複数の企業が、多くの場合は国境を越えて連携することになる、IT機器のサプライチェーン・セキュリティ。ユーザからは見えなくなっていたハードウェアが、再度注目を集めることになるかもしれない。
すでに多くの団体・機関が、標準的な技術を議論し、設計から廃棄までをセキュアに保つ取組みを始めている。まず部品の信頼性だが、代表的なものは半導体だろう。集積度が上がり、外部からは仕様が見えにくくなっている。特殊な条件が揃った時にのみ動き出すマルウェアを潜ませることも、比較的容易だ。そこでGSAという団体では、信頼できる部品の標準を定め、個々のチップにIDを付与してトレースできるようにしている。(*1)
TIES - Global Semiconductor Alliance (gsaglobal.org)
さらに製品レベルからクラウドに至るまで、コンピュータシステム全体を管理できるようなスキームを定めている団体(*2)もある。
Welcome To Trusted Computing Group | Trusted Computing Group
このような標準技術の採用でどんなことができるかというと、
・製品組み立て時に採用する部品が信頼性あるものかどうか判断
・流通過程や使用中に、不正なものに入れ替えられていないかを確認(*3)
・部品レベルまで正しく廃棄したかの管理
わけだ。ある企業ではこの基準に従い、生産した製品が正しく使用されているか、その使用状況はどうか、改変等されていないかをブロックチェーン技術を使って管理しているという。ブラックボックス化やクラウド化が進んでも、ハードウェアの信頼性は絶対に必要。それを守り、内外に示すことができるスキーム作りが進んでいることは大いに評価できる。
*1:TIES(Trusted IoT Ecosystem Security)
*2:TCG(Trusted Computing Group)
*3: 部品を入れ替えたりすると機器内のシグネチャが変化してしまい警告が出る