building resilience
サイバーデジタルの最前: Part 4
重要インフラにおける
レジリエンスの構築 重要インフラにおけるレジリエンスの構築

DevSecOpsの台頭

人間の知能が最も安全に機能するのは、情報が必要な範囲内で扱われるときであるのと同様に、システムすべてでなく一部分しかダウンさせることができない場合、インテリジェントエッジは最も有効なものになります。

セキュリティは重要ですが、攻撃者から守るだけでは、レジリエントなシステムを作ることは決してできません。セキュアバイデザインとは、コンピュータアプリケーションやシステムを作成するための方法論で、悪意のあるユーザーがシステムに損害を与えたり、攻撃したり、妥協することが困難または不可能となるように、ソフトウェアのすべての側面が本質的に開発されていることです。現在、ソフトウェア開発者の間では、アジャイルソフトウェア開発に情報セキュリティを組み込もうとする動きがあり、DevOpsと情報セキュリティを融合させたDevSecOpsとして知られています。

「DevSecOpsとは、セキュリティを、最後にテストするものでも、脆弱性が疑われる報告書に埋もれるものでもなく、開発プロセスの一部とすることを意味します。そのためには、まずあらゆる角度からシステムを攻撃して弱点を明らかにし、起こりうる混乱を評価することが必要です。そして、探求を続けるのです」と、情報セキュリティのベテランであり、大手企業で制限なくすべてを攻撃するレッドチームを編成したIan Allisonは言います。Allison氏は、「攻撃者の視点からインフラとコードを見ることで、アプリケーション、サービス、データセンター、クラウドの弱点と強みをよりよく理解することができます。現実の攻撃者は、範囲を気にすることはありません。攻撃者は、本番環境と品質保証やテスト環境とを区別しないのですから、私たちもそうすべきです」と述べています。

攻撃は避けられないものであり、現実の攻撃者は生産を停止させることも辞さないため、開発者は攻撃者が与えうる損害を最小限に抑え、封じ込め、修復することを目指さなければなりません。防衛は、しばしばブルーチーム(軍隊から借用した用語)が担当します。レジリエンスを構築するためには、システムは継続的な開発と更新が可能なように構築されるべきで、脆弱性のパッチや被害の修復だけでなく、機能の追加や改良も必要です。

ミッションクリティカルなシステムにとって、これは高尚な目標以上のものです。ソフトウェアの更新のために送電網や走行中の自動車を停止させることは、現実的な選択肢ではありません。最終的には、複数のクラウド上の異なるプラットフォームで多くの制御を行う大規模システムである戦闘機を、飛行中に新機能にアップデートするという最近の実験のように、機能を停止することなくアップデートが行われることが望ましいのです。「私たちが目指しているのは、セキュリティを損なうことなくダイナミックなアップデートを行うことです」とThompson氏は説明します。

もちろん、それは言うほど簡単なことではありません。多くのエッジデバイスの最大の問題の一つは、その更新性の低さです。例えば、産業用や医療用システムの制御装置の多くは、閉じたネットワークの外で接続されることを想定しておらず、脆弱性が蔓延しています。インターネットに接続することを前提に設計されたものも含め、あまりにも多くの「スマート」な消費者向け製品が、セキュリティを考慮せずに作られています。エンジニアリングシステムには、それを知っている人(不満を持つ従業員、請負業者、スパイ)なら誰でも、現場でも遠隔地でも、地球を破壊する機器を制御できるパスワードが1つあるだけかもしれません。また、多くのIoTデバイスは、たとえ隔離された場所にあったとしても、物理的にアップデートする必要があります。

flight
複数のクラウド上の異なるプラットフォームで多くの制御を行う大規模システムである戦闘機を、飛行中に新機能にアップデートするという最近の実験のように、機能を停止することなくアップデート が行われることが望ましいのです。
「セキュリティには攻撃的な考え方が必要で、攻撃者のように考えなければなりません。私たちの多くは、幼い頃から常識の範囲内で考えなさいや良き市民でありなさいと教えられてきました。そのため、ハッカーを雇ってシステムのストレステストをしなければならないのです。そして、ハッカーが与える潜在的なダメージを抑える方法を考えなければならないのです」
 
—Irby Thompson氏
セキュリティ製品販売担当バイスプレジデント
Irby Thompson

なぜか?これらのシステム、特に古いシステムを構築してきた開発者の多くは、誰かがそれを攻撃しようとすることを考えもしなかったし、企業システムのセキュリティ層なしで、インターネットを介して重要なシステムと機器を相互接続することの意味を理解していませんでした。「セキュリティには攻撃的な考え方が必要で、攻撃者のように考えなければなりません」とThompson氏は言います。「私たちの多くは、幼い頃から常識の範囲内で考えなさいや良き市民でありなさいと教えられてきました。そのため、ハッカーを雇ってシステムのストレステストをしなければならないのです。そして、ハッカーが与える潜在的なダメージを抑える方法を考えなければならないのです」

インテリジェントエッジは、セキュリティにおける新しい考え方を推進し、従来のセキュリティ対策のあり方を変えています。

なぜか?これらのシステム、特に古いシステムを構築してきた開発者の多くは、誰かがそれを攻撃しようとすることを考えもしなかったし、企業システムのセキュリティ層なしで、インターネットを介して重要なシステムと機器を相互接続することの意味を理解していませんでした。「セキュリティには攻撃的な考え方が必要で、攻撃者のように考えなければなりません」とThompson氏は言います。「私たちの多くは、幼い頃から常識の範囲内で考えなさいや良き市民でありなさいと教えられてきました。そのため、ハッカーを雇ってシステムのストレステストをしなければならないのです。そして、ハッカーが与える潜在的なダメージを抑える方法を考えなければならないのです」

インテリジェントエッジは、セキュリティにおける新しい考え方を推進し、従来のセキュリティ対策のあり方を変えています。

「セキュリティには攻撃的な考え方が必要で、攻撃者のように考えなければなりません。私たちの多くは、幼い頃から常識の範囲内で考えなさいや良き市民でありなさいと教えられてきました。そのため、ハッカーを雇ってシステムのストレステストをしなければならないのです。そして、ハッカーが与える潜在的なダメージを抑える方法を考えなければならないのです」
 
—Irby Thompson氏
セキュリティ製品販売担当バイスプレジデント
Irby Thompson

閉鎖されたネットワーク

アクセスを制限することは、サイバーセキュリティの最も古い形態であり、おそらく最も効果的な方法です。閉鎖したたネットワーク上で動作するシステムは、ハードウェアや保存データに物理的にアクセスできる者でなければ改ざんすることができません。しかし、従来の軍事システムや企業システムの多くがセキュリティのために使用していたような閉鎖したシステムは、分散型インテリジェントエッジシステムにはなりえないでしょう。コンピューティング、分析、およびアクションをエッジに移すことは、従来の企業システムとはまったく異なるセキュリティ上の課題を提起します。システムへのアクセスを制限し、ハードウェアとデータを保護することが、より重要になります。ウォール・ガーデン(閉鎖されたネットワーク内で動作するように設計されたシステム)は、より包括的なセキュリティアプローチに適していると Thompson 氏は述べています。これは、すべてのアプリケーションで可能なことではありません。しかし、重要なシステムに対しては、検討すべきアプローチであります。

暗号化

敵の手に落ちる可能性のある軍事用組込みシステムでは、静止状態および稼働中のデータを暗号化して保護することが一般的になっていますが、ワーキングメモリに移動して使用するデータやコードのセキュリティという脆弱性は依然として残っています。

データは戦略的資産です。2020年9月30日に発表されたDoDデータ戦略報告書では、米国の全軍事サービスと連合パートナーからのリアルタイムデータの統合が、すべての軍事作戦において、より優れた作戦情報とよりタイムリーで正確な対応を促進することが強調されています。「この変化を可能にするため、米国防総省はデジタル近代化プログラムの一環として、自動化から人工知能(Al)、5G対応エッジデバイスまで、新しい技術を採用しています」と、前米国防副長官のDavid L. Norquist氏は報告書の中で記しています。「しかし、これらの取り組みの成功は、外部ソース、国防総省システム、接続されたセンサーやプラットフォームから得られる膨大なデータの流れによって、このデジタルインフラに安全な方法で情報を供給できるかどうかにかかっています。敵対勢力もデータの優位性を築くために競争しており、データをよりよく活用できる側が軍事的に優位に立てるでしょう」19

Eclipse Foundation の調査によると、通信セキュリティ(43%)と静止時のデータ暗号化(41%)が、IoT ソリューションのセキュリティとして既に最も広く使用されています20 。しかし、継続的なソフトウェアセキュリティと同様に、暗号化はインテリジェントエッジによりダイナミックなものになるでしょう。 エッジ処理のあらゆる段階で、またデバイス間における移動中のデータに対して暗号化を行う機会があります。しかし、その利点は、性能の低下と比較して評価されなければなりません。ハードウェア暗号化装置は最も効果的ですが、開発コストがかかります。もう一つの解決策は、システム全体に暗号化の層を設けることです21

敵の手に落ちる可能性のある軍事用組込みシステムでは、静止状態および稼働中のデータを暗号化して保護することが一般的になっていますが、ワーキングメモリに移動して使用するデータやコードのセキュリティという脆弱性は依然として残っています。

データは戦略的資産です。2020年9月30日に発表されたDoDデータ戦略報告書では、米国の全軍事サービスと連合パートナーからのリアルタイムデータの統合が、すべての軍事作戦において、より優れた作戦情報とよりタイムリーで正確な対応を促進することが強調されています。「この変化を可能にするため、米国防総省はデジタル近代化プログラムの一環として、自動化から人工知能(Al)、5G対応エッジデバイスまで、新しい技術を採用しています」と、前米国防副長官のDavid L. Norquist氏は報告書の中で記しています。「しかし、これらの取り組みの成功は、外部ソース、国防総省システム、接続されたセンサーやプラットフォームから得られる膨大なデータの流れによって、このデジタルインフラに安全な方法で情報を供給できるかどうかにかかっています。敵対勢力もデータの優位性を築くために競争しており、データをよりよく活用できる側が軍事的に優位に立てるでしょう」19

Eclipse Foundation の調査によると、通信セキュリティ(43%)と静止時のデータ暗号化(41%)が、IoT ソリューションのセキュリティとして既に最も広く使用されています20 。しかし、継続的なソフトウェアセキュリティと同様に、暗号化はインテリジェントエッジによりダイナミックなものになるでしょう。 エッジ処理のあらゆる段階で、またデバイス間における移動中のデータに対して暗号化を行う機会があります。しかし、その利点は、性能の低下と比較して評価されなければなりません。ハードウェア暗号化装置は最も効果的ですが、開発コストがかかります。もう一つの解決策は、システム全体に暗号化の層を設けることです21

セキュリティのあらゆる側面と同様に、5GやIoTによってさらに分散したシステムが構築され、より大量のデータが生成されるため、暗号化は継続的な挑戦となるでしょう。同時に、新しいコグニティブコンピューティングと量子コンピューティングの能力は、それを導入する手段を持つだれにとっても武器となり得ます。「NIST(国立標準技術研究所)のアナリストは、量子コンピューティングは15年以内に現在の暗号化方式を使えなくするものであると考えており、DARPA(国防高等研究計画局)がこれに焦点を当てたことも不思議ではありません」と、 Shomo氏は言います。DARPAは、「Cryptography for Hyper-scale Architectures in a Robust Internet of Things(CHARIOT)」というプログラムを通じて、IoTの暗号に関する革新的な研究を募集しています。「DARPAの取り組みには、大規模な脅威を認識する人間の能力を高めることや、よりエキゾチックなAIの進歩などがあります」とShomoはは説明しています22

長寿命のハードウェアは、コンピュータの性能の進歩に対して対応できるのでしょうか?「IoTデバイスは使い捨てのハードウェアであるため、ベンダーが脆弱性のパッチを適用しなくなってからずっと後にデプロイされる可能性があります」とShomo氏は指摘します。「IoTの暗号化は、何十年も持ちこたえる必要があるのです」23

デジタルファーストエンジニアリング

世界的な航空専門家3名が、軍事用航空機システムのデジタル化に伴い、Future Airborne Capability Environment(FACE™) がシステムの安全性を確保するためにどのような役割を果たすかについて話しています。

航空機のような複雑なものの製造は、常に設計、製造、テスト、修正、さらにテストという繰り返しのプロセスです。しかし現在では、すべてをデジタルでモデル化し、非常に忠実なシミュレーションを作成することで、システムがどのように機能するかを示すことができます。「デジタルファーストエンジニアリングでは、飛行機、船舶、ミサイルなどをデジタルで構築し、潜在的な脅威を含めてテストすることができます。そして、運用時には、デジタルツインを並行して実行し、新しい機能や修正をテストしてから、実世界に送り出すことができます」とThompson氏は説明します。

廃止措置

保護されていない組込み機器が悪用されれば、エッジシステムへのゲートウェイになりかねません。ハッカーがデバイスに物理的にアクセスできると、ソースコードを引き出し、リバースエンジニアリングし、同じソフトウェアやネットワーク上で動作する他のデバイスを制御する方法を見つけ出すことができるのです。ドローンが敵地で墜落したり、船舶や航空機が他国によって解体されたりするたびに、機密技術が危険にさらされることになります。ミッションクリティカルなシステムの一部であり、機密性の高いコードで動作する、あるいは漏洩の恐れのあるインテリジェントシステムは、悪人の手に渡った場合に使用できなくなるような機能を備えている必要があります。

セキュリティポリシーで重要なのは、リバースエンジニアリングされる前に、目的を果たせなくなったデバイスを廃棄する能力です。これは、改ざん防止策や、デバイスから機密性の高いソフトウェアや接続を消去する手段を確立することであり、リバースエンジニアリングできるものが何もない状態にすることにより実現できます。廃棄は設計段階で計画し、実現する必要があります。

世界的な航空専門家3名が、軍事用航空機システムのデジタル化に伴い、Future Airborne Capability Environment(FACE™) がシステムの安全性を確保するためにどのような役割を果たすかについて話しています。

航空機のような複雑なものの製造は、常に設計、製造、テスト、修正、さらにテストという繰り返しのプロセスです。しかし現在では、すべてをデジタルでモデル化し、非常に忠実なシミュレーションを作成することで、システムがどのように機能するかを示すことができます。「デジタルファーストエンジニアリングでは、飛行機、船舶、ミサイルなどをデジタルで構築し、潜在的な脅威を含めてテストすることができます。そして、運用時には、デジタルツインを並行して実行し、新しい機能や修正をテストしてから、実世界に送り出すことができます」とThompson氏は説明します。

廃止措置

保護されていない組込み機器が悪用されれば、エッジシステムへのゲートウェイになりかねません。ハッカーがデバイスに物理的にアクセスできると、ソースコードを引き出し、リバースエンジニアリングし、同じソフトウェアやネットワーク上で動作する他のデバイスを制御する方法を見つけ出すことができるのです。ドローンが敵地で墜落したり、船舶や航空機が他国によって解体されたりするたびに、機密技術が危険にさらされることになります。ミッションクリティカルなシステムの一部であり、機密性の高いコードで動作する、あるいは漏洩の恐れのあるインテリジェントシステムは、悪人の手に渡った場合に使用できなくなるような機能を備えている必要があります。

セキュリティポリシーで重要なのは、リバースエンジニアリングされる前に、目的を果たせなくなったデバイスを廃棄する能力です。これは、改ざん防止策や、デバイスから機密性の高いソフトウェアや接続を消去する手段を確立することであり、リバースエンジニアリングできるものが何もない状態にすることにより実現できます。廃棄は設計段階で計画し、実現する必要があります。

「軍事用システムと商用システムの間には、セキュリティ基準における隔たりがあります。」とThompson氏は言っています。また、民間部門で問題が発生した場合の責任は非常に少ないため、市場の力だけでは重要なインフラストラクチャを確保するのに十分ではないと考えています。「セキュリティは常に遅れているように思われます。なぜなら、新しいテクノロジーは、その影響を十分に考え、分析する前に出てくるからです。しかし、他国に我々のネットワークを所有させるわけにはいかないのです。」