News Hot Line

組込みシステムの“セキュリティ”問題の現状

この記事を読むのに必要な時間:およそ 2 分

昨今,組込み機器が高度化し通信機能を有するようになったことから,組込み分野でもセキュリティに関心が集まっている。そこで今回はNPO法人 日本エンベデッド・リナックス・コンソーシアム(Emblix:エンブリックス)が6月に開催した「Emblix総会併催テクニカルセミナー」でのパネルディスカッションの模様を紹介する。⁠待ったなし!組込みシステムのセキュリティ問題」というテーマで,インターネットセキュリティの高橋正和氏,松下電器の田中康宣氏,Emblix会長の中島達夫氏らセキュリティに関する第一人者が日経BP社の横田英史氏の司会のもと,それぞれの立場からの要望や課題などについて議論が行われた。

技術

横田氏
高橋さん,中島さんにお聞きしたいのですが,パソコン,あるいはエンタープライズ系で培った技術は組込みにすぐに使えるものなんでしょうか?
高橋氏
使える部分はたくさんあると思います。たとえばネットワークやシステムのコンフィギュレーション(設定)に関するノウハウは,そのまま流用できると思います。PCやネットワークの管理者は,コーディングをするわけではないため,セキュアプログラミングを手伝うことは難しいと思いますが,ネットワークの使い方や,システムとしての設定の仕方など,セキュリティレベルの高い製品開発につながるノウハウを持っていると思います。
中島氏
その議論のときに考えなければいけないのは,基本的に現在のセキュリティ技術はPCやサーバを中心にいろいろと進化しているということです。そしてPCやサーバ向けにそのまま進化して,組込みシステムに向いていないとわかったときにどう対応すればいいのか。たとえば標準としてそれが完璧に決まってしまっていて,ソフトウェアはこういうものでなくてはいけないとなったときに,そんな重いソフトウェアを載せているとインターネットに接続できないとなったときにどうするのか,ということをポイントとして考えなければいけないと思います。

共同研究

横田氏
大学側からメーカとベンダに対してなにか要望はありますか?
中島氏
メーカさんに対しては,どうやって情報をもらうかということです。個人的に感じているのは,たぶんコンソーシアムでの集まりよりも大学で1対1の共同研究のほうが情報を集めやすいのではないでしょうか。Emblixでの交流できっかけを作り,共同研究に結びつけるなど,うまく使い分けて活動していきたいと思っています。
ベンダさんに対しては,教育の支援をしていただけると非常にありがたいと思っています。学生がセキュリティの技術や興味を持っているというのは今後はより重要だと思いますが,⁠じゃあ,誰が教えるの?」となった場合,我々(大学)サイドからすると,現場でのいろいろな経験があるわけではないので教えることに限りがあるのです。そういうところに何かしら教育をしていただいたり,現場の方に来てもらい経験談などを話していただく機会がたくさんでてくると,最終的には大きな人材育成に繋がるのではないかなと思っています。
高橋氏
共同研究についてベンダの立場から言うと,マイクロソフトさんと早稲田大学さんはやっていらっしゃいますし,うちも非公式な形では,いくつかのプロジェクトを行っています。ただ,共同研究では研究のベースや目的がなかなかかみ合わないところがあります。1つは,情報セキュリティといったときに,5年前まではテクノロジだけを考えればよかったのですが,今はそれだけでは不十分で,ビジネス的な背景も考える必要があります。大学にはこの点を認識されている方が少なく,特定のテクノロジや特定の製品の利用法の研究をもって,情報セキュリティに関する研究成果と考えている場合が多いように思います。そろそろ,セキュリティ研究者なり,学校の先生なりがセキュリティベンダと飲み会でもしながら(飲んでなくてもかまいませんが⁠⁠,そういう話をしてもいい時期にきているのかもしれません。いい時期というのも変ですが,私は研究者とベンダが話をする必要性を感じていますし,いろいろなセキュリティ関係者が同じことを感じていると思います。
田中氏
メーカとして大学側には結構遠慮があって,接点がかみ合わないまま最終結果が中途半端になったりします。⁠本音トーク⁠をどれだけできるかという意味では共通ですね。
メーカとしては大学とコンタクトを取るのは優秀な人材が欲しいという本音があると思います。優秀な人材だけではなく,そこに実践的な技術を載せていっていただけると,もっとうれしいと思います。最近は,産学連携という言葉で共同開発研究にもっと取り組んでいこうという動きがあるので,セキュリティに関してもそのしくみをうまく活用していくべきだと,まずは社内で言っていこうと思います。

人材育成

横田氏
技術と人材育成の両面から組込みセキュリティに対応していかなければいけないと思います。そのことについてメーカの立場から,こういう技術/サービスをしてほしいという要望はありますか?
田中氏
セキュリティにはいろいろ種類があるんですよね。その種類を整理して説明していただけると経営層も理解してくれてうれしいかなと思います。セキュリティ対策をおろそかにするとどういう被害があるかとか,マイナス面があるかなども含めてです。たとえば「フィッシング詐欺は高齢者にはとってもやばいよ」というのはわかりやすい例ですよね。そういった身近な例でアラームを上げていただければ取り組みが進むと思います。みんなまだわかっていないので,⁠サルでもわかるベンダーズセキュリティ』という本でも出してもらえないでしょうか。また一企業ではなかなか解決できない問題は,Emblixのような集まりで情報を共有していけるとうれしいかなと思います。
高橋正和氏
インターネットセキュリティシステムズ⁠株⁠最高技術責任者
情報セキュリティの歴史は失敗と対策の歴史。ぜひこの歴史を調べてみてください。おもしろいです。
横田英史氏(コーディネータ)
日経BP社 制作室次長/ソフトウェア・エンジニアリング・センター 組込みプロジェクト 研究員
セキュリティ対策は,パソコンやエンタープライズシステムで知見がたまっています。異文化コミュニケーションがお勧めです。
田中康宣氏
松下電器産業⁠株⁠プラットフォーム開発センター グローバル推進総括参事
組込み機器にもネットワークセキュリティが重要な時代になってきました。避けられない課題なので,皆で対策を考えていきたいですね。
中島達夫氏
Emblix会長
現状の拡張ではない,セキュリティを前提にした基盤ソフトウェアの実現が今後重要な課題になると考えています。
NPO法人 日本エンベデッド・リナックス・コンソーシアム(Emblix)について

組込みLinuxの普及と周辺技術の標準化を目的として2000年7月に設立された非営利団体。

現在,先端技術の研究と組込みLinuxエンジニアのスキル向上などを目標とし,活動を進めている。

セミナー開催

ET2006カンファレンス Emblixスペシャルセッション

テーマ「組込みLinux最新情報」
日時2006年11月17日(金)10:00~12:00
会場パシフィコ横浜 アネックスホール[F202]
詳細http://www.jasa.or.jp/et

Emblix組込みオープンソースワークショップ2007

日時2007年2月下旬(予定)
お問い合わせ先

入会やセミナー参加など,各種お問い合わせはメールにて事務局宛にお送りください。

Emblix事務局E-mailinfo@emblix.org
Webサイトhttp://www.emblix.org
NPO法人 日本エンベデッド・リナックス・コンソーシアム
URLhttp://www.emblix.org