NECとシスコシステムズは2020年2月17日、重要産業インフラなどセキュリティ要件が高い場面で、ネットワーク機器を安全に使えるようにする仕組みを提供すると発表した。製品出荷前、構築時、運用中のすべての工程で、ネットワーク機器のハードウェアやファームウェアに変更が加えられていないかどうかをチェックし、これをブロックチェーンで記録・確認できるようにする。NECとシスコシステムズは、今回の取り組みに対応したネットワーク機器を2020年度から順次提供する。
NECとシスコシステムズは、ネットワーク機器の真正性(メーカーが設計・製造した状態から意図せず改変されていないこと)を、製品出荷前、構築時、運用中にわたってチェックする仕組みを提供する(図1)。要素技術として、ファームウェアの改竄などを検知できる機能をネットワーク機器に実装する。さらに、日々の検知結果をブロックチェーンに記録し、状況を確認できるようにする。
図1:ネットワーク機器の真正性をチェックできる仕組みを提供する。ネットワーク機器上でハードウェアやファームウェアの真正性をチェックし、ブロックチェーンで履歴を管理する(出典:NEC、シスコシステムズ)拡大画像表示
ネットワーク機器の真正性をチェックする機能は、NECとシスコシステムズの両社が持っている。NECは、ファームウェアの改竄を検知する軽量のソフトウェアを持っている。これを同社のネットワーク機器のOS上で稼働させる予定である。一方、シスコシステムズは、同社のネットワーク機器の機能として、ハードウェア(機器固有ID)とファームウェアの両面で機器の真正性を確認する機能を持っている。
今回の取り組みではまず、シスコシステムズのネットワーク機器を対象に、ハードウェアおよびファームウェアの真正性を監視対象とする。真正性の確認には、シスコシステムズのネットワーク機器が標準で持っている機能を利用する。検査結果の履歴は、NECが提供するブロックチェーンに記録する。これにより、ネットワーク管理者は、シスコシステムズのネットワーク機器の真正性を、出荷検査時やネットワーク構築時に確認・監視・管理できるようになる。
今後は、NECのネットワーク機器も管理の対象とする。真正性の確認には、NECの軽量改竄検知ソフトウェアを利用する。
将来的には、真正性を確認する取り組みを、運用中、増設時、バージョンアップ時、保守時などを含むライフサイクル全般に拡大する。これにより、ネットワーク機器の真正性がライフサイクルのどの時点で確保されていたかを確認できる。インシデント発生時に、素早く対応できるようになる。また、ネットワーク機器のコンフィグ(設定)などについても段階的に真正性の監視対象とすることを検討していく。
