ニュース

NEC、サプライチェーンのセキュリティ対策に向け機器の真正性をリモートから確認できる技術を実証

 日本電気株式会社(以下、NEC)は4日、コンピューター機器の信頼性と安全性を高める国際業界標準規格を制定する業界団体「Trusted Computing Group(以下、TCG)」が2024年2月に開催したOpen Workshopに、サプライチェーンにおけるサイバーセキュリティ対策として、遠隔からコンピューター機器の改ざんを検知可能とする「リモート検証基盤」を提供したと発表した。

 NECでは、リモート検証基盤を活用し、Open Workshopに参加した企業・大学のサーバーやノートPC、IoTデバイスなどのさまざまなコンピューター機器について、遠隔からの真正性の確認に成功した。複数メーカーの機器が混在するマルチベンダ環境での遠隔からの真正性確認の成功は、国内初だという。

 リモート検証基盤は、IETFが標準化を進めているRemote ATtestation ProcedureSの概念を実現したセキュリティ技術で、NECの防衛事業部門と株式会社サイバーディフェンス研究所で開発した。TCGで仕様策定し、標準化されたハードウェアセキュリティ技術であるTPMを使うことで、メーカーに依存せずにシステム上のコンピューター機器をセキュアに管理し、サプライチェーンにおけるセキュリティ対策のコストを低減できる。

 リモート検証基盤では、サーバーやノートPC、IoTデバイスなどに組み込まれたTPMに、信頼の基点となるハードウェア情報とソフトウェア情報を埋め込んだプラットフォーム証明書を格納し、同時に同じ情報を出荷時の正しいデータ(正解値)として検証システムに登録する。出荷後に構築されたシステムにおいて、プラットフォーム証明書の情報と検証システムに事前登録された正解値と比較することで、OSが起動するまでの各ステップの状態を検証し、改ざんを検知できる。

 ハードウェアレベルでコンピューター機器の構成全体の健全性をリモートで確認できるため、コンピューター機器に対する改ざんが極めて困難となる他、システム全体の各コンピューター機器の真正性を自動で確認できる。

 これにより、特にファームウェアレベルのマルウェアや不正なハードウェアの混入など、生産時を含むサプライチェーン上で発生する脅威リスクからシステム全体を保護できる。これにより、昨今、経済安全保障の背景からグローバルで求められている、機器などの調達時におけるサプライチェーン上で不正な変更がなされていないかを証明する要求事項に対して、有効な対策となるとしている。

信頼の基点となる情報の書き込み
コンピューター機器の真正性確認の仕組み
サプライチェーンのセキュリティ対策

 NECは、リモート検証基盤を2024年4月から、NECのIAサーバー「Express5800シリーズ」に適用し、今後、NECの各種ICT機器に順次適用する予定。また、リモート検証基盤と生体認証など本人認証の仕組みを組み合わせることで、ゼロトラストアクセスの実現を目指す。これにより、サイバー攻撃に対する防御力をより高めるとともに、従来に比べてサイバーキルチェーン対策のコストを抑えられるとして、すでにNEC社内での実証実験に成功しており、また一部の企業には先行して提案を開始しているという。

 今後、NECはゼロトラストアクセスの取り組みについて技術団体への参画や提言を進めるとともに、自社でのサービス化・プロダクト化を進めることで社会への適用を推進し、安全・安心な社会の実現に貢献するとしている。

サイバーキルチェーンの対策