産総研ら、装着するだけで重要データを防御できるセキュリティバリアデバイスを開発

独立行政法人産業技術総合研究所（産総研）のセキュアシステム研究部門制御システムセキュリティ研究グループの戸田賢二主任研究員らと、技術研究組合制御システムセキュリティセンター（CSSC）は共同で、新たなセキュリティバリアデバイス（SBD）として、装着するだけでパソコンやサーバー、制御システムの重要データを防御することができるものの開発に成功した。

このデバイスは入出力ポートと周辺機器のあいだに差し込むだけで利用でき、OSの種類も問わない。また別途デバイスドライバーなどのソフトウエアをインストールする必要もなく、機能させることが可能という。

SBDそのものにシステムストレージのオリジナルデータブロックに対するアクセス可否情報が保存されており、システムからストレージデータへのアクセス要求があった際、そのアクセス可否情報を参照の上、許可されていればそのまま読み出しや書き込みを行うが、読み出しが禁止となっていれば、0などダミーデータで返し、書き込み禁止となっていれば、その書き込み動作を行わない仕組みとなっている。

（画像はプレスリリースより）

読み出したセクターの内容を、SBDが書き込むセクターの内容とバイト単位で比較し、同一内容であれば書き換えなし、異なっていれば書き換えありとする判断をFPGAで行い、物理的には512バイトのセクター単位であるところをバイト単位にする拡張を施して、バイト単位でのデータ保護を実現したそうだ。

システムからセキュリティ情報ディスクは見えないため、マルウエアは原理的にこのセキュリティ情報を変更することもできない。

また、データブロック単位のアクセス制御を拡張し、ファイル単位のアクセス制御も実現している。このほか、アクセス違反を検出すると同時に、イーサネットなど外部通信を遮断することも可能という。よって、それ以上の侵入や他への感染、情報流失の防止効果も高い。

今回開発されたSBDは、ハードウエアの性能に限りがあり、セキュリティソフトなどの導入が困難な制御システムや、そもそもの可用性の問題からセキュリティパッチをあてずに運用しているシステムといったものでも利用でき、ゼロデイ攻撃からもシステムを防御できる。オリジナルのシステムストレージにいっさい手を加えることなく、ファイルやデータ領域を自由に指定して防御可能とした同等の製品はこれまでになく、注目される開発といえるだろう。

開発したSBDはNTFSに対応したものだが、EXTおよびFATについても近日中に対応させる予定といい、さらにUSBやHDMIなどの他の中継機能も開発、防御強化を図っていくとしている。また、専用に開発したFPGAボードのサイズ上、SBD全体がデスクトップパソコン1台分ほどのサイズとなっているため、今後は一般的なストレージと同一のサイズでSBDストレージを開発、汎用性の高いものとなるよう、ストレージメーカーらとも連携し、小型化を目指していくそうだ。

なおこの開発成果の詳細は、2月17日～18日に東京で開催のセキュリティ国際会議「CODE BLUE」で発表されている。




独立行政法人産業技術総合研究所　プレスリリース
http://www.aist.go.jp/aist_j/press_release/pr2014/

CODE BLUE　公式サイト
http://codeblue.jp/