Skip to main content

エッジコンピューティングデバイスのセキュリティについて

エッジコンピューティングの安全性 - エッジコンピューティングはサイバーセキュリティ上どんな危険性がある?

近年、少しずつ普及してきた「エッジコンピューティング」という言葉。意味は「ある特定用途のコンピューティング処理をクラウドから切り離し、現実世界側で分散処理する」というものです。なぜこのような分散処理が必要なのか、そしてそれがもたらすメリットについてこの記事で述べていきます。また遠隔地に接続されたエッジデバイスを侵入者の”物理的”な攻撃から保護する方法についても考察し、エッジデバイスの安全性維持に関する具体例も紹介します。

さあエッジコンピューティングの世界へ!

Edge_computing_e41de9f08252401537097582b755ade4aa3fb6e7.jpg

1 エッジコンピューティングー何を意味する、何を実現させる

エッジ(端)はどこにあるのでしょうか?

「エッジコンピューティング」という用語をもう少し掘り下げてみましょう。用語を説明するときはその用語の歴史を見てみるとよく理解できます。

1970年代、「コンピュータ」は非常に大きく非常に高価なものでした。「メインフレーム」とも呼ばれていたコンピュータは小さな部屋を丸まる使うほどの大きさ価格は1億円超えでした。このようなコンピュータは処理能力を最大限に活用するために複数のユーザーが共同で作業する必要がありました。ユーザーらはキーボード(データを入力)とモニター(出力)だけで構成された「ダムターミナル」を介してプロセッサー、メモリ、ストレージに接続し作業をしていました。

1980年代に入ると集積回路製造におけるVLSI(Very Large-Scale Integration)の出現によりコンピュータのサイズとコストが大幅に下がり1人のユーザーがストレージ、メモリ、処理装置を備えたパーソナルコンピュータ(PC)を持つことができるようになりました。その後、インターネットの登場と高速ブローバンドの普及によりPCユーザーは自分のマシンよりもはるかに強力な遠隔地のコンピューティングリソースに接続できるようになりました。今の「クラウド」コンピューティングと呼ばれるものがこれに当たります。この新しいアーキテクチャはいわば1970年代の集中型アーキテクチャに戻るもので「クラウド」がメインフレームと同じような立ち位置となったのです。強力なサーバーマシンの膨大な配列で構成された大規模なデータセンターは現在、世界中に広がる多数の同時ユーザーの作業処理、メモリ、ストレージ、およびソフトウェア要件を満たすことができています。

クラウドコンピューティングは規模の効率化をによりデータマイニングなどの全く新しい分野の発展にも貢献していますが、一部の用途ではクラウドには不向と言えます。例えば自立走行する自動運転車で、近接センサーの検知で方向転換するのかブレーキをかけるのかを瞬時に判断するようなケースを考えてみてください。このような場合、センサーの値を遠隔地のグラウンドプロセッサ(クラウド)に中継して適切な行動を決定しその応答を受信してから行動に移すまでの時間はありません。わずかな通信の遅れでも車両衝突の原因になり乗員に悲惨な結果をもたすかもしれません。

さて、とても前置きが長くなりましたが、つまり実世界のインターフェースからの信号を瞬間的に処理するようなリアルタイム性を必要とするシチュエーションがある訳ですが、それが「エッジ」というものなのです、情報をできるだけ末端で処理することで(ほぼ)リアルタイムの意思決定が行えるという訳です。言い換えるとエッジコンピューティングとは受信した情報を解釈して行動するために、現場近くに物理的に配置されたコンピューティングデバイスを指します。

ファクトリーフロアエッジー(工場内のエッジ)

工場で使用されている工業用プロセス制御システムは遠隔通信のわずかな遅れにも耐えられない用途の好例と言えます。実際、これらのシステムは遅延に非常の敏感であるためほとんどの場合、中央集中型のアーキテクチャでは制御盤に配置されたPLC(プログラマブル・ロジック・コントローラー: いわゆるシーケンサ)が複数のセンサーの読み取り値を監視し、それに応じてモーターやバルブを駆動するアクチュエータを作動させます。

PLC_Cabinet_5d469effd5fe9f8ce390c039183f8199ec59ed85.jpg

2 産業用プロセス制御に使用されるプログラマブルロジックコントローラー

しかし、現代の工場は規模が大きいためオートメーションエンジニアはコンピューティング・インテリジェンス(小型コントローラ)を工場フロアの文字通り「エッジ(端)」に配置する事を検討しています。

例えば容器内の圧力が急激に異常上昇を想像してください。直ちに安全弁を開く必要がありますが、この弁操作の判断を遠隔地(工場内の離れた場所にある)の産業用コントローラ(中央集中型の制御盤)で制御していた場合、その通信の遅延で大爆発事故を誘発する可能性があります。一方、容器のすぐそばに設置された小型の「エッジ」コントローラ(コンピュータ)が適切な判断を瞬時に行えば事故を防ぐことができます。

その一方、他のセンサーからの読み取りデータやステータスの更新、ソフトウェアやファームウェアのアップグレードは、中央コントローラで処理する方がよいでしょう。実際、5Gワイヤレスセルラー技術の導入が間近に迫っておりこの定期的な通信に高速な接続速度が提供されるでしょう。またエッジデバイスからの大量のデータを蓄積・保存することで次世代エッジデバイスの性能向上を目的とした分析・解釈が可能となります。エッジ・コンピューティング・デバイスはデータをアップロードしインテリジェンスを最新の状態に保つためにクラウドとの定期的な接続を維持していますが、動作時はその接続に依存しません。

露出したエッジの危険性

ここまでエッジコンピューティングのいわば”魅力”について説明してきましたが皆さんのご存じの通り「便利」は「多数のリスク」を生みます。ではそれを見ていきましょう。

戦争の歴史を見ると国の沿岸部は侵入者のアクセスポイントであり常に監視し保護し定期的に補強する必要があるというを教えてくれました。また海岸線が長ければ長いほどこれらの作業はより困難になります。一見、戦争とエッジコンピューティングは何も関係がないように思えますが実はエッジコンピューティングも同様の長い「沿岸」を持っているのです。一元化されたクラウドコンピューティングの場合は情報の出入りが限定されており容易に監視し侵入者から守る事が出来ます。しかしエッジ・コンピューティング・アーキテクチャでは接続しているすべてのエッジデバイスが脆弱性のポイントとなり侵入者にシステムを悪用される可能性があります。侵入者はデバイス自体を制御しようとしたり、デバイス間のやり取りされるデータにアクセスしようとしたりします。侵入者はエッジデバイスを「ボット」軍団の一員とし、第三者にサービス妨害攻撃を仕掛けたりする事もあります。しかし多くのユーザーはエッジデバイスが実行しているタスクと保護に必要な費用が見合わないと考えます。実際にも温度や湿度の測定値にどれほどの重要性があるでしょうか。しかし1台のデバイスを制御できなくなることで生産ラインが停止したり、自動車の運転手が悲惨な事故に巻き込まれる可能性を考えるのであれば、すべてのエッジデバイスを保護することの重要性はよく理解できます。

そこで暗号化ツールや認証ツールを実装して対策する事を考えられています。実際、これらの技術は容易に入手できネットワーク攻撃から守るためにソフトウェアに簡単に実装する事が出来ます。しかしながらすべてのエッジ・コンピューティング・デバイスは物理的に存在しています。言い換えるとそれは私達の普段使用しているコンピュータとそう変わりないものなのです。例えばエッジデバイスのシンプルなUSBポートを使用することで偽造ソフトウェアやファームウェアをアップロードしデバイスのセキュリティ設定をバイパスまたは無効にすることでデバイスの所有者のプライベートネットワークにアクセスする事が出来てしまいます。物理的に攻撃することでネットワーク攻撃防御に適した暗号化ツールなどを無効化するのです。

USB_7eb37674036f3f67c88fa036b9ac3c6e2ca31eea.jpg

3 USBポートからの”物理的”な攻撃

この種の攻撃を防ぐ方法はデジタル証明書を使用する事です。電子証明書にはID情報が含まれておりエッジデバイスを使用しているメーカーは機器にアップロードされた情報の出所と真正性を確認出来ます。しかし電子証明書の信頼性は信頼できる認証局(CA)によって保証されなければなりません。多くのメーカーは利便性の観点から一般的に信頼されている第三者認証局サービスを利用しています。産業用プログラマブル・ロジック・コントローラ(PLC)などの機器にソフトウェアやファームウェアがアップロードされるとPLCは(インターネット接続を介して)認証局に連絡しアップロード時に添付されたデジタル認証書の出所と真正性を確認します。認証書の検証に成功した場合インストールは通常通り行われ失敗した場合はインストールは行われません。しかしこの安全と思われるプロトコルには本質的な弱点があります。それはアップロード時にリアルタイムのインターネット接続に依存している事です。つまり機器に物理的にアクセスした侵入者はネットワークケーブルを外してインターネット接続を遮断し認証局との通信ができないようにすることができるのです。このシナリオではオフラインのPLCがアップロード元を確認する方法がないため侵入者はインストールを続行し、インターネット接続が回復した後に組織のプライベートネットワークに侵入できるように機器の構成設定を変更してしまいます。

工場内のコントローラが物理的にアタックされる事はないかもしれませんが、今後エッジデバイスが急速に普及した場合、自動車などに設置されたエッジが車道や縁石で不正アクセスされる可能性は十分考えられます。これが何千台もの自立走行車に行われた場合、過去最悪な自動車事故が起きる可能性も否定できません。

エッジデバイスのメーカー(ユーザー)にとって別の意味で物理的なセキュリティ上の懸念は遠隔地に設置された機器に純正の交換部品や消耗部品のみが使用されている事をいかに確認するかということです。適切な認証手段がなければ品質の劣る偽造部品(使い捨ての医療用センサーやディスペンサーなど)によって、偽のデータが生成され収益の損失やブランドの評判の低下につながる可能性があります。

物理的な攻撃からエッジを守るために

エッジ・コンピューティング・デバイスの目的が専用機能をクラウドから分離し効率的に実行させることである以上、その物理的セキュリティがクラウドとの永続的な接続に依存するのは非論理的です。では今まで説明してきた脅威に対してどのようにエッジを保護するのがベストなのでしょうか。オフラインのエッジデバイスを保護するための一つの解決策としてはセキュアなマイクロコントローラ集積回路(IC)を追加で搭載する事です。このような暗号化マイクロコントローラはメーカーが独自のCA(認証局)を作成できます。つまり、エッジデバイスは今後アップロード、インストールされる情報の出所を確認するために第三者のCAにインターネットで常時接続しないで済みます。IC内の秘密鍵は製造時にEEPROMにインストールされるので、後の改変が困難になります。よって「信頼の根源」として今後オフラインのエッジデバイスに提示されるソフトウェアやファームウェアのアップデートのデジタル証明書を認証します。このルートキーはマイクロコントローラICの強力な暗号化ハードウェアセキュリティ機能によって保護されており侵入者による不正アクセスや改ざんを防ぐことできます。この方式のもう一つの利点はエッジデバイスの製造業者が別のソフトウェアプロバイダーを使用する場合でも現場のエッジデバイスに物理的な変更を加える必要がないことです。新しいソフトウェアプロバイダーが使用するデジタル証明書はエッジデバイスのメーカーによって電子的に著名されているため現場の機器は保存されている鍵を使って真正性を確認する事が出来ます。また根本的な利点として追加ICがセキュリティの処理を行うのでメインシステムのコントローラ(IC)の処理能力を本来のエッジのタスクにすべて充てられるという事です。

前述した脅威の後半部分である交換部品が偽造部品に変えられることに関してですが本来、エッジで使用される使い捨て部品や交換部品の認証は比較的簡単な作業です。多くのICメーカーはこの機能を果たすために電子認証装置を提供しています。しかし攻撃者はこれらの部品をリバースエンジニアリングして保存されている鍵を見つけ出し、それを使ってエッジデバイスに本物と誤認させる偽造クローンを作成するなど極端な事をします。ですが最近ではメーカーが「物理的なクローンを作れない」と主張する認証用ICが登場しています。これは半導体プロセス技術のわずかな統計的変化を利用して製造時に保存鍵を作成するというものです。これにより侵入者がICパッケージの中身を観察したり調べたりしても保存されている鍵がすぐに変化してしまうため発見する事が出来ないのです。

Digital_key_ca6dd8277bcd401bf42ef13dfa1258b4ef49313a.jpg

4 安全なICは暗号化キーの改ざん防止に役立ちます

まとめ

エッジ・コンピューティング・デバイスはリアルタイム性が高いアプリケーションに対して大いに役立ちます。これらの機器を物理的に保護するにはソフトウェアのアップロードや交換部品の偽造を防ぐために物理的なサイバーセキュリティ対策を追加する必要があります。またアップロードされたソフトウェアやファームウェアの電子証明書を検証するためにオンライン認証機関への接続に依存しているエッジデバイスは、オフライン時に攻撃を受けやすいという問題があります。これらの問題の効果的な解決策としてメーカー(ユーザー)はセキュアなマイクロコントローラ(IC)を追加して独自の認証局を実装することでこの脆弱性を克服する事が出来ます。

Favourite things are Family, Music and Judo. Also, I have the ability to retain and quote useless facts, something that pleases me but can annoy others. My engineering hero - Isambard Kingdom Brunel
DesignSpark Electrical Logolinkedin