組み込みデバイスセキュリティにライフサイクルアプローチが求められる理由

eSecurity Planetのコンテンツおよび製品に関する推奨事項は、編集上の独立性を保っています。パートナーへのリンクをクリックいただくことで、当社が収益を得る場合があります。 詳細はこちら

長年にわたり、企業は運用技術(OT)、モノのインターネット(IoT)、組み込みデバイスを、従来型のIT資産とは異なるものとして扱ってきました。 

これらシステムの多くは、数十年にわたって稼働することを前提に設計されており、パッチ適用やハードウェア交換が難しい環境で使われていることも少なくありません。 

この長い運用寿命こそが、老朽化したソフトウェアと急速に進化する脅威が衝突する形で、サイバーセキュリティ上の課題を拡大させてきた要因です。

今日、組み込みデバイスのセキュリティは、単にパッチを適用すれば済む話ではなくなっています。 

リスクを効果的に管理するには、長期稼働するシステムを支えるソフトウェア、ファームウェア、そしてサードパーティコンポーネントについて、企業が継続的な可視性を確保する必要があります。

組み込みデバイスセキュリティの要点

  • 老朽化したソフトウェアが最新の脅威やAIによる脆弱性発見の高速化と衝突することで、長期稼働する組み込みデバイスのサイバーリスクが増大
  • 従来型の資産インベントリ、脆弱性スキャナー、SBOM(ソフトウェア部品表)だけでは、組み込みソフトウェアのリスクを正確に評価するために必要な可視性が不足しがち
  • バイナリレベルの解析は、ソフトウェアコンポーネント、脆弱性、隠れた依存関係を特定するための、より信頼できる基盤を提供
  • OT、IoT、その他の組み込みシステムでは、頻繁なパッチ適用よりも、継続的な可視性確保、リスクベースの優先順位付け、代替的な制御策のほうが現実的な場合が多い 

レガシーソフトウェアが生み出す現代的なセキュリティリスク

10年以上前に導入された多くの産業用コントローラー、医療機器、通信システム、重要インフラ製品は、今なお稼働を続けています。 

ハードウェアが機能し続けている一方で、それらのデバイスに搭載されたソフトウェアは、まったく異なる脅威環境を前提に構築されたものです。

Finite State社のCEOであるMatt Wyckhouse氏によると、リスク環境を一変させた大きな変化が3つあるといいます。 

  • デバイスの接続性がますます高まっていること
  • オープンソースコンポーネントに長年にわたり脆弱性が蓄積してきたこと
  • 攻撃者が、エンタープライズIT環境に比べてセキュリティ対策が手薄なことが多い組み込みシステムを標的にし始めたこと

人工知能(AI)がこの傾向に拍車をかけています。 

AIを活用したリバースエンジニアリングや脆弱性の発見により、研究者だけでなく攻撃者も、ファームウェアを解析して弱点を見つけ出すスピードが従来よりも格段に速くなっています。 

その結果、単に古いという理由で安全とみなされてきたソフトウェアにも、新たに発見された脆弱性が潜んでいる可能性があります。

可視性のギャップがリスク管理を困難にする

企業が直面する最大の課題の一つは、長期稼働するデバイスの内部に実際にどのようなソフトウェアが存在しているのかを正確に把握することです。

従来型の資産インベントリはハードウェアのモデルを特定できても、ファームウェアのバージョン、組み込みライブラリ、サードパーティ製ソフトウェアコンポーネントについては、ほとんど洞察を得られないのが実情です。 

その一方で、開発環境は失われ、エンジニアリングチームは入れ替わり、導入済みの機器群に対するアップデートが一貫性なく適用される中で、ファームウェアのバージョンはばらばらになっていきます。

こうした可視性のギャップは、注目度の高い脆弱性が発覚した際に特に深刻な問題となります。 

導入済みデバイスの内部にどのコンポーネントが存在するかを把握していなければ、自社が影響を受けるかどうかを迅速に判断したり、修復作業の優先順位を付けたりすることはできません。

多くの企業は、製品セキュリティを把握する手段として、脆弱性スキャナー、資産インベントリ、あるいはソフトウェア部品表(SBOM)に頼っています。 

これらはそれぞれ有用な情報を提供しますが、単独で全体像を把握できるものはありません。

ネットワークスキャナーは、セキュリティエージェントを実行できず、能動的なプローブにも確実に応答できない組み込みデバイスに対しては、うまく機能しないことがよくあります。 

資産インベントリはデバイスそのものは特定できても、その内部で動作しているソフトウェアまでは把握できません。 

ベンダーが提供するSBOMでさえ、実際に導入されたファームウェアにコンパイルされた内容を正確に反映していない場合があります。

Wyckhouse氏は、最も信頼できる情報源はバイナリそのものだと指摘しています。 

導入済みのファームウェアを直接解析することで、企業はより正確なSBOMを生成し、脆弱なコンポーネントを特定し、新たに発覚した脆弱性を継続的に照合できるようになります。

パッチ適用から継続的なリスク管理への転換

エンタープライズのエンドポイントとは異なり、多くのOTシステムやIoTシステムは、毎月のスケジュールでパッチを適用したり、業務への支障なく交換したりすることができません。

そのため企業は、継続的な可視性の維持に注力し、ネットワークセグメンテーションのような代替的な制御策を講じ、深刻度スコアだけでなく実際の悪用可能性に基づいて脆弱性の優先順位を付けるべきです。

セキュリティチームは、以下のような見落とされがちな盲点にも注意を払う必要があります。

  • ハードコードされた認証情報や組み込みの暗号鍵
  • レガシーなデバッグインターフェースや放置されたままのサービス
  • 脆弱な静的リンクライブラリ
  • 通常のセキュリティレビューでは見過ごされがちなブートローダーやプリブートコード
  • 実際に導入されているファームウェアと正確に一致しないベンダー文書

自動化が不可欠になりつつある

規制当局からの要求も高まっています。 

欧州連合(EU)のサイバーレジリエンス法(CRA)、医療機器に関する米食品医薬品局(FDA)のサイバーセキュリティガイダンス、そしてより広範なソフトウェアサプライチェーンに関する取り組みが、サイバーセキュリティに対する要求水準を引き上げています。 

こうした要件では、製品のサポート対象期間を通じて継続的な脆弱性管理を実施していることを企業に証明するよう求めています。 

脆弱性の開示が加速する中で、こうした要求を手作業で満たすことはますます困難になっています。

企業は以下の取り組みを通じて、長期的なレジリエンスを強化できます。

  • 導入済みファームウェアからバイナリ検証済みのSBOMを生成する
  • 新たに開示された脆弱性に対してファームウェアを継続的に監視する
  • 脆弱性悪用可能性交換(VEX)データを活用し、悪用可能な問題を優先順位付けする
  • 調達段階でサプライヤーにソフトウェアの透明性を求める
  • 脆弱性データをエンジニアリングおよびコンプライアンスのワークフローに直接組み込む

接続機能を持つ製品が今後も数十年にわたって稼働し続ける以上、そのセキュリティ確保には、ソフトウェアを一度きりの導入としてではなく、継続的に管理されるライフサイクルとして扱うアプローチが求められます。 

企業は、正確な可視性と自動化された脆弱性管理を組み合わせることで、ゼロトラストを支え、リスクの優先順位付けを行い、進化し続ける規制要件に対応することで、セキュリティ態勢を強化できます。 

Ken Underhill

Ken Underhillは、受賞歴を持つサイバーセキュリティ専門家、ベストセラー作家であり、IT、サイバーセキュリティ、リスク管理の分野で25年以上の経験を持つテクノロジーリーダーです。彼のキャリアはネットワーク管理、インシデント対応、ペネトレーションテスト、起業と多岐にわたり、企業のリスク低減とコンプライアンス確保を直接支援してきた経験を持っています。Kenは元看護師・元コンバットメディックでもあり、その背景を生かして、複雑なサイバーセキュリティのトピックを世界中の幅広い読者にも理解しやすい形で解説しています。
複数回の事業売却を経験したサイバーセキュリティ起業家として、Kenは数十年にわたり企業のセキュリティ態勢強化、リスク管理、複雑なテクノロジー課題への対応を支援してきました。彼の専門分野は、全体的なサイバーセキュリティ戦略、クラウドセキュリティ、インシデント対応、リスク管理、セキュリティ意識向上、そして企業に影響を及ぼす新たな脅威まで多岐にわたります。KenはまたAIセキュリティとリスクについて複数のスタートアップのアドバイザーも務めています。
現場での実務経験に加え、Kenは TechnologyAdvice のサイバーセキュリティ・ニュースレター執筆者としても活動しており、ビジネスおよびIT担当者向けにサイバーセキュリティの最新動向や実践的なベストプラクティスを発信しています。Kenは教育者としても知られ、これまでに200万人以上が彼のコースを受講してきました。Global Cybersecurity 40 under 40(2度受賞)、Women’s Society of CyberjutsuによるCyber Champion賞、2019年SC Media Outstanding Educator賞を受賞しています。KenはまたMinorities in Cybersecurity、Black Girls Hack、退役軍人のセキュリティ分野へのキャリア転換を支援するWhole Cyber Human Initiativeといった団体のボランティアも務めています。
Kenは、Western Governors Universityでサイバーセキュリティ・情報保証学の理学修士号を、Strayer Universityで情報システム学(サイバーセキュリティマネジメント専攻)の理学学士号を取得しています。保有資格にはCertificate of Cloud Security Knowledge(CCSK)、Certified Ethical Hacker(CEH)、Computer Hacking Forensic Investigator(CHFI)があり、デジタルフォレンジックの非常勤教授を務めた経験もあります。また2020年から2022年にかけては、世界中で月間20万人以上が視聴するサイバーセキュリティ関連のストリーミングテレビ番組にも出演していました。
彼の活動や専門知識は、Forbes、Reader’s Digest、Medium、TechRepublic、Fox、NBC、CBS、Dark Reading、MSN Moneyをはじめとする有力メディアで取り上げられており、サイバーセキュリティ、選挙セキュリティ、プライバシーに関する信頼できる論客として知られています。

翻訳元: https://www.esecurityplanet.com/threats/why-embedded-device-security-requires-a-lifecycle-approach/

ソース: esecurityplanet.com