多くの組織は、人に対するデジタルトラストの管理については相応に成熟してきた。ユーザーがログインし、認証情報が検証され、アクセスが許可されるか拒否される。こうしたモデルは、企業ITの世界で長らく十分に機能してきた。
しかしそのモデルは、いまや自動車、航空機、産業用制御システム、重要インフラの内部で稼働する何十億もの組み込みデバイスを想定していない。
これらのデバイスはソフトウェアを認証し、更新を検証し、通信を保護しなければならない——しかも、それを助ける人間がキーボードの前にいるわけではない。人を前提に構築されたアイデンティティ(ID)フレームワークは、工場現場の接続センサーや旅客機の機上コンピューターにはうまく適用できない。このギャップは何年も前から存在していた。いま、それを無視することは一段と難しくなっている。
私は、デビッド・セクイノと話す機会を得た。彼は、OmniTrust(旧Integrity Security Services)のCEOであり、この問題が実務でどのような姿を取るのかについて意見を聞いた。OmniTrustは約15年にわたり、業界の大半が目にしてこなかった組み込みシステムのセキュリティに取り組んできた。具体的には、デバイスIDをシリコンにプロビジョニング(書き込み)すること、出荷前にソフトウェアイメージに署名すること、自動車・航空宇宙・防衛・産業の各環境にまたがって暗号鍵を管理することなどだ。同社によれば、プロビジョニングしたデバイスは25億台超、署名したソフトウェアイメージは30億件超にのぼるという。多くの人がほとんど意識してこなかった、膨大なインフラである。
トラストはハードウェアから始まる必要がある
「私たちは、重要なところであらゆる組み込みデバイスを保護している」とセクイノは語った。
この捉え方は、じっくり考える価値がある。企業の世界でセキュリティが語られる場合、出発点はたいていアプリケーション層だ——どのソフトウェアが動いているか、ネットワークトラフィックはどう見えるか、認証情報は正しいか。組み込みセキュリティは、もっと早い段階から始めなければならない。トラストはOSが起動する前、アプリケーションが動く前、データが動く前に確立される。シリコンがすでに侵害されていれば、その上に積み上げられるものはすべて疑わしい。
これは、企業向けソフトウェアをパッチで直すこととは根本的に異なる問題である。ノートPCのフリートにアップデートをプッシュすれば、ほとんどの場合それが適用されると期待できる。しかし、製造ラインの組み込みコントローラー、フライトマネジメントシステム、あるいはDO-178に準拠して認証され、その状態を維持しなければならない防衛システムに対して、同じことはできない。更新そのものが認証されなければならない。受信側デバイスも検証されなければならない。ソフトウェアイメージは実行前にチェックされなければならない。これらはいずれも、ハードウェアに根差したトラストルート(信頼の基点)がなければ成立しない。
この種の仕事は、その歴史の大半で表に出てこなかった。担い手は自動車OEM、航空宇宙の大手企業、防衛請負企業に向けて提供し、静かにシステムを動かし続けてきた。だが、それが変わり始めている。
AIが問題を物理世界へ押し出している
私がAIについて書く際に繰り返し浮かび上がるのは、導入のスピードがセキュリティ面の思考を置き去りにしているという点だ。組織は、ツールがどのデータを取り込み、そのデータがどこへ行くのかを十分に理解しないまま、AIツールを採用している。
セクイノは率直にこう述べた。「世界は永遠に変わってしまった……だが、そこには一定のガードレールを設けなければならない」
彼が提起したより大きな問題は、データ量だけではない。データの真正性(オーセンティシティ)である。自律システムが意思決定を行うなら、依拠するデータは改ざんされていないことを検証可能でなければならない。タイムスタンプが付与され、追跡可能であり、実際に検証済みのソースへ遡れる必要がある。それを保証するのは、多くの人が考える以上に難しい。
物理デバイス——ロボット、車両、ドローン——上でAIエージェントを動かすとはどういうことかを考えてみてほしい。そのエージェントは取り込む情報に基づいて意思決定を行う。もし誰かがデータを操作したり、侵害されたソフトウェア更新を注入したり、デバイスIDをなりすましたりできるなら、その結果は通常の意味での情報漏えいではない。物理的な被害となる。セクイノは、デバイスレベルのトラストが崩れたときに何が起きるかを示す現実の例として、ロシアによるウクライナのドローン運用への介入を挙げた。仮説ではない。いま起きていることだ。
彼はAIエージェントの問題をシンプルに定義した。「デバイス上で動くエージェントは、ただの別アプリにすぎない……ただ、より賢いだけだ」。これは実際に有用な考え方である。組み込みシステムで重要なセキュリティ原則——信頼する前に検証すること、トラストをハードウェアにアンカーすること、シリコンから実行までの管理の連鎖(チェーン・オブ・カストディ)を維持すること——は、ドローン上で動くAIエージェントにも、デバイス上の他のコード片と同じように直接適用される。
規制当局も追いつき始めている
組み込みセキュリティは、長らく防衛など特定セクターを除けば、実質的に自主対応に委ねられてきた。だが、それが変わりつつある。米国では、連邦食品・医薬品・化粧品法のSection 524Bに基づくサイバーセキュリティ要件により、FDAは製造業者が最低基準を満たさない場合、医療機器の出荷を差し止める権限を持つ。自動車分野では、ISO/SAE 21434と国連規則155(UN Regulation 155)が、車両ライフサイクル全体で自動車メーカーがソフトウェアセキュリティを扱う方法を再定義している。これらは草案ではない。
どのコンプライアンスフレームワークにも共通する難しさは、標準が書かれた時点で理解されていた脅威環境を記述する点にある。攻撃対象領域(アタックサーフェス)は規制プロセスよりも速く変化する。とりわけ、物理インフラ上でAIシステムが機械の速度で意思決定することが脅威に含まれる場合、その傾向は顕著である。
注目に値するパターン
私は十分な数のテクノロジーで同じ展開を見てきたため、既視感を覚えるようになっている。新たな能力が登場する。誰もが急いで導入する。セキュリティは後で片付けるもの——すでに動いているものに後付けで付け足すもの——として扱われる。このアプローチは企業向けソフトウェアで多くの問題を引き起こしてきた。AIが動かす物理システムでは、間違いの代償はさらに大きい。
飛行中のドローンにパッチを当てることはできない。ロボットがすでに下した判断を取り消すこともできない。セクイノが指摘したように、いったんデータが外に出たなら、もう戻らない。「まず展開し、後で守る」という従来の定石は、展開したものが現実世界で物理的な意思決定を行う状況では通用しない。
過去10年から20年にわたり、組み込みのトラストの問題——デバイスID、コード署名、セキュアブート、大規模な暗号鍵管理——を静かに解いてきたベンダーは、多くのCISOが会話の中で挙げるような名前ではない。だが、AIが車両、インフラ、産業システムへとインテリジェンスをさらに押し広げるにつれ、その仕事はデジタルトラストの意味そのものを支える基盤となる。より広いセキュリティ業界が、何かが大きく崩れる前にそれに目を向けるのかどうかが問われている。
