定されていますが、攻撃者がよく悪用している脆弱性を発見した際の、製造者による欧州連合のサイバーセキュリティ当局への報告義務については発効後21カ月後には有効となります。残された時間はそれほど多くなく、早めの対策が必要です。 また、今後EU域外でも同様の規制が制定される可能性があります。自動車、医療機器以外の業界でも製品を市場に投入するためにセキュリティ対策が必須となる時代が近づいてきています。
※3 主な国際基準
※4 自動車、医療機器など、ほかの規則ですでにサイバーセキュリティの要件が定められている製品は例外 ※5 IMDRF(International Medical Device Regulators Forum):国際医療機器規制当局フォーラム
サイバーセキュリティ対策の各法規において共通して求められることは、製品ライフサイクル全体でのセキュリティ対策です。設計・開発時にはセキュリティ機能の実装が必要となります。しかしIT製品と違い、これまで組込み機器はネットワークへの接続を前提とせずセーフティ最優先で開発されてきた傾向があり、IoT化にあたり必要なセキュリティ対策を実施しようとしても、開発現場の知見が不足している可能性があります。 また、そもそも機器のリソースに制限があり、セキュリティの実装方式は限定されます。さらに、開発時だけではなくリリース後も脆弱性管理が求められますが、サプライヤー納品のコンポーネントについては、ソースコードを保持しておらず管理が困難なケースも想定されます。またIoT製品はフィールドに設置された数が多い、さまざまな場所に配置されているといった事情により「脆弱性を突かれる可能性がある」というだけで、簡単にパッチを適用することができません。
日立ソリューションズは、サイバーセキュリティに関連する法規への対応に向け、IoT製品の設計・開発時のセキュリティ実装から販売後の脆弱性管理まで、現場目線でトータルに支援します。
SBOMの生成、脆弱性情報との突き合わせ、対応が必要な脆弱性の絞り込みにより、PSIRT活動を支援し、現場の負担を軽減
製品企画から設計、リリース後まで、IoT製品の開発ライフサイクル全体のセキュリティ対策を支援するプラットフォームを提供
これまでのセキュリティ製品開発やIoT機器のセキュリティ対策支援で培ったノウハウを生かし、サイバーセキュリティに関連する法規への対応に関する現場の困りごとを解決
IoT製品の開発ライフサイクル全体のセキュリティ対策を支援するプラットフォームです。IoT製品、組込み機器に特徴的な、マイクロコンピュータなどのアーキテクチャーのバイナリ分析を幅広くサポートしています。SBOMに加え、ハードウェア情報、OS設定といった情報も含むサイバーデジタルツイン※6を生成し収集した脆弱性情報との突き合わせを実施します。サイバーデジタルツインにより、検出された脆弱性の深刻度や関連性を評価し、本当に対策が必要な脆弱性を見極めることができます。公開脆弱性情報の管理以外にも、実装時の脆弱性の作りこみチェックや、業界準拠チェックの支援機能を提供します。
※6 製品全体の構成情報を再現したデジタルレプリカ
脆弱性の深刻度スコアはもとより、前提となるアーキテクチャーの条件などにより、対策が必要な脆弱性を絞り込み(トリアージ)
個々の脆弱性に該当するバイナリを全社で一元管理し、PSIRT運用を強力に支援
JenkinsやGitLabなどのCI/CD※7ツールとの連携、チケット管理ツールJira Softwareとの連携をサポート
※7 CI/CD(Continuous Integration/Continuous Delivery):継続的インティグレーション/継続的デリバリー
製造業や重要インフラで培ったセキュリティ対策の豊富なノウハウを生かし、IoT製品の各開発プロセスに求められるセキュリティ対策を支援します。セキュリティの課題を洗い出し、どこまでどのようにセキュリティを確保すればいいかをコンサルティング可能です。
脅威分析・リスクアセスメントを実施し、セキュリティ対策を提案
海外顧客向けの製品に対してIEC 62443など国際規格への適合についてコンサルティングを実施
IoT製品の開発製造に求められるセキュリティ対策の基礎知識、業界動向を学べるワークショップを開催
IoT製品のセキュリティを支援するための部品ライブラリです。PKI証明書の配布や管理機能を提供するほか、軽量暗号化により、リソースが少ない製品でもデータ暗号化・改ざん検知機能を実現可能です。デバイスに組み込んで利用できる部品をAPIで提供するので、急にセキュリティ機能が必要になった場合でも、早期に対応できます。
デバイス認証に使用する証明書の発行・配布・管理機能を提供
鍵管理により暗号鍵を安全に配信することが可能
低リソースでも動作する軽量暗号アルゴリズム(ISO/IEC 29192-6)によるデータ暗号化・改ざん検知機能を提供
サイバーレジリエンス法対応支援コンサルティング
サイバーレジリエンス法の準拠に向けて、組織の構築や対応方針などをコンサルティングします。そもそも何から始めればいいのかわからないという方は、こちらをご覧ください。