後編では、クラウドネイティブ技術を支えるハードウェアセキュリティモジュール(HSM)／鍵管理やハードウェア対応型セキュリティに関連したガイダンス類の概要について紹介する。

クラウドネイティブ技術の実装を推進する米国FDA

2023年9月13日、米国食品医薬品局(FDA)は、「2024～2027会計年度FDA情報技術戦略」(https://www.fda.gov/about-fda/office-digital-transformation/fda-information-technology-strategy-fy-2024-fy-2027)を公表し、以下の6つの戦略目標を掲げた。

1. コラボレーションの強化
2. インフラストラクチャの強化
3. サービスの現代化
4. データの共有
5. AIとイノベーションの採用
6. 人材とリーダーシップの育成

このうち「2. インフラストラクチャの強化」では、以下の4つの目標を掲げている。

1. 柔軟なインフラストラクチャのオファリング提供
2. クラウド採用の加速
3. サービスの可用性の保証
4. ゼロトラストアプローチの実装

このような医薬品・医療機器行政DXの進展とともに、医療・ライフサイエンス分野でも、ゼロトラスト環境を前提としたアプリケーションコンテナやマイクロサービス、サーバーレス、DevSecOpsに代表されるようなクラウドネイティブ技術の実装が本格化している。セキュリティの領域においても、ソフトウェア主導型の新たなサービスが次々と開発・導入されている。

その一方で、ハードウェアセキュリティモジュール(HSM）やセキュアチップに代表されるような、半導体を軸とするハードウェア対応型セキュリティ技術の開発・導入も進んでいる。特に医療現場の場合、ユーザーインタフェースや業務フローに影響を及ぼす可能性があるアプリケーションソフトウェア層よりも、プラットホームハードウェア層でセキュリティ機能の実装や運用・保守を行った方がメリットのある場合も多い。

米国NISTが推進するハードウェア対応型セキュリティの標準化

このような状況下で、米国立標準技術研究所(NIST)は、クラウドネイティブ技術に係るNIST SP 800-204シリーズと並行して、ハードウェア対応型セキュリティにフォーカスしたNISTIR 8320シリーズのドキュメント作成・公開を行ってきた。。

現在、NISTIR 8320シリーズとして、以下のような文書が公表されている。

• NIST IR 8320 ハードウェア対応型セキュリティ: クラウド・エッジコンピューティングのユースケース向けプラットフォームセキュリティの階層型アプローチ実現」(2022年5月4日)
• 「NIST IR 8320A ハードウェア対応型セキュリティ：コンテナプラットフォームのセキュリティプロトタイプ」(2021年6月17日)
• 「NIST IR 8320B ハードウェア対応型セキュリティ：信頼されたコンテナプラットフォームにおけるポリシーベースのガバナンス」(2022年4月20日)
• 「NIST IR 8320C ハードウェア対応型セキュリティ：マシンアイデンティティ管理と保護(初期公開草案)」(2022年4月20日)

以下では、NIST IR 8320シリーズの各ドキュメントの概要について説明する。

「NIST IR 8320 ハードウェア対応型セキュリティ: クラウド・エッジコンピューティングのユースケース向けプラットフォームセキュリティの階層型アプローチ実現」(2022年5月4日)
(https://csrc.nist.gov/pubs/ir/8320/final)

今日のクラウドデータセンターやエッジコンピューティングにおいて、攻撃対象領域はシフトしており、場合によっては、非常に拡大している。それと同時に、ハッキングが業態化しており、大抵のセキュリティ制御の実装が理路整然としていないか、首尾一貫していない。あらゆるデータセンターやエッジコンピューティングのセキュリティ戦略の基盤は、データやワークロードが実装され、アクセスされるプラットフォームをセキュア化すべきである。物理的プラットフォームは、あらゆる階層型セキュリティアプローチにおける第一の層を表しており、ハイレベルの層のセキュリティ制御が信頼できることを保証するのに役立つような最初の保護を提供する。この文書では、クラウドデータセンターやエッジコンピューティング向けのプラットフォームセキュリティやデータ保護を改善できるようなハードウェア対応型セキュリティの技術や手法を説明している。

NIST IR 8320は、以下のような構成になっており、附属書において、インテル、AMD、Arm、シスコ、IBMの具体的な技術を例示している。

1. 序論
2. ハードウェアプラットフォームセキュリティの概要
3. プラットフォームの完全性の検証
3.1 ハードウェアセキュリティモジュール(HSM)
3.2 チェーン・オブ・トラスト
3.3 サプライチェーン保護
4. ソフトウェアのランタイム保護メカニズム
4.1 リターン指向プログラミング(ROP)とコール／ジャンプ指向プログラミング(COP／JOP)に対する攻撃
4.2 アドレス変換攻撃
4.3 メモリ安全性違反
4.4 サイドチャネル攻撃
5. データ保護と秘密計算
5.1 メモリの分離
5.2 アプリケーションの分離
5.3 VMの分離
5.4 暗号化アクセラレーション
6. 遠隔証明サービス
6.1 プラットフォーム証明
6.2 遠隔高信頼性実行環境(TEE)証明
7. ハードウェア対応型セキュリティを活用したクラウドユースケースのシナリオ
7.1 セキュリティアーキテクチャに対する可視性
7.2 高信頼性プラットフォーム上のワークロード配置
7.3 資産のタグ付けと高信頼性ロケーション
7.4　ワークロードの機密性
7.5　鍵と秘密の保護
8. 次のステップ
参考文献
附属書A – ベンダーに依存しない技術の例
A.1 プラットフォームの完全性の証明
A.1.1 UEFIセキュアブート(SB)
A.2 キーライム
附属書B – インテルの技術の例
B.1 プラットフォームの完全性の証明
B.1.1 チェーン・オブ・トラスト(CoT)
B.1.2 サプライチェーン保護
B.2 ソフトウェアのランタイム保護メカニズム
B.2.1 リターン指向プログラミング(ROP)とコール／ジャンプ指向プログラミング(COP／JOP)に対する攻撃
B.2.2 アドレス変換攻撃
B.3 データ保護と秘密計算
B.3.1 メモリの分離
B.3.2 アプリケーションの分離
B.3.3 VMの分離
B.3.4 暗号化アクセラレーション
B.3.5 技術事例の概要
B.4 遠隔証明サービス
B.4.1 Intel Security Libraries for the Data Center (ISecL-DC)
B.4.2 技術の概要
附属書C – AMDの技術の例
C.1 プラットフォームの完全性の証明
C.1.1 AMD Platform Secure Boot (AMD PSB)
C.2 データ保護と秘密計算
C.2.1 メモリの分離
C.2.2 VMの分離
附属書D – Armの技術の例
D.1 プラットフォームの完全性の証明
D.1.1 Arm TrustZone Trusted Execution Environment (TEE) for Armv8-A
D.1.2 Arm Secure Bootとチェーン・オブ・トラスト(CoT) D.1.3 Platform Security Architecture (PSA) Functional APIs
D.1.4 Platform AbstRaction for SECurity (Parsec)
D.2 ソフトウェアのランタイム保護メカニズム
D.2.1 リターン指向プログラミング(ROP)とコール／ジャンプ指向プログラミング(COP／JOP)に対する攻撃
D.2.2 メモリ安全性違反
D.2.3 サイドチャネル攻撃に対するArmの低減策
D.3 データ保護と秘密計算
D.3.1 Armの秘密計算アーキテクチャ(CCA)
D.3.2 Armの暗号化アクセラレーション
附属書E – シスコの技術の例
E.1 プラットフォームの完全性の証明
E.1.1 シスコプラットフォームのルート・オブ・トラスト
E.1.2 シスコのチェーン・オブ・トラスト(CoT)
E.2 シスコのサプライチェーン保護
E.3 シスコのソフトウェアランタイム保護
E.4 シスコのデータ保護と秘密計算
E.5 シスコの暗号化アクセラレーション
E.6 シスコのセキュリティインフラストラクチャに対する可視性
E.7 シスコの信頼されたプラットフォームへのワークロードの配置
附属書F – IBMの技術の例
F.1 プラットフォームの完全性の証明
F.1.1 ハードウェアセキュリティモジュール(HSM)
F.1.2 IBMのチェーン・オブ・トラスト(CoT)
F.2 ソフトウェアランタイム保護メカニズム
F.2.1 IBMのROPとCOP／JOPに対する攻撃への防御
F.3 データ保護と秘密計算
F.3.1 IBMのメモリ分離技術
F.3.2 IBMのアプリケーション分離技術
F.3.3 IBMのVM分離技術
F.3.4 IBMの暗号化アクセラレーション技術
F.4 遠隔証明サービス
F.4.1 IBMのプラットフォーム証明ツール
F.4.2 IBMの継続的ランタイム証明
附属書G – 頭字語と略語
附属書H – 用語集

「NIST IR 8320A ハードウェア対応型セキュリティ：コンテナプラットフォームのセキュリティプロトタイプ」(2021年6月17日)
(https://csrc.nist.gov/pubs/ir/8320/a/final)

本文書では、マルチテナント型クラウド環境におけるコンテナデプロイメントを保護するためのハードウェア対応セキュリティの技術や手法に基づくアプローチを説明している。その中で、IaaS（Infrastructure as a Service）クラウドコンピューティング技術や、リソースアセットのタグ付けフォームにおける位置情報など、セキュリティの課題を説明した上で、これらの課題に取組むために設計された概念実証の実装(プロトタイプ)を説明している。

NIST IR 8320Aは、以下のような構成になっており、附属書において、インテル、AMI、Kubernetesの具体的な技術を例示している。また、NIST SP800-53改定第5版やNISTサイバーセキュリティフレームワーク第1.1版とのマッピングについても言及しており、これらを介してCSA STAR／CCMとの紐づけも可能になっている。

1. 序論
1.1 目的とスコープ
1.2 専門用語
1.3 文書の構造
2. プロトタイプの実装
2.1 目的
2.2. 目標
2.2.1 ステージ0：プラットフォームの証明と評価されたワーカーノードの設定
2.2.2 ステージ1：信頼されたワークロードの配置
2.2.3 ステージ2：アセットのタグ付と信頼された位置情報
3. プロトタイピングのステージ0
3.1 ソリューション概要
3.2 ソリューションアーキテクチャ
4. プロトタイピングのステージ1
4.1 ソリューション概要
4.2 ソリューションアーキテクチャ
5. プロトタイピングのステージ2
5.1 ソリューション概要
参考文献
附属書A – ハードウェアのアーキテクチャと前提条件
A.1 ハイレベルの実装アーキテクチャ
A.2 Intel Trusted Execution Technology (Intel TXT)とTrusted Platform Module (TPM)
A.3 証明
附属書B – プラットフォームの実装：AMI TruE
B.1 ソリューションアーキテクチャ
B.2 ハードウェアの記述
B.3 AMI TruEのインストールと構成
B.3.1 AMI TruE Trust Managerのインストール
B.3.2 AMI TruE Attestation Serverのインストール
B.3.3 AMI True向けファイアウォールの構成
B.3.4 デバイスアクセス鍵の構成
B.3.5 Discovery RangeとManageability Rangeの構成
B.4 信頼されたクラウドクラスターのインストールと構成
B.4.1 TruEエージェントの遠隔プロビジョニング
B.4.2 TruEエージェントの手動プロビジョニング
B.5 AMI TruEの利用
B.5.1 AMI TruEを利用した信頼状況のモニタリング
B.5.2 信頼性レポートの生成
B.5.3 AMI TruEを利用したプラットフォームのタグ付け
B.5.4 信頼性イベントアラート通知の受領
B.5.5 救済策のためのAMI TruE利用
附属書C – プラットフォームの実装：Kubernetes
C.1 プロトタイプのアーキテクチャ
C.2 ハードウェアの記述
C.3 Kubernetesのインストールと構成
C.3.1 Kubernetes Controller Nodeの構成
C.3.2 Kubernetes Worker Nodeの構成
C.3.3 Kubernetesのオーケストレーション
附属書D – NIST SP 800-53のセキュリティ制御
附属書E – サイバーセキュリティフレームワークのサブカテゴリーのマッピング
附属書F – 頭字語およびその他の略語

「NIST IR 8320B ハードウェア対応型セキュリティ：信頼されたコンテナプラットフォームにおけるポリシーベースのガバナンス」(2022年4月20日)
(https://csrc.nist.gov/pubs/ir/8320/b/final)

本文書では、マルチテナント型クラウド環境におけるコンテナデプロイメントを保護するためのハードウェア対応セキュリティの技術や手法に基づくアプローチを説明している。また、一般的なセキュリティコミュニティ向けの青写真やテンプレートとなることを意図したアプローチのプロトタイプ実装について説明している。

NISTIR 8320Bは、以下のような構成になっており、附属書において、インテル、OpenShift、TSIの具体的な技術を例示している。また、NISTIR8320Aと同様に、NIST SP800-53改定第5版やNISTサイバーセキュリティフレームワーク第1.1版とのマッピングについても言及している。

1.序論
1.1 目的とスコープ
1.2 専門用語
1.3 文書の構造
2.プロトタイプの実装
2.1 目的
2.2 目標
2.2.1 ステージ0：プラットフォームの証明と測定されたワーカーロードの設定
2.2.2 ステージ1：信頼されたワークロードの配置
2.2.3 ステージ2：アセットのタグ付と信頼された位置情報
2.2.4 ステージ3：信頼に基づくワークロードの暗号化
2.2.5 ステージ4：信頼に基づくワークロードの情報へのアクセス
2.3 追加的リソース
3. プロトタイピングのステージ0
4. プロトタイピングのステージ1
5. プロトタイピングのステージ2
6. プロトタイピングのステージ3
6.1 ソリューション概要
6.2 ソリューションアーキテクチャ
7. プロトタイピングのステージ4
7.1 ソリューション概要
7.2 ソリューションアーキテクチャ
参考文献
附属書A – ハードウェア・ルート・オブ・トラストの実装
A.1 ハイレベルの実装アーキテクチャ
A.2 ハードウェア・ルート・オブ・トラスト：Intel TXTとTrusted Platform Module (TPM)
A.3 証明：Intel Security Libraries (ISecL)
附属書B – ワークロードオーケストレーションの実装：OpenShift
B.1 プロトタイプのアーキテクチャ
B.2 OpenShiftのインストールと構成
B.2.1 VMwareベースの管理クラスター(クラスターA)
B.2.2 KVMベースのマネージドクラスター(クラスターB)
B.2.3 MCM Pak 1.3(MCM HUB – VMware)のインストール
附属書C – ワークロード暗号化の実装
C.1 プロトタイプのアーキテクチャ
C.2 ワークロード暗号化の構成
附属書D – Trusted Service Identity(TSI)
D.1 TSIの概要
D.2 TSIのインストールと構成
附属書E – NIST SP 800-53 セキュリティ制御および発行文書のサポート
附属書F – サイバーセキュリティフレームワークのサブカテゴリーのマッピング
附属書G – 頭字語およびその他の略語

「NIST IR 8320C ハードウェア対応型セキュリティ：マシンアイデンティティ管理と保護(初期公開草案)」(2022年4月20日)
(https://csrc.nist.gov/pubs/ir/8320/c/ipd)

組織は、容量が拡大するマシンアイデンティティを導入しており、一組織当たり数千または数百万の数に至る場合もよくある。秘密暗号鍵のようなマシンアイデンティティは、個々のマシンにどのポリシーを強制する必要があるかを特定するために利用できる。マシンアイデンティティの中央集中型管理は、デバイスやワークロード、環境を越えたポリシー実装の簡素化に役立つ。しかしながら、利用する機微データ向けの保護策の欠如(例.メモリにおけるマシンアイデンティティ)により、リスクに晒される。本文書では、ライフサイクルを通じたマシンアイデンティティの生成、管理、保護に関するセキュリティ課題を克服するための効果的なアプローチを提示している。そして、このような課題に取り組む概念実証(PoC)の実装、プロトタイプについて記述している。本文書は、一般的なセキュリティコミュニティが、記述された実装を検証し、有効活用するために利用できるような青写真やテンプレートとなることを意図している。

NIST IR 8320C初期公開草案の構成は以下のようになっており、附属書において、Vanafi、インテルの具体的な技術を例示している。

1. 序論
1.1 目的とスコープ
1.2 専門用語
1.3 文書の構造
2. マシンアイデンティティを保護する際の課題
3. ステージ0：エンタープライズ向けマシンアイデンティティ管理
3.1 ソリューション概要
3.2 ソリューションアーキテクチャ
4. ステージ1：ハードウェアベースの秘密計算による秘密鍵利用時の保護
4.1 ソリューション概要
4.2 ソリューションアーキテクチャ
5. ステージ2：マシンアイデンティティ管理とエンドツーエンドの保護
5.1 ソリューション概要
5.2 ソリューションアーキテクチャ
附属書A – ハードウェアアーキテクチャ
附属書B – Vanafiのマシンアイデンティティ管理の実装
附属書C – インテルの利用時秘密鍵保護の実装
附属書D – マシンアイデンティティ・ランタイム保護と秘密計算との統合
D.1 ソリューション概要
D.2 ソリューションアーキテクチャ
D.3 インストールと構成
附属書E – 頭字語およびその他の略語

ここまで、NISTのハードウェア対応型セキュリティに関連した文書を紹介してきたが、業種・業界別にみると、決済系に代表される金融業界で、具体的な技術の開発・導入に関するユースケースが多く提供されており、オンプレミス環境とクラウド環境を組み合わせたハイブリッド環境におけるセキュリティ管理策の最適化に向けたソリューション開発が加速している。さらにマシンアイデンティティ管理をみると、情報技術(IT)と制御技術(OT)の融合に係るアイデンティティ管理の効率化・自動化を想定していることが伝わってくる。

元々、クローズドな境界防御を前提として情報システムが構築・運用されていた医療・ライフサイエンス業界の場合、ゼロトラストアーキテクチャやアプリケーションコンテナに代表されるクラウドネイティブ技術の導入も、ハイブリッド環境下が中心とならざるを得ない。医療機器のIoMT(Internet of Medical Things)やバイオ製造のデジタルツインを支えるセキュリティ管理策についても、ソフトウェア、ハードウェアの両面から最適化を図る必要があるだろう。

CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司