連載
» 2008年01月25日 00時00分 UPDATE

組み込みシステムに迫りくる脅威(3):カーナビの進化を支える通信機能は諸刃の剣? (3/3)

[清水隆宏(ユビテック ユビキタス事業部)/監修:独立行政法人情報処理推進機構,@IT MONOist]
前のページへ 1|2|3       

カーナビの脅威とその対策

 次に、カーナビに含まれる情報にいかなる種類の脅威が存在し、それらに対してどのように対策を行うべきかについて見ていきます。

 前述のカーナビに含まれる情報とそのライフサイクルを基に、各段階で発生し得る脅威について、STRIDEモデル(注)で分析した結果を図5に示します。


※注:STRIDEモデルについては、連載第1回「出荷状態のままで使用するユーザーもいるんです!」を参照のこと。


STRIDEモデルで分類したカーナビの脅威 図5 STRIDEモデルで分類したカーナビの脅威

 ネットワーク機能を持つことで、カーナビが扱う情報に対する脅威は、「ネットワーク」や「サーバ(カーナビに通信型サービスを提供する外部のサーバ)」などに広がっていくことが分かります。なお、今回の調査では分析を容易にするため、カーナビ本体にかかわる情報にフォーカスして脅威を分析しています。

 それぞれの脅威や対策の詳細は、IPAの「組込みシステムの脅威と対策に関するセキュリティ技術マップの調査報告書」を参照していただくとして、以降で、STRIDEモデルで分類したカーナビにおける脅威に対する対策の概要を示します。

カーナビに対する脅威

漏えい、改ざん

 通信型サービスをカーナビで利用する場合には、利用者はカーナビおよび携帯電話・PHSなどの無線通信網やインターネット網を利用するため、外部に情報が漏えいすることも起こり得ます。また、カーナビには動作するために必要な各種情報および通信型サービス用の情報、利用者が運用中に投入する情報を保持する必要があるため、これらの情報についても機密性・完全性を維持しなければ正しい動作はできません。さらに、ほとんどのカーナビはソフトウェア更新により、アプリケーションデータ、ソフトウェアが入れ替えられる構造となるため不正データが組み込まれる可能性もあります。

 これらの対策としては、カーナビ内の情報資産が読み出された場合でも漏えいを防ぐ「情報資産の暗号化」、不正な手段・手法による情報資産の読み出しや改ざんを防ぐ「アクセス制御」などが考えられます。また、無線通信を行って外部と情報をやりとりする場合には情報を暗号化して送受信するなどの対応も有効でしょう。特に重要な情報については、耐タンパー性(物理的にこじ開けたり、不正に線をつないでも情報を読み出すことができない強固な性質)のあるセキュリティチップに格納し、解析や改ざんができないようにする方法も有効です。

 また、カーナビに外部接続する機器も増加傾向にありますので、許可された機器だけが接続可能となるような機器認証も有効になると考えられます。ソフトウェア更新で地図データなどのアプリケーションデータがCD、DVDなどの外部記憶媒体に格納されるケースでは、不正流通の可能性も発生するため、コピープロテクト・ライセンス管理の導入も有効です。

 こうした物理設計から、通信プロトコル、アプリケーションレイヤまでの各段階で適切なデータの管理と対策が必要となります。

権限昇格

 権限昇格とは文字通り操作権限を不正に上げて、本来のユーザーには許されていない操作を行うことです。カーナビのソフトウェアやハードウェアの改造や外部のサーバアプリケーションによる不正アクセスなどにより発生する可能性があります。

 権限昇格を防ぐには、ソフトウェアにセキュリティパッチを適用して安全な状態を維持することや不必要なサービス/モジュールを停止して標的を減らすことが有効になると考えられます。また、適切な認証(パスワード認証、バイオメトリック認証、電子証明書など)の利用やカーナビ内の情報資産へのアクセス管理機能など、ユーザー管理機能の強化なども有効でしょう。

なりすまし

 悪意を持った第三者がカーナビや通信型サービスを不正に利用することで、カーナビ上の情報を取得・改ざんされたり、高額な有料コンテンツを利用されたりする可能性があります。

 なりすましを防ぐには、利用者とカーナビの間やカーナビとサーバの間で、適切な認証(パスワード認証、バイオメトリック認証、電子証明書など)を行うことが有効になると考えられます。

否認

 否認とは、利用者が自身のカーナビで有料サービスを利用した後に、その事実を本人が否定することです。

 これを防ぐには、サービスを提供するサーバにおいて、利用の事実を示す詳細なログを残すことが必要です。また、バイオメトリック認証などの本人確認を厳正に行う手法を用いることで、サービス利用の事実を確実に証明できる仕組みをカーナビに設けることも有効な手立てとなります。

DoS

 DoS攻撃としては、カーナビに対して外部から多数の不正なアクセスを発生させるなどしてカーナビを正常に動作できないようにすることが想定されます。また、正常なアクセスであっても、想定以上に大量発生する状況では、正常動作が困難になることも考えられます。

 実は、これに対しては有効な対策がないというのが実情です。カーナビの場合、通信を行う際に必ず携帯電話網などの無線通信媒体やインターネットなどを経由しますので、これら事業者でアクセス制御などを行うことによりある程度の対処は可能です。また、カーナビ本体で対処できる手法が存在する場合は、その機能を設けることも有効な手立てとなります。

そのほか−汎用OS利用の促進で考えられる脅威

 カーナビにおいて汎用OSの普及が進むことや外部機器との接続インターフェイスの増加という背景を考えると、PCのようにコンピュータウイルス/ワームの感染が発生してもおかしくない状況だと考えられます。

 コンピュータウイルス/ワームの感染が発生した場合には、カーナビ本体の情報資産に対する改ざんが発生し、本来アクセスできない情報資産への不正アクセスが発生することも起こり得るでしょう。また、カーナビの機能妨害や外部に対し情報が漏えいしたり、DoS攻撃・なりすましが行われたりするなど、あらゆる脅威が発生する可能性があります。今後さらに通信型サービスの利用機会が増えると、カーナビと外部の接続も増加して感染経路が多様化するため、より一層の対策が必要となると考えられます。

 これらの対策としては、汎用OSや利用アプリケーションに対するセキュリティパッチの適用、必要のないサービス/モジュールの停止、適切なアクセス制限、認証機能(ユーザーID/パスワード設定)の利用などが有効となると考えられます。これらの対策により、カーナビ本体のセキュリティ機能が強化され、セキュリティ侵害が発生した場合における被害も最小限に食い止めることが可能になります。



 以上が、カーナビに含まれる情報に発生し得る脅威、脅威ごとの対策(対策の方針)についての説明です。

 カーナビが便利になっていく一方で、情報セキュリティの面で守るべき要素は増加の一途をたどっています。特に自動車制御系装置と接続したときにセキュリティの問題が起こった場合、交通事故など社会的にも大きな問題を引き起こす可能性もあり得ます。そのため、カーナビメーカーはもちろんのこと、自動車メーカーや通信型サービスを提供する事業者が連携して、迅速かつ確実な対策を施すことが必要になると考えられます。すでに、一部でサービス提供が開始されている、通信を用いたソフトウェアの更新などのオンラインサポートは有効な手段の一例といえます。

 今後、カーナビに多くの機能が搭載されていくことで、一層セキュリティリスクが高まっていくと考えられ、これらに対して適切に対処するには、各カーナビメーカーがカーナビの設計・開発時に情報セキュリティについて十分に検討し、対策を施すことが重要となります。そして、カーナビの設計者や開発者が常に情報セキュリティに気を配り、さまざまな脅威とその対策について知識と経験を積み重ねていくことが大切となります。

 今回、身近な組み込み機器である「情報家電」「携帯電話」「カーナビ」を取り上げ、それらの情報セキュリティについて解説してきましたが、連載全体を通じて“通信機能による多機能化”という共通キーワードが見えてくると思います。

 単体である機能を実現していた組み込み機器がネットワークにつながることで、便利で快適な機能やサービスを実現するようになりました。その半面、これまで対策が必要であった(対策が行われてきた)セキュリティリスクに加え、多機能化をもたらしてくれる“通信機能自身のセキュリティリスク”への対策が必要不可欠となりました。いくら通信機能が高機能化をもたらしてくれるとはいえ、きちんとセキュリティ対策を行わなければ「諸刃の剣」になり得ます。そのため、設計者や開発者は、利便性とリスクを十分に考慮した製品開発を心掛けてください。

 そして、今回の連載をきっかけに組み込み機器における情報セキュリティの意識を高めていただければと思います。また、将来、利用者が安心して使える“より便利で安全な組み込み機器”が登場することを望み、最後のまとめとします。

参考:IPA(独立行政法人情報処理推進機構)

>> 組込みシステムの脅威と対策に関するセキュリティ技術マップの調査報告書 <<



前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.