内容説明
IoT時代に求められるハードウエアセキュリティの新常識
ソフト対策だけでは守れない。
IoT時代に必須のハードウエアセキュリティを徹底解説!
近年、企業を狙ったサイバー攻撃が急増しており、不正アクセスやマルウエア感染による情報漏洩、システム停止といった被害が後を絶ちません。こうした攻撃に対し、多くの企業はファイアウォールの設置や侵入検知システムの導入など、ソフトウエアを中心としたセキュリティ対策を講じてきました。
しかし著者は、IoTの進展によりネットワーク機器やセンサーデバイス、工場の制御装置など企業活動を支えるあらゆるモノがインターネットとつながっている現代では、ソフトウエアだけではなくハードウエアの脆弱性を突いたサイバー攻撃のリスクも高まっていると指摘しています。
高機能暗号技術の開発などを通じて、長年にわたりハードウエアセキュリティの向上に取り組んできた著者は、企業の情報セキュリティに携わる中で、多くの企業がハードウエアの脆弱性リスクを十分に把握できておらず、対策が後手に回っていることに危機感を感じてきたといいます。そして、こうした状況を改善するためには、ハードウエアの設計段階からセキュリティを考慮し、リスクを未然に防ぐための仕組みや、攻撃を受けた際にも被害を最小限に抑えられる体制を整えるといった対策が不可欠であると訴えています。
本書では著者の知見をもとに、暗号技術を活用したデータ改竄防止、認証強化による不正アクセス対策、設計段階でのセキュリティ確保といった具体的なハードウエアセキュリティ対策に加え、ハードウエアを狙ったサイバー攻撃の実態についても豊富な事例を交えながら解説しています。
情報セキュリティ責任者や経営者をはじめ、IoTを活用した事業展開を考えている企業の担当者にとって実践的な指針となる一冊です。
目次
はじめに
第1章 企業の情報セキュリティが脅かされている
甚大な被害を受けた事例は枚挙にいとまがない
無防備なセキュリティが会社をつぶす
トヨタ自動車のサプライヤー14工場を止める
富士通ロードバランサー機器に対する不正アクセス
情報漏洩が企業に与える影響
個人情報が危機にさらされている
ある大学生の悲劇
身近に危険が潜んでいる
個人情報はどのように悪用されるのか?
サイバー犯罪の被害状況と事例
甚大な影響を及ぼす社会インフラへの攻撃
コロニアル・パイプライン事件
韓国テレビ局事件
スタクスネット事件
医療機関を狙った攻撃
脆弱なハードウエアセキュリティ
第2章 IoT の進展に伴いリスクは増大する一方
サイバー攻撃からIoT 機器を守るハードウエアセキュリティとは
2.1 IoT 時代がやってきた
2.2 ハードウエアが危ない
2.3 「パソコンを使っていないから関係ない」は間違い
2.4 家電製品がインターネットにつながる
2.5 工場の制御機器がインターネットにつながる
2.6 医療・健康機器がインターネットにつながる
2.7 複雑な機械の内部部品への暗号実装
2.8 暗号機能のハードウエア実装
第3章 情報セキュリティの要は「暗号機能」への理解
良質の暗号モジュールをつくることが
ハードウエアを守るための基本
3.1 共通鍵暗号と公開鍵暗号
3.2 暗号のハードウエア実装
3.3 SCU の開発
3.4 SCU 搭載チップの開発
3.5 SCU の社会実装~「セキュリティアダプター」を
基幹とするシステムの開発
セキュリティアダプターを用いたシステムの考え方
第4章 IoT時代に求められる「暗号」防衛術
ハードウエアの脆弱性とソリューション
4.1 「ハードウエアへの攻撃」、その歴史と風土
4.2 物理攻撃
4.3 サイドチャネル攻撃
4.4 故障注入攻撃、撹乱攻撃
4.5 その他の攻撃手法
4.6 トロイの木馬
4.7 半導体設計過程での不正混入
4.8 半導体製造過程での不正混入
4.9 ソフトウエアダウンロード過程での不正混入
4.10 組込機器への不正混入
第5章 新たな技術の導入には新たな備えが不可欠
情報セキュリティの進化なくして企業の成長はない
5.1 ヒズボラ事案のfact
5.2 想定される仮説
5.3 Kプロ/ ハードウエアの不正機能排除研究テーマ3
(ソフトウエアダウンロードのフェーズ)との接点
5.4 Kプロ/ ハードウエアの不正機能排除研究テーマ4-1
(HT 検知システムの開発)との接点
5.5 Kプロ/ ハードウエアの不正機能排除研究テーマ4-2
(電子機器・半導体チップの個体管理)との接点
5.6 HT 排除のためのセキュリティ保証体制
5.6.1 評価/ 認証すべき項目の概要
5.6.2 評価方法論
5.7 「攻撃精度の低い」「汎社会的な」サイバー攻撃について
第6章 セキュリティ保証の体制と技術
6.1 情報セキュリティ保証~その作法
6.2 情報セキュリティ第三者評価認証の考え方
6.3 ISO/IEC15408(Common Criteria)
6.4 CC の功罪
6.5 SESIP民間認証(Global Platform)
6.6 Arm PSA
6.7 CMVP あるいはISO/IEC19790
6.8 ISA/IEC62443 ほか
第7章 結びに代えて
7.1 これまでの要約
7.2 研究成果の社会実装
研究項目〔1-1〕半導体設計IP検証
研究項目〔1-2〕チップ設計検証
研究項目〔1-3〕最先端攻撃・攻撃対抗技術
研究項目〔1-4〕セキュリティ仕様への適合性検証
研究項目〔2-1〕半導体設計データ管理
研究項目〔2-2〕半導体解析による検証
研究項目〔3-1〕ソフトウエア組込段階でのセキュリティ
要求仕様と検証技術
研究項目〔4-1〕不正部品混入検知
研究項目〔4-2〕個体 ID 管理
7.3 セキュリティ保証体制の構築と展開
研究項目〔1-1〕半導体設計IP検証
研究項目〔1-2〕チップ設計検証
研究項目〔1-3〕最先端攻撃・攻撃対抗技術
研究項目〔1-4〕セキュリティ仕様への適合性検証
研究項目〔2-1〕半導体設計データ管理
研究項目〔2-2〕半導体解析による検証
研究項目〔3-1〕ソフトウエア組込段階でのセキュリティ
要求仕様と検証技術
研究項目〔4-1〕不正部品混入検知
研究項目〔4-2〕個体 ID 管理
7.4 我が国の半導体政策について
謝辞
