セキュリティ上の欠陥を利用しようする動きが活発になると、広範にわたる脆弱性を利用しようという動きも活発化します。各種の脆弱性を考慮した上で、システムにどのような影響を及ぼすかを把握しておくことが重要です。Armは脆弱性の種類を、通信、物理、ライフサイクル、ソフトウェアの4つの領域に分類しました。
通信の脆弱性
攻撃者は、デバイスからサーバーに戻ってくるメッセージを傍受、スプーフィング、または妨害するためにさまざまな手段を試すことができます。暗号化を利用した防御のベストプラクティスは、通信中のデータ値の増加と一致している必要があります。
物理的な脆弱性
2種類に大別される半導体デバイスへの攻撃: 非侵襲型と侵襲型。非侵襲型(サイドチャネル)は、チップにさまざまな方法の観察を試みることで情報を詐取します。これらの方法には、電圧の改変、電磁気署名の妨害などの摂動技術の使用が含まれます。侵襲型技術には、チップのプローブに対する開設やパッシベーション層の一部の改変が含まれます。
ライフサイクルの脆弱性
デバイスは、工場から個人ユーザーに渡り、メンテナンスを経て廃棄に至るまで、何人もの手から手へと渡っていきます。デバイスの整合性は、各手順で保護される必要があります。誰が修理しているのか、どのように機密データが扱われるのか。この2点が、ファームウェア・アップグレードの合法性のポイントです。盗難、超過使用、Wi-Fiの切り替えなどの予想外または禁止されている事項は、すべて考慮すべき脆弱性です。
ソフトウェアの脆弱性
これこそが最も一般的な攻撃でつけ入られる隙であり、ここから第三者が既存のコストを使って制限のあるリソースにアクセスする方法を見つけるのです。ソフトウェアのバグや予期せない呼び出しシーケンスが招くこの脆弱性により、クラス全体が脅威に晒されることになります。
主なセキュリティ目標
Armは、PSA Certifiedの創設者として、すべてのコネクティッドデバイスが10の基本的なセキュリティ目標を達成する必要があると考えています。これらの目標は、一部の最も基本的なセキュリティ脅威の克服に有用であり、セキュリティに基準線があることを明確に示します。これらの10のセキュリティ目標を達成するには、特定の対策を含め、さまざまなことが必要になります。
対策
デバイスに適したセキュリティ製品を選択するには、4つのタイプの脆弱性を考慮しながら、慎重に分析して脅威のレベルを明確にする必要があります。確認: アプリケーションのアセットは何ですか。どれくらい脆弱ですか。それらが無防備な場合、ビジネスにどのようなリスクがありますか。攻撃者がアセットにアクセスするためにどのくらいの時間を要しますか。PSA Certifiedでは、セキュリティ設計を始める際に、まず分析とこれらの重要な質問への回答を行い、脅威のモデル化(または保護プロファイル)を使用して、適切な対策を明確にするよう勧めています。この広範な解析が完了すると、セキュリティ要件の一覧が表示されます。この一覧から、最善の対策をアプリケーション用に選択しましょう。
Armが提供する幅広い種類のセキュリティIPにより、各種の脆弱性に関連するリスクを軽減できます。これらの対策には、暗号方式、セキュリティサービス、分離、改ざん防止によりサポート可能な製品が含まれます。
