〒186-0002
東京都国立市東2-21-3

TEL : 042-843-0268

製品進化とマネジメント風景 第79話 重要性を増す安全とセキュリティのマネジメント

コラム

今後、陸海空の移動体の自動化、無人化は少しずつ増加していくことは間違いないでしょう。ただし、それが具体的にいつからかについては楽観論から悲観論まであり、正確な時期を議論するのは時期尚早だと思います。

陸の道路ではいずれ自動運転の乗用車が走り回るようになるでしょう。さらに、有人車に率いられた数台の無人トラックが高速道路や一般道路を走るようになるでしょう。映画ではありませんが、自分の運転車が高速道路を走行中に無人のトラックに前後左右を囲まれるのを想像すると、ちょっと怖くなってしまいますね。

空では、従来の航空機以外に、物流ドローンや検査ドローン、測量ドローンが飛び回わるでしょう。特に物流ドローンは、薬品、半導体などの小型軽量で付加価値の高い製品の運搬でその力を発揮するでしょう。さらにはヘリコプタよりも小型の空飛ぶクルマがこれに加わるかもしれません。

海も例外では無く、自動運転船が使われるようになっていくでしょう。水上輸送は、時間はかかりますが大量輸送に向いており、しかも、エネルギー効率が非常に優れているという長所があります。脱炭素の時代では水上輸送が見直される可能性があるのではないでしょうか。

物流の無人化が進むということは、人間が仕事や生活する空間に、金属とプラスチック製で出来た無人で動く物体が入り込んでくることになります。これは一般人にとって初めての出来事であり、ある意味で一大事です。

当然ですが、最初に気になるのは、それらの安全性です。現在運用されている製品の中で安全性を徹底追及してきた製品と言えば、やはり航空機であり、半世紀超の歴史を持つ航空機産業の経験が参考になります。

航空機は墜落すると大怪我をし、命を落とす可能性があることから、その誕生以来、安全性を担保するために多大な努力をしてきました。特筆すべきは、事故が発生した場合には第三者によって組織された委員会が調査を徹底的に行い、その結果がその後の製品設計、生産、アフターサービスに確実に反映されてきたことです。

その結果、航空機はこの半世紀の間に事故率は約50分の1まで低下しました。自動車の事故も減りましたが、せいぜい数分の1であり、その差は歴然です。

もちろん、同じ環境での比較ではないので、両者を直接比較するのは公平ではないかもしれません。ただ、航空機産業では、「モノは嘘をつかない。故障が起こるのは理由があり、偶然ではない」いう知見に基づき、失敗を真摯に反省して進んできました。人は都合の悪い事を隠したがる傾向がありますが、それを許容しない文化が構築されているのです。

それゆえ、今後、様々な自動化、無人化された移動体が引き起こす可能性がある問題を解決していくために、航空機産業の知見は間違いなく役立つでしょう。

自動運転、無人運転が普及することで起こる新たな心配事としてどのような事が考えられるでしょうか? 無人運転車がインターネットに接続され、遠隔地から操作されるのであれば、やはり遠隔地から乗っ取りが筆頭に挙げられるでしょう。

従来は情報処理系と制御系が分離されていました。仮に情報系に侵入されたとしても、移動体システムの制御に影響を及ぼすことは出来ませんでした。制御系への指示は運転者しか出せなかったからです。

しかし、インターネット経由で無人運転車を操縦するならば、情報系と制御系を連結せざるを得ません。この瞬間、情報セキュリティが、移動体の安全性にも影響を及ぼすようになりました。

では、無人の移動体において、情報セキュリティをどう守っていくのでしょうか? 参考にできそうな話としてスマートフォン(スマホ)があります。スマホは個人に紐づいた機器であり、今日、本人であることのID証明書として使われています。

スマホのユーザー数は数十億であり、車の数はそれより少ないかもしれませんが、それくらいまで数が増えても対応できるので、スマホと類似のセキュリティを採用すれば対応できそうですね。では、スマホはどう管理しているのでしょうか?

スマホのID管理はSIMカードを使っています。SIMとはSubscription Identity Moduleの略であり、そのままズバリの名称ですね。SIMカードは、IMSIと呼ばれる固有番号(全世界人口を上回る)と電話番号の関係を結びつける仕組みを使っています。この仕組みを応用すれば、管理する対象が数百億、1千億を超える個数になっても対応できるでしょう。

しかし、大きな欠点があります。SIMカードはそのカードを入手し、ロックを解除すれば、他者になりすますことが出来てしまうことです。仮に使用するPINコードが数字4桁ならば、ノートパソコンを使って5分以内にロックを解除できるでしょう。

スマホを乗っ取られたら、様々な個人情報が盗まれて確かに一大事になります。しかし、そのスマホ自身が他人に身体的な危害を加えることはありません。これに対して自動運転車やドローンが乗っ取られると、それは凶器に変身するため、より大事となります。

そこで、SIMのセキュリティを強化する動きが活発化してきました。方向性としては、SIMの横にTPMを追加する、あるいは、TPM機能を持つSIMにすることが検討されています。ちなみにTPMとは、Trusted Platform Moduleの略で、まさに信頼性を担保するための道具です。

TPMについて辞書的な説明をすると、「独自のCPUおよび安全な記憶領域を備え、機器本体のCPUとは独立した主体として暗号処理するなどの機能を有し、耐タンパ性をもつモジュール」となります。

つまり、第1に、パソコンやスマホという機器本体と独立した存在であり、そのオペレーティングシステム(OS)ですらアクセスできません。よって、TPMに秘密の暗号鍵を保存しておければ、仮にインターネットから自分の機器に侵入されたとしても、TPMに隠した鍵を盗まれることは無いということです。

第2に、仮に機器が盗まれると、攻撃者は、TPMに対してサイドチャネル攻撃などの非侵襲的攻撃や、まさにTPMの外側のカバーを外し、配線をむき出しにする処理を行って侵襲的攻撃を試みるでしょう。

TPMでは、非侵襲的攻撃に対する防御策として、内部にカウンタを持ち、パスワード入力を数回間違えるとアクセスできなくする機能を持っています。他方の侵襲的攻撃を防ぐのは大変です。回路が丸裸にされてしまうからです。

ここで侵襲的攻撃を無力化するために付与されるのが耐タンパ性です。これは、ハードウェアに何らかの変更が加えられると、持っていた情報が失われ、隠した暗号を取り出せなくてしまう仕掛けです。

TPMは、具体的には、TPMは、CPU、入出力部、不揮発性メモリ、揮発性のメモリ、PCR、各種暗号処理エンジンとカウンタから構成されるマイコン相当のコンピュータですが、いかなる攻撃に対しても秘密を守り通す要塞として設計、製造されています。

PCRというとコロナの検査を想い出しますが、これはPlatform Configuration Registersの略です。TPMは、コンピュータ起動時に、このPCRを使って揮発性メモリ、ブートローダやOSが攻撃者によって書き換えられていないかどうかをチェックします。そういう意味ではコロナウイルス感染をチェックするテストに似ていますね。

TPMの防御策の説明を続けます。不揮発性メモリに門外不出の鍵があり、それを使って通常の認証時などに使う鍵(Attestation Identity Keys)を生成し、普通の認証にはこれが用いられます。

もし貴方がWindowsパソコンのセキュリティ設定を覗くとTPM機能が見つかります。私がかつて持っていた古いPCをチェックした所、第2世代のCore i5 CPU搭載PCにはTPM機能は付いていませんでした。

それよりは少し新しい第6世代Core搭載PCにはTPM1.2が搭載されていました。第8世代Core 搭載PCではTPM2.0が搭載されていました。それ以降のWindows PCではTPM2.0の使用が必須条件になりましたが、このTPM1.2と2.0とでは一体何が違うのでしょうか?

一番大きな違いは暗号化の部分でしょう。まず、使える暗号化の手法が増えました。TPM1.2では、RSAという素数を使った暗号と署名用のハッシュ関数としてSHA-1という古いものが用いていました。どちらも脆弱性を指摘されている方式です。

TPM2.0では、この脆弱性をカバーするために暗号化手法としてAES(Advanced Encryption Standard)等が追加され、また、署名用のハッシュもSHA-256にアップグレードされました。

我々が通常使用するウェブメールやウェブ会議における暗号化や署名に使われる暗号方式、ハッシュ関数は既にアップグレードされており、セキュリティの根幹であるTPMもアップグレードされたのです。

上記の強い暗号によって、ハードディスクやSSDのストレージの暗号化もできるようになりました。仮にストレージにデータがたくさん入ったパソコンを盗まれても、事前に暗号化さえしておけば、解読されるリスクは以前よりもかなり下がりました。

さらに、TPM1.2ではモジュールがマザーボードに装着されていましたが、今では小型化したこともあり、半導体パッケージ(SoC, System On a Chip)の中に埋め込まれるようになりました。つまり、TPMを操作しようとしたら、小さなチップを開いて中を覗くための操作が必要になったのです。耐タンパ性が増したと言えるでしょう。

ここまで述べてきたように、TPMは、コンピュータ立ち上げ時という根幹的な部分のセキュリティを担保しています。立ち上がった後のセキュリティは別の方法が必要ですが、今回の範囲を超えるので、別の場で議論したいと思います。

情報セキュリティを重視するのは、情報処理系を守るためではあり、それは確かに重要なことですが、いつでも凶器に変わりえる無人移動体の場合には、安全性が最優先であり、情報セキュリティはそのための必要条件です。

これからの時代の製品では、安全性と情報セキュリティの両立が最も重視される要求になってくるでしょう。当社は、神経質なほど安全性にこだわる航空系の開発方法を他の製品にも適用・活用していく専門機関です。お気軽にご相談ください。