バックナンバーはこちら

today&tomorrow

Industry Trend

2017 Jan Winter vol.105

遍在するソフトウェア、遍在する脆弱性

シノプシス シグナル・インテグリティ・グループ、ビジネス開発担当マネージャー Robert Vamosi

以前のソフトウェアといえば、個人用のPCや企業のサーバなど、伝統的なコンピューティング・プラットフォームで実行されるものと決まっていました。ところが今や、チップレベルでファームウェアが動作するトースターや、複雑なオペレーティング・システムが稼働するスマートテレビなど、ほとんどすべての機器で何らかのソフトウェアが実行されています。それに加え、自動車や医療機器など人命を預かる製品や国家の重要な基盤を支える産業用制御システムでもソフトウェアが果たす役割が大きくなっています。

個人の情報共有や電子商取引が行えるウェブサイトは今も増え続けています。こうした第1世代のインターネットは今、ネットワークに接続した多数のエンドポイント機器がウェブAPIを介してクラウド上の複雑なサービスに接続するIoT(Internet of Things)へと進化を遂げています。この結果、大規模な分散処理によってかつてない斬新な機能が実現しています。しかし同時に、これまでになかった課題も生まれています。

「スマート」とは

どこにでもあるラジオを例に考えてみましょう。20世紀のラジオといえば、部品を数ドルで購入して自分で回路を組み立てることも可能でした。これに対し、現在のデジタル・ラジオはもっと複雑です。その理由の1つに、ソフトウェアの存在が挙げられます。以前のラジオは単純なバリコンを用いて手動でAM/FM周波数を選局していましたが、現在のラジオ信号はデジタルでプリセット可能です。小型の画面に曲名やアーティスト名だけでなく広告までも表示できます。HD RadioやDAB(Digital Audio Broadcast)とも呼ばれるこれらの新しいラジオは、周波数ではなく放送局名で選局したり、現在地の最新気象データを表示したりできます。こうした機能は各種通信プロトコルを利用して実現しています。

同じようなことはテレビにも起こっています。以前のテレビはブラウン管とアンテナ線(簡易タイプを含む)で構成されており、それぞれの地域の主要なテレビ局からの放送信号をすべて受信していました。現在のテレビ信号は、ラジオ同様アナログからデジタルに移行しています。しかも現在のテレビは放送信号をアンテナから受信するだけでなく、インターネットにも対応しています。これらの新しいスマートテレビでは、音声と映像以外にさまざまなコンテンツにアクセスできます。画面に映っている俳優や撮影スポットに関する詳細情報にもアクセスできます。番組で紹介された品物を、その番組を見ながらインターネットで注文することもできます。

世界は今、IoTによって大きく変化しようとしています。自動車や家庭用電化製品、そして体内埋め込み型の医療機器にはICが内蔵されており、これらはソフトウェアで動いています。ただし、スマートウォッチなどの機器では昔からあるような本格的なオペレーティング・システムが動作しているわけではありません。これらの機器はシステム・オン・チップ(SoC)で動作しており、リアルタイム・オペレーティング・システム(RTOS)が使われています。

ソフトウェアおよび新しい機能を追加することと信頼性の向上には直接的な相関関係があります。スマート回路は故障しにくく、スマート・チューニングは非常に高精度なため音質や画質が向上します。問題は、インターネット経由であらゆるものを接続して新しいサービスや機能を提供したり信頼性を高めたりすることばかりに気を取られ、セキュリティがなおざりになってしまうことが多々あるという点です。これらの機器は従来型のなオペレーティング・システムを使用していないとはいえ、チップレベルのファームウェアやスマートフォンのアプリケーション・ソフトウェアが攻撃を受ける可能性はあります。

伝統的に組込みソフトウェアの多くはセキュリティを考慮して設計されておらず、機器自体にもアップグレードの機能がないため、不具合の修正が困難です。このためチップレベルのファームウェアに脆弱性が見つかると攻撃を受ける可能性があります。

チップレベルのソフトウェア以外に、スマート機器と相互に通信するアプリケーションは無数にあります。スマートフォン、スマートウォッチ、タブレットなどのアプリを使用してテレビ、冷蔵庫、空調、照明システムを制御できるものもあります。これらのアプリはBluetoothなどのプロトコル以外に、多くの場合複数のオープンソース・ソフトウェア・パッケージを利用しています。これらのパッケージのライブラリは必ずしも最新の状態に更新されているとは限らず、既知の脆弱性を含んでいる可能性があります。

また、スマート機器はその性質上、ユーザー自身やその環境といった重要な個人情報を収集・共有します。このため、ソフトウェアで動作する機器が犯罪者にとって格好の攻撃対象となりつつあります。

カテゴリートップ