OPC UAのセキュリティ拡張機能をWibu-Systemsが提供
背景
OPC UAは、特定のプラットフォームに依存しない通信フレームワークであり、多様な産業分野で急速に普及しています。システム間でデータ交換する際、セキュリティは最も重要です。そのため、OPC UAの中核部分には、高度なセキュリティ・イン・デプスの概念が搭載されています。OPC UAは、TCP/IPスタックの上位層に組み込まれたアプリケーションレベルとトランスポートレベルそれぞれのセキュリティを定義しています。OPC UAは、今日のウェブアプリケーションのHTTPS規格で使用されているSSL(Secure Sockets Layer)とTLS(Transport Layer Security)に加えて、UA-Secure-Conversationレイヤーを採用しています。また、OPC UAは、真のセキュリティ機能を提供し、クライアントとサーバー間での安全なエンドツーエンドチャネルを実現します。通信レイヤーレベルでは、アプリケーションとエンドユーザーは、X.509証明書と、PKIで知られるトラストリストや証明書失効リスト(Certificate Revocation List、CRL)のような信頼管理プロセスを介して識別されます。これにより、機密性と整合性が保持され、アプリケーションの認証が確実に行われます。
Unified AutomationのOPC UA SDK/ツールキットは、定義されたSecurity Profileとコンフィギュレーションをサポートし、証明書とトラストストアの作成・保存・検証のためのAPIを提供します。しかしながら、証明書とトラストにおけるアプリケーション固有の処理と管理は、OPC UAでは対処できないため、SDK/ツールキットの外部で解決しなければなりません。この問題は、デバイスの用途と利用可能なインフラによって対処方法が異なるため、各デバイスメーカーでの対応が求められます。
こうした背景を受け、Wibu-SystemsとUnified Automationは、OPC UAのセキュリティ要件を満たしつつ、PKI管理と機密データの安全な保管が簡単に実現できるソリューションを開発する共同プロジェクトを立ち上げました。このプロジェクトは、デバイスメーカーが、マルチプラットフォームの保護、ライセンシング、およびセキュリティソリューションを、SDKへ容易に統合し、OPC UA本来の機能を強化させるとともに、より幅広い機能へアクセスできることを目指します。
OPC UAに基づいてオートメーションソフトウェアを開発するメーカーは、セキュリティレベルを向上させ、不正行為や誤操作から、マシンやビジネス、マシンオペレーターの安全を守る必要があります。さらに、バリューチェーンにおいて、知的財産(IP)がハードウェアからソフトウェアへ移行している今、メーカーは、ソフトウェアを最大限活用し、さまざまなライセンシングモデル(例:機能ベース、時間ベース、使用ベース)を提供することで、提供する製品の規模拡大、市場シェアの拡充、経常利益の獲得を実現する新たな機会を手にしています。
課題
RSAの秘密鍵やトラストリストなど、暗号鍵や機密性の高いコンフィグレーションファイルをファイルシステムに保存することは、盗難や改ざんの恐れもあり危険です。特に、ネットワークに接続されたサイバーフィジカルシステム(CPS)であればなおさらです。攻撃者は、OSの脆弱性を利用してトロイの木馬を仕掛け、ファイルシステムにアクセスします。これは、システムを侵害する方法の一つです。機密データを保護し、マシン間の認証と証明書の展開シナリオの構成を簡素化することは、主要な課題であり、高水準の保護を実現するために欠かせません。
Wibu-Systemsが提供するCodeMeter Embeddedは、Linux Embedded、VxWorks、QNX、Androidなどの組込みシステム向けのモジュラーランタイム環境であり、Unified AutomationのOPC UA SDK(ANSI Cベース)への統合に最適な候補として選ばれ、スムーズなユーザー体験はそのままに、SDKへ統合されました。
解決
開発者は、OpenSSLを使用した純粋なソフトウェアソリューション、もしくは、ANSI CベースのSDKの内部APIと抽象化を介してシームレスに統合されたCodeMeter Embeddedを使用した複合ハードウェアソリューションのどちらかを選択することができます。Wibu-SystemsのOPC UA Security Extensionは、ソフトウェアライブラリ、CodeMeter Embeddedのエンジン、ハードウェアセキュアエレメントで構成されています。ソフトウェアコンポーネントは、OPC UA SDKを通じてベンダーが直接アクセスできるのに対し、セキュアエレメント(通常はUSBドングル、その他ASICやSDカード等のセキュアメモリーカード)は、エンドユーザーのOPC UAアプリケーションに関連付けられます。これらは、暗号鍵とソフトウェアライセンスエンタイトルメントの安全な保管場所となります。Wibu-Systemsは、このようなセキュアなストレージに加え、シンプルな設定や管理機能も提供します。
OPC UAとCodeMeter製品の相性
CodeMeterは、コモンクライテリア(CC)のEAL5+認証のセキュリティコントローラーにセキュアなキーストレージを追加します。対称および非対称暗号化は、このセキュアなハードウェアエレメント内で実行され、これにより、暗号鍵とライセンス情報が完全に保護されます。スマートカードチップを組込み、その追加の暗号化および認証特性に影響されるコンテナは、サイドチャネル攻撃や差分電力解析(DPA)攻撃に耐えることができます。この独自技術は、ベンダーが介入せずとも自動的に稼働し、OPC UAインターフェイスに対して完全に透過的です。また、OPC UAサーバーソフトウェアに統合される追加のソフトウェアコンポーネントにより、ドングルのコンテンツを遠隔から管理することも可能です。これにより、ソフトウェアの更新とアップグレードを簡単かつ安全に行い、ライセンスの延長や失効、譲渡の処理をシステム管理者が行うことができます。さらに、証明書の管理および展開だけでなく、ライセンスが付与された製品機能のアクティベートも、同じ既存のWIBUインフラを介して行うことが可能です。
Wibu-Systemsのシニアソフトウェア開発者であるSören Finster博士はこのように述べています。「Wibu-SystemsのCodeMeter EmbeddedがUnified AutomationのSDKに搭載されたことで、OPC Unified Architectureにおけるデバイスのノウハウの保護が、より簡単に、より速く、より安全にできるようになりました。」
Unified Automation製品の利用
「セキュアなライセンシングへの投資は、ビジネスの安定性、市場での信頼性獲得、そして新たな収益源の確保につながります。」これは、Wibu-SystemsのCEO兼共同創設者のオリバー・ウィンジェンリートの言葉です。
Unified AutomationのOPC UA SDKには、抽象的な暗号化機能とPKIが搭載されています。標準で提供されるSDKは、オープンソースライブラリOpenSSLの統合が想定されています。この純粋なソフトウェアソリューションとは別に、WIBU Security Extensionは、第二のオプションを提供します。ハードウェアドングルとクリプト・オン・チップを組み合わせたこのオプションは、安全性の向上、主要CPUの負担軽減に役立ちます。Unified AutomationのOPC UA SDKを購入したベンダーは誰でも、Wibu-Systemsが提供するCodeMeter Embeddedの機能を利用できます。そのセキュリティ機能セットは、ANSI CベースのOPC UA SDKと、High Performance OPC UA SDKで利用可能です。エンドポイント証明書、秘密鍵、トラストリストのための安全なキーストレージと、多機能なライセンスライフサイクル管理を組み合わせることで、ベンダーに、新しいビジネスチャンスが生まれることでしょう。