Japan
サイト内の現在位置
NEC、システム全体のコンピュータ機器の真正性を遠隔から確認可能とする技術の実証に国内で初めて成功
~サプライチェーンにおけるサイバーセキュリティ対策に活用~2024年3月4日
日本電気株式会社
NECは、コンピュータ機器の信頼性と安全性を高める国際業界標準規格を制定する業界団体「Trusted Computing Group」(以下 TCG)が本年2月に開催したOpen Workshopに、サプライチェーンにおけるサイバーセキュリティ対策として、遠隔からコンピュータ機器の改ざんを検知可能とする「リモート検証基盤」を提供しました。また、本リモート検証基盤を活用し、Open Workshopに参加した企業・大学のサーバやノートパソコン、IoTデバイスなどの様々なコンピュータ機器について遠隔からの真正性(注1)の確認に成功しました。複数メーカの機器が混在するマルチベンダ環境での遠隔からの真正性確認の成功は国内初となります。
本リモート検証基盤は、Internet Engineering Task Force(注2)が標準化を進めているRemote ATtestation ProcedureS(注3)の概念を実現したセキュリティ技術であり、NECの防衛事業部門と株式会社サイバーディフェンス研究所(注4)で開発しました。TCGで仕様策定し標準化されたハードウェアセキュリティ技術であるTPM(注5)を使うことで、メーカに依存せずにシステム上のコンピュータ機器をセキュアに管理し、サプライチェーンにおけるセキュリティ対策のコストを低減できます。
本リモート検証基盤では、サーバやノートパソコン、IoTデバイスなどに組み込まれたTPMに、信頼の基点となるハードウェア情報とソフトウェア情報を埋め込んだプラットフォーム証明書(注6)を格納し、同時に同じ情報を出荷時の正しいデータ(正解値)として検証システムに登録します。出荷後に構築されたシステムにおいて、プラットフォーム証明書の情報と検証システムに事前登録された正解値と比較することで、OSが起動するまでの各ステップの状態を検証し、改ざんを検知することができます。
ハードウェアレベルでコンピュータ機器の構成全体の健全性をリモートで確認できるため、コンピュータ機器に対する改ざんが極めて困難となる他、システム全体の各コンピュータ機器の真正性を自動で確認することができます。
これにより、特にファームウェアレベルのマルウェアや不正なハードウェアの混入など、生産時を含むサプライチェーン上で発生する脅威リスクからシステム全体を保護することができます。昨今、経済安全保障の背景から日本を含むグローバルで求められている、機器等の調達時におけるサプライチェーン上で不正な変更がなされていないかを証明する要求事項(注7)に対して、有効な対策となります。
NECは、本リモート検証基盤を本年4月よりNECのIAサーバ「Express5800シリーズ」に適用し、今後、NECの各種ICT機器(注8)に順次適用する予定です。本取り組みは、NECが2020年より取り組んできた製品のセキュア生産の仕組みをさらに強化し、提供する製品およびシステムのセキュリティ性能を向上させるものです。なお、NECは本リモート検証基盤の実装方式について、複数の特許を出願しています。
また、本リモート検証基盤と生体認証など本人認証の仕組みを組み合わせることで、ゼロトラストアクセス(注9)の実現を目指します。これにより、サイバー攻撃に対する防御力をより高めるとともに、従来に比べてサイバーキルチェーン(注10)対策のコストを抑えることが可能となります。すでにNEC社内での実証実験に成功し、一部の企業に先行して提案を開始しています。
今後、NECはゼロトラストアクセスの取り組みについて技術団体への参画や提言を進めるとともに、自社でのサービス化・プロダクト化を進めることで社会への適用を推進し、安全・安心な社会の実現に貢献します。
以上
- (注1)コンピュータのハードウェア構成およびソフトウェアが正常な状態であること。
- (注2)略称IETF。インターネットで利用される各種技術の標準化を推進している国際任意団体。
- (注3)IETFが規格化したRFC9334
(https://datatracker.ietf.org/doc/html/rfc9334) - (注4)高度なサイバーセキュリティを取り扱う企業。
(https://www.cyberdefense.jp/) - (注5)TCGが規格化したセキュリティモジュール。安全な鍵管理、暗号化機能を提供。
- (注6)TCGが規格化したデバイスの構成証明書。
(https://trustedcomputinggroup.org/resource/tcg-platform-certificate-profile) - (注7)政府機関等のサイバーセキュリティ対策のための統一基準群(令和5年度版)では機器等の調達時に、不正な変更がなされていないことの確認を要求。
(https://www.nisc.go.jp/pdf/policy/general/rev_pointr5.pdf) - (注8)ファクトリコンピュータ、NEC製のネットワーク機器、企業向けパソコンなど。
- (注9)すべてのデバイスやアプリケーション、ユーザーに対して同じレベルの信頼をおかず、個々のアクセスリクエストを厳密に分析してアクセスを許可するか拒否するかを決定することでセキュリティを強化。
- (注10)サイバー攻撃において攻撃者が標的に対して実行する一連のステップのこと。攻撃者は、様々な手法を使用して、情報漏えいなどの最終的な目的を達成するために一連のステップを踏んで攻撃を進める。Cyber Kill Chainはロッキード・マーティン社の登録商標です。
本件に関するお客様からのお問い合わせ先
NECリモート検証基盤担当
E-Mail:promo@zta.jp.nec.com
NECは、安全・安心・公平・効率という社会価値を創造し、
誰もが人間性を十分に発揮できる持続可能な社会の実現を目指します。
https://jpn.nec.com/brand/