IoTの普及が進むなか、リアルタイム性が要求される新たな利用シーンにおいて、つど、クラウドにセンサーやカメラ映像からのデータをアップロードして、分析やアクチュエートを行うには、レスポンス時間や通信コスト上、困難な場合があります。このような課題への対応として、近年注目されているのが、エッジコンピューティングというコンセプトです。NECは、エッジコンピューティングがクラウドを補完し、IoTの利活用シーンを更に拡大することで、社会課題の解決に貢献できるとの考え方のもと、エッジコンピューティングを実現する技術の研究・開発を進めています。本稿ではそのなかで、自律分散協調技術、エッジエンジンアクセラレーション基盤、エッジSW、及びエッジを中心としたIoTセキュリティについて紹介します。

1. はじめに

IoTの普及が進むなか、自動車やUAV（Unmanned aerial vehicle）、ロボットの自動運転や、群衆からの多数の人物の同時認証など、リアルタイム性が要求される利用シーンが新たに増えています。こうした利用シーンでは、つど、インターネット上のクラウド環境にセンサーやカメラ映像からのデータをアップロードして、分析やアクチュエート（機器への実行指示）を行うには、レスポンス時間や通信コスト上、困難な場合があります。また、プライバシーの観点から、映像データをクラウドに送信したり蓄積したりすることに懸念を持たれる場合もあります。このような課題への対応として、近年注目されているのが、エッジコンピューティングというコンセプトです。

同様の言葉として、フォグコンピューティング*という言葉も使われていますが、基本的な考え方は共通です。NECは、フォグコンピューティングの標準化を進めるOpenFogコンソーシアムに参加しており、共通の問題意識を持つ企業・団体と連携して、相互運用性向上を目指しています。

本稿では、NECがエッジコンピューティングの実現のために必要と考え開発している技術として、自律分散協調技術、エッジエンジンアクセラレーション基盤、エッジSW、エッジを中心としたIoTセキュリティを紹介します。

2. 自律分散協調技術

エッジコンピューティングにおいては、一般に、大量のデータ処理を、多数のエッジ、クラウドにまたがって実行します。特に、スマートシティや小売チェーン店における利用シーンでは、エッジが数千台、数万台にもなり、かつ地理的に分散されているため、人手による最適化設計や、実行環境へのアプリケーションの配備は困難です。

これを実現するために、NECが研究開発しているタスク分散配置最適化技術が、FogFlowです。FogFlowは、IoTシステムにおけるデータ処理の流れを、トポロジー（データ処理を行う複数のタスクのフロー）として論理的に定義すると、実際にデータを処理するノード（エッジ、クラウド）の地理的関係を考慮し、コンテナ技術（Docker）を用いて、複数のエッジとクラウドの間で最適に分散配置します。各ノード間は自動的に結線され、システムとして実行可能になります（図1）。

例えば、複数のカメラ映像から、特定の人物（ウォッチリスト、迷子）を発見し、追跡したい場合、人物のマッチング処理をカメラもしくはカメラに付属したエッジに配置し、位置追跡及び可視化処理をクラウドに配置します。これらで、クラウドにデータ量の大きい生のカメラ映像をアップロードする必要がなくなり、通信コストが抑えられるだけでなく、一定のプライバシー配慮もできます。

NECは、引き続きこのFogFlowの技術を発展させ、ノードやネットワークの性能特性や負荷状況に合わせたタスクの自動的な再配置や、障害発生時の自動復旧といった、より高い自律性の実現を目指していきます。

3. エッジエンジンアクセラレーション基盤

IoTのエッジ領域では、各種センサーから得られるさまざまなデータを取り扱います。なかでも、カメラから取得する映像を利用した映像認識では、次のような課題があります。

NECのHW/SW技術を結集して実現したエッジエンジンアクセラレーション基盤は、これまで実現が困難とされていたエッジ上で高度なAI処理を実現し、これらの問題点を解決します。具体的には、電力効率の高いFPGAと省電力CPUを併用し、そのうえにアルゴリズムを最適実装することにより実現します。

例えば、NECは、顔認証エンジン「NeoFace」のFPGA化を行っています。｢NeoFace｣はC++で記述されたソフトウェアですが、これをFPGA化することで、消費電力あたりの性能100倍（性能20倍、消費電力1/5）を達成することに成功しています（図2）。これにより、高精度な4K動画映像を利用して、多数の顔認証を同時に行うといった利活用シーンが、可能になります。

この際、ソフトウェアで実現されたAI処理アルゴリズムをどのようにFPGA上で最適実行させるか、すなわち、ソフトウェアからFPGA RTL（Register Transfer Level）への変換でいかに性能を向上させられるかが、カギとなります。数多くのEDA（Electronic Design Automation）、FPGAベンダーも、この課題改善に取り組んでいますが、その変換レベルは、優秀なFPGA技術者のレベルには及んでいません。

一方、NECには、CyberWorkBenchという先行技術があり、他社ツールに比べ、自動並列化による性能向上技術に秀でています。今般、NECは、エッジエンジンアクセラレーション技術の変換エンジンとしてCyberWorkBenchを活用し、AI処理ソフトウェアの自動変換に着手しています。

また、NECは、ソフトウェア技術者が容易にFPGA開発に着手できるよう、FPGA開発の共通基盤化を進めています（図3）。ソフトウェア技術者が手掛けたAIエンジンは、CyberWorkBenchなどを使いRTL化しますが、その基盤として共通使用できるドライバ、RAS機能、アップデート機能を含んだフレームワークとして準備しています。

この共通基盤の最初の利用例として、NECは、長年取り組み強化してきたナンバープレート認識エンジンのFPGA化を進めています。CyberWorkBenchと共通基盤を利用することで、開発量を大幅に削減し、動作可能なレベルまで通常の半分程度の期間で到達するという成果が、出ています。

将来構想として、エッジ機器のFPGAイメージ及びCPUソフトウェアをクラウドからの配信により動的に変更することで、エッジ機器を能動的に動作させ、第2章の自律分散協調動作の一部もしくは中核として、クラウドや他のエッジ機器と連携した動作を実現することを目指しています。その際、利用者やエンジン開発者、システム設計者がFPGAのために特別な設計を行う必要がなく、CyberWorkBenchによるFPGA自動変換フレームワークにより、FPGAイメージ、CPUソフトウェアへの自動分割をも可能となるよう、開発を進めています。これにより、NECは、独自の価値でエッジコンピューティングの世界を広げます。

4. エッジSW

IoTでは、短期間で技術面・ビジネス面のフィジビリティを検証し、改善サイクルを回していくことが重要です。その際、エッジのアプリケーションも、短期間で開発・更新することが求められます。エッジSWは、エッジ機器上のアプリケーションの可搬性を高め、開発と運用の両面で改善サイクルを支援します。以下に、その特長を示します。

5.エッジを中心としたIoTセキュリティ

5.1 IoTセキュリティの課題

IoTにおける主要なセキュリティ脅威は、不正アクセスや踏み台などであり、必ずしも目新しくはありません。しかし、IoTと従来ICTの違いにより、以下の課題があります。

これらの課題は、コネクティビティ（エッジ及びエッジにつながるネットワーク）領域において顕著です。

5.2 NECのエッジ向けIoTセキュリティ技術

コネクティビティ領域のセキュリティ対策が急務となるなかで、利用できるセキュリティ技術は限られている状況です。NECは、IoTセキュリティ全体のなかで弱点になっている、コネクティビティ領域向け技術に特に力を入れて、開発しています。以降では、エッジ向けIoTセキュリティ技術の1つとして、SDN（Software-Defined Networking）による、通信の仮想化技術をデバイスの通信セキュリティに応用したDevice Securityを紹介します。

Device Securityは、NECで実績のあるOpenFlowの技術をエッジに適用し、外部のSDNコントローラを必要とせずに分散型のSDNを実現したものです。併せて、有線LANを前提としているOpenFlowの仕組みを、無線インタフェースへと拡張しています。SDNの仮想NW層による通信制御によって、悪意ある第三者がデバイス内に侵入した場合でも、情報漏えいをはじめとした通信にまつわる脅威を、水際で防ぐことができます（図5）。

技術的には、OpenFlowの動作原理を許可リスト型のエッジの通信セキュリティの仕組みに応用しており、以下のメリットがあげられます。

IoTシステムでは、現場のデバイス数が膨大となり、それに伴い、ネットワークの設定や構成のバリーションが増加します。例えば、Linux OS標準のフィルタリングといった通信許可リストは、一般的にNW設定を意識した設定が必要であり、バリエーションが増えると設定が複雑化し、また、宛先や送信元のIPアドレスは、DNSやDHCPによって割り当てられるため、人が把握しにくく、セキュリティ管理のハードルが上がる課題があります。

Device Securityは、パケットの識別情報となるIPアドレスやポート番号を、人間が認識しやすい、プロセス名やホスト名（FQDN：Fully Qualified Domain Name）に変換（抽象化）し、通信許可リストとして、指定可能とします。

プロセス名の許可リストは、設定容易化に加えて、送信元のプロセスごとの制限を可能とすることにより、同じ宛先の通信であっても、想定外の通信のみを抑止するといった特徴があります（図6）。

また、SDNスイッチの“検出した未知のフローの取り扱いをコントローラに問い合わせる”というOpenFlowの仕組みを利用し、許可リストに未登録のプロセスから発生した通信と、そのプロセス名をリアルタイムに検知することができます。この機能は、昨今猛威をふるっているIoTマルウェアの検知などへの活用が見込まれます。

また、Device Securityによる通信制御は、ゲートウェイをはじめとしたデバイス自身が、自律的に行います。つまり、許可リストによるポリシーをクラウドから一括集中型で配信し、フローにまつわる制御をデバイスが自律的に行うといった自律分散制御によって、セキュアでスケーラブルなIoTシステムを、実現しています。

本技術の一部は、NECがIoT向けに提供しているエッジゲートウェイに採用されています。

6. おわりに

本稿では、NECが現在開発しているエッジコンピューティングを支える技術のいくつかを、紹介しました。NECは、エッジコンピューティングの活用が、IoTの利活用シーンを拡大し、社会課題の解決につながるとの考えのもと、さまざまなエッジコンピューティング技術を開発しています。関心がございましたら、ぜひお問い合わせください。

執筆者プロフィール

関連URL