IoTデバイスの増加にともない、懸念されるセキュリティの問題。日本国内でもIoTデバイスに対する不正アクセスの数は年々増加する傾向にある。だが、IoTデバイスは用途も種類も多様であり、セキュリティ対策に正攻法はないのが現状だ。OSより上位のレイヤーにエージェント等を導入し外部の攻撃から保護するといった方法が一般的だが、それで完全にデバイスを保護できるわけではない。
株式会社オプテージは、ソフトウェアが格納された「フラッシュメモリー」本体を保護することで、ファームウェア等の改ざんを防ぐIoTセキュリティサービスの開発を進めている。同社はそのコア技術を持つイスラエルのスタートアップ企業であるNanoLock Security社と提携。2021年春からのサービス提供を予定している。
オプテージが着目する、フラッシュメモリーに焦点をあてたIoTセキュリティサービスについて、同サービスの企画や開発を統括する同社ソリューション事業推進本部 ソリューション企画部長 矢野宏明氏に話を聞いた(聞き手:IoTNEWS代表 小泉耕二)。
※写真:左から株式会社オプテージ ソリューション事業推進本部 ソリューション企画部 ソリューション企画チーム 竹内淳氏、矢野宏明氏、川口雅史氏
フラッシュメモリーの保護とIoTデバイスの一元管理を実現する、新しいIoTセキュリティサービス
IoTNEWS 小泉耕二(以下、小泉): IoTデバイスをフラッシュメモリーから保護するというのは、とても新しいアプローチだと感じました。
オプテージ 矢野宏明氏(以下、矢野): IoTデバイスのセキュリティ対策としては、OSやアプリケーションのレイヤーでウイルス対策ソフトをインストールする、という方法があると思います。しかし、この方法はデバイスの「入口」だけを守る方法となります。
つまり、侵入しようとするウイルスを、ウイルス対策ソフトが撃退できなければ、デバイスは乗っ取られてしまうことになります。デバイスを守りきるには、ソフトウェアが格納されているフラッシュメモリーそのものを保護する必要があると私たちは考えました。
矢野: 実際、OSより上位のレイヤーを保護するセキュリティサービスは市場に数多くありますが、OSより下位の領域(ファームウェア)を保護するサービスはほとんどありません。しかし私たちは、これからIoTデバイスの高機能化が進むにつれて、ハードウェアレベルの抜本的なセキュリティ対策が重要になってくるだろうと予測しています。
こうした背景から、私たちはフラッシュメモリーを保護することをビジネスチャンスととらえ、優れた技術をもつ企業を探してきました。そこで出会ったのがNanoLock Security社です。同社はイスラエルのスタートアップ企業で、フラッシュメモリーを保護する技術の特許を複数持っています。世界の大手メモリメーカーなどと協業しており、大変実績のある企業です。
小泉: 具体的には、どのようなサービスを提供するのでしょうか。
矢野: お客さまのIoTデバイスを保護するためのサービスを、「IoTセキュリティプラットフォーム」として提供します(下の画像)。そのプラットフォームには、次の4つのサービスが含まれます。
1つ目は、ファームウェア等の改ざんを防ぐためのフラッシュメモリーを保護する技術の提供(①)。2つ目は、セキュアなファームウェアの更新を行う機能(FOTA)です(②)。これにより、更新サーバのなりすましや不正ファームウェアの侵入を防ぎ、正しいファームウェアの更新だけを安全に行うことができます。
3つ目は、IoTデバイスの一元管理・監視を行うクラウドサービスです(③)。IoTデバイスごとに、死活や稼働時間、そして第三者による改ざんによってファームウェアが変更されていないことを確認できます。また、改ざんが実際に行われなくても、「何らかの攻撃を受けている」ということを検知できます。つまり、インシデントが起こって初めてそれを知るのではなく、自分たちの管理するIoTデバイスが安全な状況にあるのかどうかを、リアルタイムで確認することができる仕組みです。
4つ目はMSS(マネージドセキュリティサービス)で、お客さまへインシデント通知やレポートの通知を行うサービスです(④)。ただし、これはオプションとして予定しており、ニーズは調査中です。
小泉: ①のフラッシュメモリーを保護する技術というのは、具体的にどういうものでしょうか。
矢野: こちらは、「ハードウェア版」と「ソフトウェア版」の二つがあります。ハードウェア版は、NanoLock Security社が開発した専用のフラッシュメモリーをデバイスに搭載するというタイプです。この専用メモリーは特殊な信号が入力されないとファームウェアの書き換えができないというものです。
ただし、この専用メモリーを実装するには、デバイスの基板から設計しなおす必要があります。そこで、ハードウェア版より比較的に容易にフラッシュメモリー保護機能を付与できるタイプとして、ソフトウェア版を提供します。こちらは、当社から専用のモジュールやSDKを提供しますので、それらをOSに組みこむだけで、フラッシュメモリーを保護することができます。
なお、OSは標準としてLinuxに対応していますが、それ以外の個別のOSについても、ニーズに対応していこうと考えています。
IoT時代の一歩先を見据えた、オプテージの次なる成長の軸
矢野: ビジネスモデルは、次の2パターンを考えています。1つは、デバイスベンダーさま向けの提供モデルです(下の図)。デバイスのセキュリティ機能を検討しているベンダーさまに、弊社からフラッシュメモリーの保護技術(①)ならびにプラットフォームサービス(②、③、④)を提供します。
もう一つのビジネスモデルは、デバイスを独自に開発されていないIoTサービス事業者さま向けです。そうしたお客さまには、まずデバイスベンダーさま経由でフラッシュメモリーの保護技術(①)を提供するとともに、弊社から直接プラットフォーム(②、③、④)を提供します。
小泉: 料金体系についてはどうでしょうか。
矢野: まだ検討中ではありますが、たとえばフラッシュメモリーの保護技術の組み込み(あるいは専用メモリーの内蔵)については、1デバイスあたりの料金を設定します。また、プラットフォームの利用料については、デバイスの数に応じたサブスクリプションを考えています。ただ、企業さまによってはデバイスの管理画面をすでにお持ちという場合もあると思いますから、その場合はAPI連携をおこない、弊社からはデータだけを提供するということも可能としています。
小泉: IoTといっても幅広いです。どういう分野のエンドユーザーを想定していますか。
矢野: IoTデバイスの用途はさまざまです。弊社のセキュリティサービスに関しては、安価なセンサーなどではなく、高度なセキュリティが求められる機器を対象に提供する予定です。たとえば、機微な情報をあつかう通信機器やカメラ、金銭に関わるATM、決済端末、自動販売機、そして安心安全が求められるスマートホームや医療機器、公共交通の分野などです。
こうした分野ではIoTデバイスの高機能化が進み、ファームウェアのバージョンアップも頻繁になっている傾向にあります。そのため、OSより下位のレイヤーでIoTデバイスを保護するというアプローチが重要になります。
小泉: 最近では、「エッジコンピューティング」という言葉が注目されているように、モノが通信でつながるだけでなく、モノ自体の自律化(高機能化)も求められています。そうなると、デバイス本体のセキュリティは今後ますます重要になってきそうですね。
矢野: デバイスを保護するのが大変である一方で、攻撃をしようとする側もそう簡単ではありません。特にIoTデバイスはITと違ってOSの種類もたくさんあるために、攻撃する側も大変でしょう。
ただ、それも今だけかもしれません。3年後にはIoTデバイスの標準化が進むことで、今よりもサイバー攻撃の数は増える可能性があります。
小泉: 通信インフラ事業を主に手がけるオプテージが、IoTデバイスのセキュリティサービスを提供するというのは、少し驚きもあります。
矢野: おっしゃるとおり、弊社のIoT事業の中核にあるのは、通信インフラや格安SIMのサービスである「mineo(マイネオ)」など、どちらかいうと「通信」の領域です。ただ、弊社としては、ワンストップでお客さまのIoT導入をサポートできる企業を目指し、多面的にソリューションの拡大を進めています。
その中で、セキュリティというのは欠かせない領域であり、またそれを担保することには大きな社会的意義があります。私たちはこの事業をオプテージの次の成長の軸として育てていきたいと考えています。
小泉: 本日は貴重なお話をありがとうございました。