セキュリティリスクの分析に活用される
「サイバーデジタルツイン」とは何か？

2023.03.30

精密機器がIoT技術を活用し、ソフトウェア・ドリブンかつコネクティッドになるにつれて、以下のようなリスクが高まっています。

• 偶発的なエラーの発生
• 安全なコーディングの欠如
• 安全でないOSS利用により生じる脆弱性

このような状況下において、サイバーデジタルツインは、製品セキュリティチームが製品と顧客の安全を確保することに役立ちます。

本記事では、なぜコネクティッドな精密機器のソフトウェア品質管理において、サイバーデジタルツインを作成することが重要なのか、ご説明いたします。

サイバーデジタルツインの定義

サイバーデジタルツインとは、ソフトウェアコンポーネントの構成と特性を記載したSBOM、基盤となるハードウェア アーキテクチャ、OS設定、暗号化メカニズムとキー、完全な制御フロー、使用される APIなどの製品に関連する構成を取りまとめた情報になります。 サイバーデジタルツインは、デバイスソフトウェアが動作する構成や内部の仕組みに関する洞察を提供します。

サイバーデジタルツインという用語は、その名が示すようにデジタルツイン (製品の開発と評価の目的で使用される物理システムのデジタルレプリカ) に由来しております。
サイバーデジタルツインは、デジタルツインと同様に、機器やハード (車両、医療機器、消費者向け IoT アプライアンスなど) にも関連していますが、それらを駆動させるソフトウェアとそのセキュリティにも焦点を当てています。

製品開発の工程に複数の関係者 (サードパーティベンダー、社内開発者、外部検査者など) が関わり、「信頼性が低く、可視性が限られている」環境の中で、ソースコードにアクセスが難しい場合においても、安全な製品の開発と保守を可能にします。
サイバーデジタルツインは、実際にはバイナリコード解析ソリューションを介して生成され、関係者が利用できるようになります。

主なユースケースとベネフィット

サイバーデジタルツインに含まれるカプセル化された豊富な情報とメタデータにより、設計・開発中の製品セキュリティ評価、およびセキュリティ運用とポストプロダクションの保守が可能になります。これらは、主に次の分野で、製品開発体系全体に利益をもたらします。

標準化

最も単純な製品でさえ、複数のソフトウェア コンポーネントで構成され、1つまたは複数のハードウェア アーキテクチャ上で実行され、さまざまなオペレーティングシステムをサポートし、様々なベンダーによって製造されています。
医療機器などの複雑な製品になると、技術の組み合わせが劇的に増加し、適切なセキュリティ分析を実行しなければなりませんが、そのような作業を支援する適切なツールを調達することは非常に困難です。

サイバーデジタルツインは、デバイスファームウェアの標準的で非常に詳細な情報を提供し、CVEエクスポージャ、ゼロデイ分析、プライバシーおよびコンプライアンス違反の検出などの多数のユースケースに対して、製品セキュリティの専門家による分析を容易にします。

トレーサビリティ

上記のような複雑な開発体系は、セキュリティのギャップや脆弱性に対して、 社内外のどちらの関係者が対処する必要があるか判断することを難しくしています。

特にデバイスが既に稼働中であり、迅速かつ効率的に処理しなければならないセキュリティインシデントが発生している状況においては、ますます重要になります。
サイバーデジタルツインは、バージョン、パッチ、TARA要件、修正などソフトウェアコンポーネントに関連する履歴データも取得できます。

このようにして、製品の安全性とセキュリティに対して法的責任を負うメーカーは、マルチソース製品のセキュリティ体制を検証し、開発段階とポストプロダクションの両方で、その原因をたどり、サイバーリスクを特定することができます。

知的財産保護とコラボレーション

当然のことながら、サイバーセキュリティ情報が標準化され、サプライチェーンの参加者間でトレーサビリティと透明性が確保されない限り、関係者全員が効率的にコラボレーションすることは不可能です。
一方で、適切なコラボレーションのためには、関係者がお互いに知的財産 (IP) を保護する方法も必要です。この事実は、ソフトウェアの整合性や要件への準拠 (セキュリティとプライバシーの検証から業界の規制と標準への準拠に至るまで)を検証するために、詳細な情報を取得する必要があることとは対照的です。

サイバーデジタルツインにより、ベンダーは貴重な知的財産 (IP)を含む実際のファームウェアを共有する必要がなくなります。
その代わりに、情報セキュリティの専門家が分析を実行するために必要なすべての情報を含むサイバーデジタルツインを共有できます。

サイバーデジタルツインはコラボレーションを可能にし、製品の設計、開発、製造、認証に携わるプレーヤーが安全な製品を作成および維持するために使用できる事実上の「トークン」を形成します。

セキュリティ対策チームの強化

すべてのソフトウェアは、セキュリティと規制への準拠のために厳格なテストと評価を受ける必要があります。
前述のとおり、各ベンダーが非常に多くの異なるテクノロジーを広範に使用しているため、問題が複雑になっています。

必要な調査の実施と評価を要求するにあたり、高度なスキルを持つサイバーセキュリティの専門家 (テスト、検査・認証組織、サードパーティのセキュリティ請負業者、または社内の従業員) は、さまざまな異なるテクノロジーを理解し、それらが製品内でどのように適用されているか、またセキュリティ上の特定の欠陥が与えるインパクトを理解している必要があります。

これは作業を実行するために必要な専門家の人数が使用するコンポーネントの数に比例して増加することを意味します。
セキュリティアナリストや研究者は、サイバーデジタルツインを活用することで、このような煩雑な業務を省力化できます。バイナリコードを分析して必要な情報を取得するために膨大な時間とコストを費やす代わりに、本来対応すべき作業 (テストの実行、ポリシーへの準拠の検証、セキュリティギャップの検出) に集中できます。

このようにして、製品のセキュリティ評価プロセスを合理化および拡張し、必要に応じて、脆弱性の発見、コンプライアンスへの準拠、および復旧にかかる時間とコストを最小限に抑えることができます。

まとめ

サイバーデジタルツインは、調和、透明性、協調性を備えた安全な製品開発体系の基本的な構成要素です。
OEM とそのサプライヤーは、これらを利用して製品と顧客を保護する必要があります。
そうしなければ、賠償請求、製品ブランドが保有する資産価値の侵害、規制違反にさらされるリスクがあります。

Cybellumのサイバーデジタルツイン、バイナリコード解析とSBOM生成といったテクノロジーがお客様の製品セキュリティの向上に寄与します。 このようなソリューションを活用し、製品のセキュリティ管理体制を強化する方法の詳細については、当社の専門チームにご相談ください。

ソフトウェア脆弱性管理プラットフォーム Cybellum