NIST SP1800-34 Supply Chain Assurance

IT Security Specialist,
National Cybersecurity Center of Excellence（NCCoE）
Nakia Grayson

米国国立標準技術研究所（NIST）のプライバシー・エンジニアリング・プログラムのメンバーで、サイバーセキュリティ契約の契約担当代表でもあるNakia Graison氏（以降、Nakia氏）は、デバイスが正規なものであり、ライフサイクルを通じて改ざんや変更が行われていないことを確認する手法「Supply Chain Assurance」プロジェクトについて語った。

「NISTの活動は昨年で50年を迎えました。その間、様々な検証、技術促進、標準化を進めることで社会全体のテクノロジーを推し進めることができたと考えています」と、NISTが歩んできた歴史を語るNakia氏。同時にNISTは日本との連携においても政府だけでなく、様々な分野において協力して開発を進めてきたと力説する。

「サイバーセキュリティフレームワークについても以前から協力関係にあり、現在も企業がサイバーセキュリティーリスクを管理するための自発的なガイダンスとして機能しています」とNakia氏は補足する。サイバーセキュリティは消費者が簡単に、無理なく採用できることが大切で、日常業務を中断することなく継続的に運用できるようにするものだと同氏は続ける。

実際にサイバーセキュリティの課題を解決するにはいくつかの手順があるというNakia氏。「まず、アイデアを出してそれを定義します。どのような課題があり、まだ残っている課題がないか特定するのです。そしてチームを作り、課題解決のために協力しあえるベンダーを選定します。次にライフサイクルに関わるすべての工程をドキュメント化し、それを3つの章とボリュームで構成された“1800シリーズ”という文献として公表します」とNakia氏。最終的に課題解決した内容をセミナーなどで公表、広く利活用できるように周知するのだという。

次にNakia氏は本題となるサプライチェーン・アシュアランスについて解説をはじめる。「サプライチェーンにおけるサイバーセキュリティは、様々な問題を抱えている状況ですが、信頼できるデバイスの特定が難しくなっているという現状があります」。

検証した結果、特に交換されたコンポーネントが信頼できるのか、それを特定するのが非常に困難であり、自社のIT製品のライフサイクルにおいてきちんと追跡し、説明できるようにすることができないという課題が浮き彫りになったのだという。

「そこで、私たちは企業が部品の来歴を検証することができ、デバイスの構成方法を確認できるようにするためのツールセットを構築することを目標にしました」とNakia氏は語る。様々なテクノロジーベンダーがこのプロジェクトには参加し、アーキテクチャを構築するための方法を探すことになった。

その結果、出来上がったソリューションについて、「例えばシリアル番号などを埋め込み、それによりコンポートネントを特定。それをユーザー環境下で検証、承認できる環境を作り、ライフサイクル全体を通して部品の整合性や商人プロセスをモニタリングすることで実現しています」とNakia氏は概要を語った。

Nakia氏は、これらの成果やテクノロジーの概要を紹介するセミナーが世界中で盛んに開催されることについて、「日本からの参加も大歓迎です。興味のあるコミュニティに参加し、フィードバックをいただき、もっと深くプロジェクトについて知っていただくことでみなさんの企業の問題解決に役立つ方法を共同で考えることもできます。みなさんが問題を解決することが私たちをはじめ参加者全員にも有益なので、みなさんが考えるプロジェクトやアイデアがあればいつでも連絡してください」と語り、セミナーを終了した。

本講演の詳細は下記で確認できるので、ぜひご覧いただきたいと思う。

【第1章】＜日本語字幕付き＞アメリカ大使館商務部主催オンラインセミナー
NIST：サイバーセキュリティ・サプライチェーン・リスク管理について

サプライチェーンセキュリティの視点からのIT製品の ライフサイクル全体を考慮したセキュリティ対策

Intel Corporation,
Global Government Affairs, Principal Engineer
竹井 淳（博士：政策・メディア）

「皆さん車やPCを買うとき、安全性や性能を見て買われると思います。車はリコールが起こります。IT製品の場合、さすがにリコールはないですけども、よくあるのはセキュリティのパッチをインストールしてくださいという案内が来ると思います。そういうところを含めて、買うときの状態、それから買った後どういうふうにメンテナンスをしていくか、買った後のメンテナンスをする責任の主体はどこなのか、というところまで含めて考えなくてはいけないのが、今の広い意味でのITでのサプライチェーンセキュリティだと私は取っております」と定義する竹井氏。

なぜ、ITにおけるサプライチェーンセキュリティが必要になるか。それは社会を支えるあらゆる業界の活動をささえているのがITだからだと竹井氏はいう。「これは先進国だけでなく、途上国も同じです。実は彼らはITを飛び越えて、デジタル通貨が広がっていたりします。そういう意味ではセキュリティはすべての人類に関わる課題で、私たちはその責任を理解し、技術を提供していかなければならないと考えています」と竹井氏は語る。

なおかつ、開発、製造、販売、運用といった各フェーズではもちろん、運用の中で生まれる情報に対するリスクヘッジ、さらにはライフサイクルを終えたときの廃棄に至るまでのすべてにおいて、ルールやプロセス、その使い方を含めたセキュリティをマネージすることが、ITのサプライチェーンなのだという。

「食品の世界では生産者偽造などが起こります、医薬品も同じようにフェイク製品が多く、それを回避するための仕組みづくりは薬品業界の課題でもあります。ITの場合も同じで、ライフサイクルのすべてにおいてセキュリティを高めなくてはいけません」と竹井氏。一方で、ITインフラを効率よく使うというニーズもある。「自動運転機能がついた高級車が良く売れていますが、人間の能力を補ってくれるから普及しているのです。これはIT業界でも同じだと思います」（竹井氏）。

車の場合は、運転免許制度があり、交通ルールがあり、さらに任意保険という別レイヤーでの保護手段が備わっている。ITのライフサイクル全体のセキュリティも異なるレイヤーでの対策を含めて考える必要があるのだ。

「例えば、Nakia氏が触れたNISTの1800-34の文書ではチップレベルにIDを入れ、それでトレーサビリティできるようにするといった議論がされています。他の団体でも様々な議論が続けられており、いずれにしてもトレーサビリティ、安全性の担保、標準化といったテーマで議論が進んでいます」と竹井氏は現状を語る。

「例えば『インテル® トランスペアレント・サプライ・チェーン（インテル® TSC）』というサービスがあり、これはIT管理者がデバイスがどこを通ってきて、どんな履歴を持っているのかトレースできる仕組みをブロックチェーンを使って繋いでいくことができるものです。TPM技術とハードウェアIDを使い、データベースを作るもので、一つのデバイスのっ歴をさかのぼることができます」と竹井氏。

さらに同氏は「ほかにもインテル® vProプラットフォームというテクノロジーもあり、特にリモートからの管理機能を拡充します。これは遠隔地にあるファームウェアを管理でき、PCの電源のオンオフもリモート管理が可能です。リモートアクセスが多い企業にとってはセキュリティを高める運用に欠かせない製品だと考えます」と竹井氏は語る。

HPにはこのインテル® vProプラットフォームを採用したノートPCがたくさんラインアップしていることに触れた竹井氏。「HPの製品は積極的に利用していただきたいと思います。また、本日ご紹介したインテルのテクノロジーを評価したい、あるいはPoCをやってみたいという企業様があればぜひご相談ください」と語り竹井氏はセミナーを終了した。

本講演の詳細は下記で確認できるので、ぜひご覧いただきたいと思う。

【第1章】＜日本語字幕付き＞アメリカ大使館商務部主催オンラインセミナー
NIST：サイバーセキュリティ・サプライチェーン・リスク管理について

先進的なコンピュータの完全性検証技術によるエンドポイントセキュリティの ライフサイクル全体にわたる脅威への対処

HP Inc.
Chief Technologist for Security Research and Innovation
Boris Balacheff

冒頭「ハイブリッドワークが当たり前になるなど、働き方が多様化している現代社会においてサプライチェーンにおける安全管理はうまくいっているのでしょうか？」と課題を突き付けるBoris Balacheff氏（以降、Boris氏）。同氏はあらゆる環境で使われるソフトウェアが依存しているハードウェア構成のサプライチェーンについて、そのライフサイクルのすべての段階で脅威が存在することが大きな課題になると警鐘を鳴らす。

「デバイスを構成している部品が正しいのか、最新のものなのか、そういった疑問を投げかけるのは大切なことです。しかし、現在ではその脅威に対応できるシステムを作ってもエンドユーザーが使っている場所までどのようにして届けるかという課題も生まれています」とBoris氏はいう。配送の途中や配送先の自宅などにあるデバイスをIT管理者がコントロールでき、なおかつ追跡することが必要になっているのだ。

「車に乗るためにはきちんとした手順で整備されている必要があります。まずは走行できる状態にしておく必要があるのです。つまり、そこまでは信頼できる店舗やメーカー、つまりテクノロジープロバイダを選ぶことも大切です」とBoris氏は語る。

HPの場合、ハードウェアのもっとも根本的な部分であるファームウェア／BIOSのバージョンや製造元を把握することで信頼性を確立している。「それが分かればセッティングや運用方法、セキュリティなどを考えていきます。ファームウェアだけでも、行るべき設定が多く存在することを理解している人は多くはありません。例えば、ファームウェアにはパスワードがかけられますが、それがどのように管理され、自社ではどのように運用されているか把握できていますか？」とBoris氏は問いかける。

ファームウェアのパスワードを厳重に管理していても、キッティング時にベンダーに預けて一斉に設定を適用するようなケースは多い。その際のリスクはやはり増えているといえる。「逆にファームウェアにパスワードを設定していないとすれば、それはそれでリスクがある運用をしています」とBoris氏。

それらの不安を解消するためにはハードウェアの体系的なモニタリングが必須だという。「例えばデバイスに変更が生じた場合、誰が承認したのか、他の変更履歴はあるかを確認し、リスクマネジメントの観点から判断することになります」と語るBoris氏。デバイスのライフサイクルの中でセキュリティイベントが発生した場合は、どのレイヤーで起きたのかイベントログで確認して対処するが、それと同じことをハードウェアでも行う必要があるのだ。

「HPの製品ではファームウェアが攻撃を受けても自動的にリカバリすることが可能となっています。物理的なパーツへの攻撃から守るメカニズムもこれからは必要になるのです。同時に攻撃があった場合に、それを記録し、リスク対策に利用するメカニズムも構築しておく必要があるでしょう」とBoris氏は語る。

「危険なパスワードによるファームウェア管理から、パスワードそのものを排除し、強力な暗号化で置き換えるシステムの開発も進んでいます。こうした機能はみなさんが行っているエンドポイントセキュリティと組み合わせることができます。正規のデバイスである証明ができれば、エンドユーザーが自宅から社内へアクセスした場合でも、安心して確認・承認ができます。つまり、リモートでのハードウェアデバイス認証は可能なのです」とBoris氏は、冒頭の問に対する解答を説明する。

「ファームウェアへの攻撃が活発になっています。それに対する備えをしているデバイスでコンポーネントが正しいと証明し、改ざんをさせません。そのための標準化も進んでいます。これからのデバイス調達にはこうしたエンドポイントのセキュリティも判断材料になってきます。信頼できるベンダーを選び、適切な運用を心がけてください」と最後にBoris氏は語った。

本講演の詳細は下記で確認できるので、ぜひご覧いただきたいと思う。

【第1章】＜日本語字幕付き＞アメリカ大使館商務部主催オンラインセミナー
NIST：サイバーセキュリティ・サプライチェーン・リスク管理について

サプライチェーンセキュリティの視点からのIT製品の ライフサイクル全体を考慮したセキュリティ対策

Intel Corporation,
Global Government Affairs, Principal Engineer
竹井 淳（博士：政策・メディア）

「皆さん車やPCを買うとき、安全性や性能を見て買われると思います。車はリコールが起こります。IT製品の場合、さすがにリコールはないですけども、よくあるのはセキュリティのパッチをインストールしてくださいという案内が来ると思います。そういうところを含めて、買うときの状態、それから買った後どういうふうにメンテナンスをしていくか、買った後のメンテナンスをする責任の主体はどこなのか、というところまで含めて考えなくてはいけないのが、今の広い意味でのITでのサプライチェーンセキュリティだと私は取っております」と定義する竹井氏。

なぜ、ITにおけるサプライチェーンセキュリティが必要になるか。それは社会を支えるあらゆる業界の活動をささえているのがITだからだと竹井氏はいう。「これは先進国だけでなく、途上国も同じです。実は彼らはITを飛び越えて、デジタル通貨が広がっていたりします。そういう意味ではセキュリティはすべての人類に関わる課題で、私たちはその責任を理解し、技術を提供していかなければならないと考えています」と竹井氏は語る。

なおかつ、開発、製造、販売、運用といった各フェーズではもちろん、運用の中で生まれる情報に対するリスクヘッジ、さらにはライフサイクルを終えたときの廃棄に至るまでのすべてにおいて、ルールやプロセス、その使い方を含めたセキュリティをマネージすることが、ITのサプライチェーンなのだという。

「食品の世界では生産者偽造などが起こります、医薬品も同じようにフェイク製品が多く、それを回避するための仕組みづくりは薬品業界の課題でもあります。ITの場合も同じで、ライフサイクルのすべてにおいてセキュリティを高めなくてはいけません」と竹井氏。一方で、ITインフラを効率よく使うというニーズもある。「自動運転機能がついた高級車が良く売れていますが、人間の能力を補ってくれるから普及しているのです。これはIT業界でも同じだと思います」（竹井氏）。

車の場合は、運転免許制度があり、交通ルールがあり、さらに任意保険という別レイヤーでの保護手段が備わっている。ITのライフサイクル全体のセキュリティも異なるレイヤーでの対策を含めて考える必要があるのだ。

「例えば、Nakia氏が触れたNISTの1800-34の文書ではチップレベルにIDを入れ、それでトレーサビリティできるようにするといった議論がされています。他の団体でも様々な議論が続けられており、いずれにしてもトレーサビリティ、安全性の担保、標準化といったテーマで議論が進んでいます」と竹井氏は現状を語る。

「例えば『インテル® トランスペアレント・サプライ・チェーン（インテル® TSC）』というサービスがあり、これはIT管理者がデバイスがどこを通ってきて、どんな履歴を持っているのかトレースできる仕組みをブロックチェーンを使って繋いでいくことができるものです。TPM技術とハードウェアIDを使い、データベースを作るもので、一つのデバイスのっ歴をさかのぼることができます」と竹井氏。

さらに同氏は「ほかにもインテル® vProプラットフォームというテクノロジーもあり、特にリモートからの管理機能を拡充します。これは遠隔地にあるファームウェアを管理でき、PCの電源のオンオフもリモート管理が可能です。リモートアクセスが多い企業にとってはセキュリティを高める運用に欠かせない製品だと考えます」と竹井氏は語る。

HPにはこのインテル® vProプラットフォームを採用したノートPCがたくさんラインアップしていることに触れた竹井氏。「HPの製品は積極的に利用していただきたいと思います。また、本日ご紹介したインテルのテクノロジーを評価したい、あるいはPoCをやってみたいという企業様があればぜひご相談ください」と語り竹井氏はセミナーを終了した。

本講演の詳細は下記で確認できるので、ぜひご覧いただきたいと思う。

【第1章】＜日本語字幕付き＞アメリカ大使館商務部主催オンラインセミナー
NIST：サイバーセキュリティ・サプライチェーン・リスク管理について