組み込みセキュリティーにおける災害の回避：組み込みセキュリティーに関してベンダー、OEMおよび開発者が知っておくべきこと

組込み技術の分野における市場調査を専門とする米国の調査会社 Embedded Market Forecasters (本社：マサチューセッツ州) では、組み込みセキュリティーの動向について調査分析してまとめた報告書 "Avoiding an Embedded Security Disaster: What vendors, OEMs and developers need to know about embedded security" を発行いたしました。

当報告書では、組み込みセキュリティーにおける重要な懸案事項を検証し、認定された暗号化技術の欠如、未確認のプロトコル実装、管理および監視の欠如などの問題を明らかにし、可能な範囲で対策を提示するとともに、実行可能な組み込み規格としてのFIPSを概括するなど、概略下記の構成でお届けいたします。

イントロダクション

エグゼクティブサマリー

暗号化（もしくは暗号化の欠如）

米国連邦情報処理規格（FIPS）：組み込みベンダー、OEMおよび開発者がFIPS 140-2を組み込むべき理由

不適切な暗号化アプリケーション

• 強力な暗号化技術の脆弱な利用
• 鍵の大きさにおける不釣合い
• 「見せかけ」の暗号化の利用

未確認のプロトコル実装

• SNMP
• TCP/IP
• オープンSSL：派生物
• 不可避の結果

誤った対象の保護

管理および監視能力の欠如

苦痛を伴い高価なパッチ管理（最低限の責任能力）

セキュリティー要件および既存セキュリティー基準と対立する組み込みの制約

• SSL
• SSH
• IP-Sec
  • 共通の要件：SSL、SSHおよびIP-Sec
• SSL、SSH、およびIP-Secが行き過ぎとなる時

ベンダーまたは業界から発生したベストプラクティスの欠如

初期設定において安全ではない

曖昧な責任の所在

サマリー

付録A：FIPS 140の概略

付録B：組み込みソリューションへのFIPS-140認定モジュールの統合

付録C：組み込みセキュリティー製品の調査

付録D：用語集