昨今、サプライチェーンセキュリティという言葉を見かける機会が多くなりました。一般的にサプライチェーンの安全というと、製品出荷からその製品が消費者に届くまでの安全性確保が一般的です。製品によって、その生産地、製造に使われる材料、搬送中に異品や偽造品が混入しないかという点が注目される点、食品、医薬品、ブランド品などでは新しい問題ではなく、何十年も議論されてきて多くの手法が既に適応されています。では情報通信分野ではどうなのでしょう?
ここ2−3年の間に急速に私達が触れることになったサプライチェーンセキュリティの話題の多くは、製品がユーザーに渡ったあとに発見される脆弱性をついた攻撃で、これは社会一般で言われるサプライチェーンの概念をかなり拡大解釈したものと言えるでしょう。情報通信機器では、一般の商習慣を超えて、ユーザーと製造者の責任が入り混じって存在する時期、すなわちアフターセールスの期間のセキュリティ対策が注目されています。それに加えて、偽物が混入するリスク、意図的に悪意のあるソフトウエアなどが混入するリスクなどは長い間認識されてきました。
ISOなどの標準文書ではこのようなセキュリティ対策は、製品ライフサイクルに対するセキュリティ対策として位置づけられています。現在、ISOで議論されている文書では、製品コンセプト、開発、製造、利用、サポート、リサイクル/廃棄の6のフェーズに分けた脅威及びその対策が記述され近日中に公開される予定となっています。TCGでは、この製品ライフサイクル全体でのセキュリティを担保するためにプラットフォーム証明書の規格を、階層的にコンポーネントレベルにまで製品のデジタルシグネチャ、ソフトウエアーのバージョン管理などが可能となるよう更新し、さらにそれらをPCやサーバーだけでなく多様なデバイスで利用できるような対応を進めています。これらの要素技術は多様な分野にてそれぞれに最適な仕様の一部として参照されることが予想されています。
将来は、製造と運送時のトレーサビリティを持たない製品は市場での信用を確保できなくなる時代がそう遠からず来るかもしれません。TCGの技術はハードウエアに根ざしたRoot of Trustを起点に情報通信機器の信用を証明するための要素技術として利用されていくことが期待されています。
TCG日本支部(JRF) 共同議長;
TCGサプライチェーンセキュリティWG共同議長 竹井淳
Intel Corporation
本ブログ及び、TCGサプライチェーンセキュリティWGに関する問い合わせ先:
TCGサプライチェーンセキュリティWG共同議長 竹井淳
Email: [email protected]
Membership in the Trusted Computing Group is your key to participating with fellow industry stakeholders in the quest to develop and promote trusted computing technologies.
Standards-based Trusted Computing technologies developed by TCG members now are deployed in enterprise systems, storage systems, networks, embedded systems, and mobile devices and can help secure cloud computing and virtualized systems.
Trusted Computing Group announced that its TPM 2.0 (Trusted Platform Module) Library Specification was approved as a formal international standard under ISO/IEC (the International Organization for Standardization and the International Electrotechnical Commission). TCG has 90+ specifications and guidance documents to help build a trusted computing environment.