ペンタセキュリティが毎月(年12回)掲載しているセキュリティコラムです。
当社のR&DセンターのTOSLabは、本コラムより、社会一般必要なICTセキュリティとその課題について提言することで
企業、そして社会のセキュリティ認識の向上およびセキュリティ文化の定着を支援致します。

【コラム】10年先のICT業界をリードする、自動車の情報セキュリティ!

自動車の情報セキュリティにおける中核技術は、データ暗号化とWebアプリケーションファイアウォール、そして国際標準

 

10年先のICT業界における中核技術は、自動車の情報セキュリティです。情報セキュリティの重要さは言うまでもありません。攻撃により、致命的な被害を受ける場合もあります。しかし、それほど身近な話ではありません。世間を大騒ぎにするセキュリティ事故が起きてからこそ、初めてセキュリティの重要性を実感するのが現在社会の認識です。自動車に関わるセキュリティ問題は、他のセキュリティ問題とは比べられないものです。普通、セキュリティ事故と言えば、情報漏洩や、それによる経済的被害などにとどまりますが、自動車におけるセキュリティ事故は、

人の命にかかわる問題です!

現在、駆動や制動、操向、各種センサーといった自動車における多くの機能は、電子装置によりコントロールされます。最新の自動車には、100個にも及ぶ「電子制御ユニット(ECU;Electronic Control Unit)」が搭載されています。それらのECUをネットワークでつないで車内の様々な情報を収集することで、その自動車のステータスを総合的に把握し、個々の装置をリモート制御するなど、いわゆる「スマートカー」の技術開発が活発化しています。しかし、優れた最先端技術を搭載したからといって、自動車1台そのものをスマートカーと称するのは無理ではないでしょうか。スマートカーの多くの技術は、自動車同士が通信し合う、「コネクティッドカー(Connected Car)」を前提に開発されているためです。

まずは、スマートカーの技術について探ってみましょう。

 

V2X = V2V + V2I + V2N

車車間通信、V2V(Vehicle to Vehicle)

自動車は通信制御装置(CCU;Communication Control Unit)」の経由で他の自動車と通信し、道路状況など、交通情報をやり取りします。近接する自動車同士の通信は、路上に設置されている路側機(RSU;Road Side Unit)」と臨時ネットワークを構成することにより、交通事故の未然防止や安全・快適走行に役立てられます。

路車間通信、V2I (Vehicle to Infrastructure)
道路脇に設置されて、車両とコミュニケーションする路側機(RSU;Road-Side Unit)はお互いに連携し、巨大なネットワークを形成します。RSUは隣接する自動車と通信するこどで、交通安全の保障や渋滞防止のために、渋滞回避ルートの案内や各種マルチメディアコンテンツなどの情報サービスを提供します。

端車間通信、V2N (Vehicle to Nomadic device)
自動車はドライバーのモバイル端末ともつながります。スマートフォンやタブレットを利用し、整備の必要な部品の把握など、車両のステータスをリモート管理できます。つまり、自動車がもう一つのスマートデバイスになるというわけですが、体積や重量に関わらず、様々の機器を一つに結ぶデータセンターの一種として活用できます。

自動車、RSU、交通信号システムといった従来の交通体系、モバイルデバイスなど上記に述べた全ての要素を一つにまとめると、 「高度道路交通システム(ITS;Information Transportation System)」となります。このようなシステムにより、自動車交通の効率性と安全性の画期的な向上を実現できます。

素晴らしい、目覚ましい発想です。しかし、現在の車内ネットワークにおける情報のやり取りには、セキュリティが欠けています。それは、非常に深刻な危険にさらされているということです。つまり、「コネクティッドカー」のネットワークは、外部からの悪意的なハッキングや攻撃などにさらされる恐れがあるという意味でもあり、ドライバーではない違う誰かが遠隔操作して走行装置を誤作動させたり、エンジンを止めたりすると、ドライバーや歩行者の命にかかわる深刻な事故につながる恐れがあります。

さらに、スマートカーに最近話題の「自動運転車(ドライバーレスカー)」が絡み合うと、問題はさらに深刻になります。自動車に搭載されているセンサーと人工知能によって目的地まで自動で運転する「自動運転車」は、機械というモノ(客観性)を利用して人間的欠陥による交通事故を減らし、排ガスなど環境への悪影響を軽減させるための技術的な取り組みです。ところが、インターネット世界で横行している本来の意図とは違うところに流されてしまう「リンクスパム」のような広告手法と悪意的な技術を組み合わせれば、「ドライバーが自動車にA食堂に行くことを命令したにも関わらず、勝手にB食堂に行ってしまえば?」のようなことがリアル世界でも起こり得ます。だからこそ、セキュリティが必要となります。

自動車の情報セキュリティは、車内外のインフラなど、全ての領域にわたって同時に行われなければなりません。それぞれの領域で何が必要なのか、確認してみましょう。

 

まず、車内外のネットワークをはじめ、ひいてはITS交通管理システムなど全てを「公開鍵基盤(PKI;Public Key Infrastructure)」で検証された情報を基に構成すべきです。また、車内外の全てのネットワークはファイアウォールなどで徹底的に保護する必要があります。
車内の場合、あらゆるECUに対しては、安全な起動を保障する「セキュア・ブート(Secure Boot)」や安全にソフトウェアを更新する 「セキュア・フラッシング(Secure Flashing)」を適用し、車内ネットワークには、認証及びアクセス制御を適用することで、それぞれのECUが、受信した通信内容の信頼性を検証できるようにする必要があります。

車外の場合は、V2V, V2I, V2Nなど全ての通信に対し、相互認証を行い信頼性を保障すべきです。それを実現するために、高速スピードで走る自動車環境への最適化を目指し、チャネル帯域幅やRF出力を高めた「次世代車載無線通信(WAVE;Wireless Access in Vehicular Environment)」の国際標準化が進められています。今のところ、無線リンへの接続時間短縮ということなどを理由に認証は行われていませんが、高速暗号化の技術研究などを通じて、必ず解決すべき課題です。

とりわけ着目すべきなのは、ECUからRSUを経てITSに至るまで、全ての通信はWebを介して行われていることです。要するに、自動車の情報セキュリテイにおいてカギとなるのは、Webセキュリティであるということです。

本当に安全な暗号化なのか、従来のプロセスを害することはないか、ソリューションを導入するには、従来のシステムにどのくらいの修正が必要となるのか、修正作業の難易度はどの程度なのか、複数のシステムが繋がっている連携システムの場合、システム間のネットワーク通信区間のセキュリティは安全なのか、今後のシステムの管理や運用に適切なのか、メンテナンスは円滑に行われるのか、そして、決定的にソリューションの価格は妥当なのかなど、考慮すべきことは山ほどあります。

さらに、自動車は代表的な国際商品であることも見過ごしてはなりません。全ての国が自動車を生産しているわけでもありませんし、人々が自国産の自動車しか購入するわけでもありません。それだけに国際標準化は非常に重要です。国ごとにその基準が異なると、販売することも購入することもできないためです。

このように、自動車の情報セキュリティは簡単なことではありません。とりわけ、データ暗号化とWebアプリケーションファイアウォール関連技術を如何に国際標準に徹底適用するのかが最難題です。自動車の情報セキュリティに関心をお持ちでしたら、まずは、上記のあらゆる要素を整えている企業と相談することをお勧めします。データ暗号化とWebセキュリティ専門企業である「ペンタセキュリテイシステムズ株式会社」なら、保有している従来の技術を統合して自動車の情報セキュリティ分野に適用した新技術により、既にIEEE 1609.2とCAMP VSC3規格といった自動車の情報セキュリティにおける全ての国際標準規格を実現しております。

10年先のICT業界における中核技術は、自動車の情報セキュリティです。それは間違いありません。

 

 

 

 

 

【コラム】マイナンバーの導入!カギとなるのは、データ暗号化!

 

マイナンバーの導入まですでに1年を切り、日本国内ではそれに対する様々な声が高まっています。データ工学専門家として関心を持たざるを得ない話題であり、日本政府の発表内容とその反応に注目したいです。
元々の導入目的である複雑な行政手続の簡素化への期待や、IT業界の成長を成し遂げる決め手になると見込まれるなど肯定的な意見も多い反面、プライバシー侵害や個人情報漏洩といったリスクに対する懸念の声も多いです。それは当然のことでしょう。国をあげてのインフラ整備や政策の策定・実行していく上で現れる明暗は、どの国でも同じではないかと思います。韓国の「住民登録番号」と日本の「マイナンバー」マイナンバーは、各種年金、保険、納税、運転免許、パスポートなどそれぞれの行政機関で行われていた業務を、国民一人一人に固有の識別番号を割り当て、情報を一元管理して業務の効率性向上や無駄な重複投資の削減を図ることが狙いです。それは、韓国で使われている「住民登録番号」とよく似ています。したがって、住民登録番号を利用することによって韓国で発生した様々なセキュリティ問題を踏まえて、「マイナンバー」管理システムが今後取り組むべきことについて考えてみましょう。
韓国の「住民登録番号」における問題点は、大きく2つあります。
最初に、個人識別番号そのものに盛り込まれている情報が多すぎることです。住民登録番号だけで、特定人物の生年月日はもちろん、性別、出身地域まで判別でき、その情報を基にデータの整列と検索を行うことで、その他の情報も簡単に推測することが可能です。それは、数十年前の「紙文書時代」に作られた住民登録番号が、元々秘密設計されていなかったためです。それに比べ「マイナンバー」は、設計の段階から韓国の「住民登録番号」のように番号そのものに情報が盛り込まれていないため、このような問題は生じないと思われます。

次に、事実上再発行不可能な単一の固有番号が、余りにも多くのデータベースの識別インデックスとして使われることによって生じる技術的なセキュリティ問題の深刻さを挙げられます。その問題を解決するために韓国では、「i-PIN」という任意に生成させた値を使い、問題が発生したら振替番号を新しく割り当てる、インターネット上の身元確認番号システムが提案されました。しかし、完全に定着している「住民登録番号」システムには追い付かず、業績も伸び悩んでいます。「住民登録番号=インデックス」という設定による問題は今もなお残されています。
個人識別番号をデータベースの識別インデックスとして使うことが、なぜ、問題になるのでしょうか?
一般のデータベースには、テーブル処理と検索のためにインデックス値が必要となります。インデックスは,高速の検索動作だけでなくレコードアクセスに関わる整列など、動作のベースになります。そのため、重複項目はインデックス値として登録できず、テーブル上での完全な固有性が求められます。つまり、効率性だけをみると、完全な単一の固有個人識別番号がインデックスとして使われるのは、適合だといえます。実際にそのように処理される場合も多いです。

ところが、インデックスは、データベースのテーブルの中でも、最もよく呼び出されるものであるため、事実上完全隠蔽は不可能であります。
残りの全ての情報につながるカギとも言えますが、それが露出されており、また多くのシステムに通用するものであるとしたら、それは情報セキュリティの深刻な弱点になりかねません。さらに、インデックス値がユーザの身元を確認することにまで使われるとしたら、ユーザの全ての個人情報がもれなく流出されてしまう最悪の結果につながります。
「マイナンバー」セキュリティソリューションの選択基準
韓国の「住民登録番号」と同様に、日本の「マイナンバー」も徹底した暗号化のプロセスを通じて処理、保存しなければなりません。その重要性は言うまでもなく、それに関わる研究も活発に行われています。その中で、最も信頼できるのが、個人の識別が可能な重要情報は徹底に隠し、それを代替する他の適切な値を使う方法です。

その方法に対する研究も活発に行われており、「トークン化(Tokenization)」をはじめ、フォーマットを維持した暗号化である「FPE(Format-preserving encryption)」など、多様な方法があります。その全ての方法に専門性を持っていて現場の必要に応じて最適の方法で対応できるデータ暗号化専門企業との緊密な連携が何より重要となります。

「マイナンバー」の値を他の値に置き替えて使う方法などを支援するセキュリティソリューションのビジネスは、今後、日本の情報セキュリティ市場をリードすると見込まれます。国レベルのインフラ事業をはじめ、個人事業など大小問わず事業が立ち上がり続けるでしょう。約500万に至る全ての日本の企業は、1年以内に新制度に対応しなければならなく、それに伴う混乱は避けて通れないことです。

この時期にこそ、雨後の筍のように出る「マイナンバーセキュリティソリューション」に対して技術面で適切かどうか、判断に慎重を期す必要があります。従来のITシステムを大きく変更しないままセキュリティを十分に確保することは、大変難しいことです。導入前後の点検も簡単な問題ではありません。
本当に安全な暗号化なのか、従来のプロセスを害することはないか、ソリューションを導入するには、従来のシステムにどのくらいの修正が必要となるのか、修正作業の難易度はどの程度なのか、複数のシステムが繋がっている連携システムの場合、システム間のネットワーク通信区間のセキュリティは安全なのか、今後のシステムの管理や運用に適切なのか、メンテナンスは円滑に行われるのか、そして、決定的にソリューションの価格は妥当なのかなど、考慮すべきことは山ほどあります。

時期が時期だけに、特に、導入費用に関しましては徹底に調べる必要があります。好機を逃瀬ないと思い、低性能の製品を高い価格で販売するなど、市長と消費者を裏切る悪意を持った事業者は必ずあります。
混乱が予想できる時期にあるだけに、問題の核心に集中することを推奨します。問題の核心とは、データ暗号化そのものです。ソリューション導入を決定する前に、データ暗号化専門企業と十分に相談し、状況に適切な対応ができるように体制を整えることが必要です。

日本は、韓国で起きた住民登録番号のセキュリティに関する大騒ぎを反面教師にすべきです。これまで長い間、 同じ性質の問題に悩み、解決し,乗り越えてきた韓国のデータ暗号化専門企業のノウハウをご参照ください。

 

 

 

【コラム】SAPは、会社そのもの、徹底したセキュリティが必要!

 

SAPは、会社そのもの、徹底したセキュリティが必要!
– SAPのデータ暗号化の二つの方式
 
総合型(業務横断型)業務リソース管理(Enterprise Resource Planning, ERP)は、企業も経営および管理のためのコンピュータシステムです。会社内部の各部門にわたり、それぞれ運用されてきた、様々な経営リソースを一つの統合システムとして管理することで、生産性を最大限にする経営の革新のツールです。

ERPセキュリティ

ERPを通じ、会社は、様々なリソースのフローを処理し、監視します。リソースの効率的運用のため、関連データを収集し解析することで、最適な経営的判断ができるようにサポートすることもERPのロールです。そのため、ERPはデータベースを基盤としリソースを管理します。各部署の意思決定の結果は、部署の活動と密接に影響を与え合うため、会社全体のシステムは、有機的に統合され、縦と横を駆けぬきながら連携されたシステムのフローは流れ続けて行きます。

様々なERPソフトウェアがありますが、その中でも、
「SAP(Systems, Applications, and Products in Data Processing)」は代表的なブランドです。全ERPのマーケットにて約50%のシェアを誇り、今シェアを拡大しつつあります。様々な業種と規模の会社で採用していますが、特に大手企業がSAPを好む傾向にあります。SAPを採用し、製造、開発、購買、マーケテイングサービス、流通、会計等の業務を統合管理するため、会社のビジネス活動そのものと言えます。

会社の活動においてERPの比重は相当大きいため、ERPセキュリティこそ会社セキュリティそのものと言っても過言ではありません。会社システムは、会社内部のみ閉鎖的に利用されているため、比較的安全だという考えが多いですが、Web社会の本格化、そして系列会社を含んだ全社的に統合されたシステムの構築が求められているため、社内外の区分が薄れてきています。またSAPもCRM, SCM, SRM等拡張パッケージをERPシステムと連携し統合しています。その結果、ERPシステムのセキュリティ問題は、技術的次元を超えてビジネス的次元へと拡張されていると言える時代になりました。

 

SAPデータ暗号化

 

ERP内部には、従業員の個人情報、金融取引履歴、営業機密等、重要な情報が格納されています。このような情報は、漏えいされてしまうと、その会社の存続自体が危ぶまれる程、機密な情報であると同時に個人情報保護関連の法律により暗号化が必須である情報でもあります。

しかしながら、会社は、ERPデータの暗号化にすぐさま踏み切ろうとはしません。格納データの構造や属性等といった固有の特性により暗号化自体がそう簡単には行かないためです。特にSAPの場合、その特性上データのタイプおよびデータ長を変更することが非常に難しいため、データの属性を維持すると同時にセキュリティを実現することの両立は厳しい課題でもあります。

SAPにてデータ構造を変更するには、色んな制限があります。SAPソリューションにてデータ構造は、標準化および可読性を重視したかたちで構成されているため、データ長および属性の変更を推奨していません。同時にSAPのポリシー上標準機能に影響を与えない範囲内で追加機能の開発は認めているものの、標準機能自体を変更することは推奨していません。

例えば、データ長および属性を変更するか、あるいはプログラムコードを変更する場合、SAP動作において想定外の問題が発生する恐れがあり、その際の対応および保守は、会社が負わなければなりません。そのため、SAPに対しては、通常のデータベースの暗号化ではない、別な方式でアプローチする必要があり、これこそが、的確なSAPセキュリティの選別の決定球となります。

 

SAP暗号化方式

 

SAPデータ暗号化には、大きく2つの方式があります。

その一つは、クレジットカード番号CCN、個人情報、取引情報等といった高度なセキュリティの実装が求められるデータのみをソートし、AES等の通常の暗号化法方式を採用したセキュリティDBに格納する方式です。SAPシステム内部にて実際のデータの代わりに「ランダムなトークン」に置き換えを行うため、「トークナイゼーション(Tokenization)」と言います。主なデータのみを別に分類し安全に格納するという点では、容易な方式と見られますが、各システム間の通信の確立が必須であり、全体的にシステムが複雑になるため、パフォーマンスに大きく影響を与える恐れがあります。

次の一つは、暗号化装置をSAP内部に搭載し、システムと連動する、フォーマットを維持した暗号化、「FPE(Format-preserving encryption)」があります。SAPシステム内部にて動作することで、システムのパフォーマンスには殆ど影響を与えない反面SAPデータベースにあるトークンは実情報であるため、暗号化アルゴリズムおよび鍵管理等高度なセキュリティが必要されます。そのため、必ずFPE専門企業の製品のみを利用することが重要なポイントになります。

重ねて強調したいことですが、ERPセキュリティは、非常に重要です。その中でもSAPセキュリティは、実装においてはシステムの特徴上より厳格に検討を重ねて行く必要があります。 今回のコラムでは、SAPセキュリティの第一歩として、データ暗号化方式についてお話しをしました。

パフォーマンスおよび高度なセキュリティの両立を望むのであれば、トークナイゼーション方式よりはFPE方式のほうが、より適切な方式と言えますが、その際には、必ずSAPセキュリティに関する総合的な知識のあるセキュリティ専門企業と密接に話し合い、プロジェクトを進めて行くことを心掛けましょう。