半導体への攻撃が容易になりセキュリティ対策の必要性が高まっているとの指摘

半導体に対する攻撃は一昔前までは理論上のものとされていましたが、近年では自動車・ロボット・医療機器などの幅広い分野で半導体が用いられるようになったことに伴って、半導体に対する攻撃が現実的な脅威となっています。しかし、テクノロジー関連メディアのSemiconductor Engineeringは半導体のハードウェアセキュリティの確保は簡単な課題ではないと指摘し、なぜ困難かを解説しています。

Why It's So Difficult — And Costly — To Secure Chips
https://semiengineering.com/why-its-so-difficult-and-costly-to-secure-chips/

医療機器に使われる半導体や自動運転車のコア機能を担う半導体が攻撃された場合、命を脅かす重大事故が発生する可能性があため、これらの業界では半導体のセキュリティ対策に優先的に取り組んでいます。しかし、それ以外の業界に属する企業、特にこれまで半導体に対する攻撃を経験したことがない企業は、費用の高額さを理由にセキュリティ対策を怠る傾向にあるとのこと。この状況について電子機器メーカー・Rambusでセキュリティ技術ディレクターを務めるスコット・ベスト氏は「安全でないプロセッサでセキュリティアルゴリズムを実行することは、セキュリティ障害の特徴の1つです。プロセッサは電力・パフォーマンス・セキュリティのために最適化することができますが、そうしない場合はプロセッサの利点を得ることはできません」と述べ、セキュリティ対策なしにセキュリティが確保されることはないと主張しています。

一部の企業や組織はコストよりも安全確保を優先すべきであることに気付き始めているとのこと。回路設計ツールを開発するOneSpinでセキュリティプロダクトマネージャーを務めるジョン・ホールマン氏は「コストよりもセキュリティ要件を重視することは良いことです」「近年では、ハードウェアの分野で多くの脅威が報告されています。これらは、セキュリティ検証プロセスの一部として組み込むことができるものです」と、脅威に関する情報収集の必要性を語っています。また、Semiconductor Engineeringは脅威に関する情報収集先としてアメリカの政府機関から資金援助を受けているMITREの脅威情報レポートや、欧州ネットワーク・情報セキュリティ機関が公開している脅威レポートを挙げています。

Threat Landscape for Supply Chain Attacks — ENISA
https://www.enisa.europa.eu/publications/threat-landscape-for-supply-chain-attacks

半導体のセキュリティ対策が困難になっている理由としては、半導体の技術革新も挙げられます。半導体の製造技術は年々向上しており、同じ面積の半導体の中に以前よりも多くの機能を組み込むことが可能となったことで、各チップ開発企業は多くのコンポーネントを半導体の中に組み込むようになりました。しかし、これらのコンポーネントの詳細はユーザーに明かされておらず、ユーザーがコンポーネントの安全性を確認できないことからセキュリティ対策が困難になっているとSemiconductor Engineeringは指摘しています。

また、上記の問題はAI向けに最適化された半導体で顕著となります。AIに関する問題が発生した場合は、その問題が学習データによるものなのか、AIによるものなのか、それとも半導体によるものなのかといった問題の切り分けが難しく、攻撃の存在を把握することが困難とのこと。

Semiconductor Engineeringは「セキュリティは今後も課題であり続けます。何十年もの間、ハードウェアよりもソフトウェアをハッキングする方がはるかに簡単だったため、半導体業界はセキュリティを軽視していました。しかし近年では、半導体をリバースエンジニアリングするために必要な機器の入手が組織犯罪グループや政府にとって容易になっています」と述べ、半導体に対するセキュリティ対策の必要性が高まっていることを強調しています。