不正回路検出ツールの実⾏結果共有に関わる実証実験の実施
安⼼安全なサプライチェーンの実現に向けて

背景

サプライチェーンの複雑化とグローバル化に伴い、半導体回路にハードウェアトロイ等の不正回路が混⼊するリスクが増加しつつあります。不正回路が混⼊することによって情報漏えいや機器の乗っ取りなど、製品・サービスの安全性が損なわれる危険があります。半導体回路に不正回路が含まれていないことを確認し、その結果をサプライチェーン上の他の組織とも共有することで、製品が安全であることを確認できる仕組みを構築することによって、不正回路の脅威に対抗することが求められています。

実証実験の概要

KDDI総合研究所は、内閣府戦略的イノベーション創造プログラム（SIP）第2期／IoT社会に対応したサイバー・フィジカル・セキュリティ（管理法⼈：新エネルギー・産業技術総合開発機構（NEDO））において、サプライチェーン上の様々なデータがセキュリティ要件を満たしていることを遠隔かつ⾃動で確認可能な仕組みを研究開発しています。
⼀⽅、東芝情報システムでは深刻化する不正回路の脅威に対して、半導体回路に隠された不正回路を検出するソフトウェア「HTfinder」を⽤いた、ハードウェアトロイ検出サービスを提供しています。

今回、HTfinderを⽤いて半導体回路に不正回路が含まれないことを確認し、その結果に対して、KDDI総合研究所が研究開発している仕組みを適⽤することで、不正回路が含まれていないことをサプライチェーン上の他組織からも確認できることを実証実験で確認します。
本実証実験では、まず、回路を設計した組織が HTfinderによって対象の回路に不正回路が含まれないことを確認し、その結果を証明書としてトラストストア ^注3 に登録します。次に、回路を⽤いて部品を製造する組織は登録されている証明書を確認することで安全な回路を選択し、その回路を⽤いて部品の製造を⾏います。部品が正しく製造されたことを⽰す証明書を登録する際には、利⽤している回路の証明書との関係も併せて登録します。次の組織も同様に、⼀つ前の組織が発⾏した証明書を確認し、その証明書と⾃組織で正しく製造したことを⽰す証明書を紐づける、という操作を最終製品まで繰り返していきます。これによって、サプライチェーンの始点から終点までの証明書のチェーンが構築でき、全体で不正回路を含まないことを確認できる仕組みを実現します。

また、HTfinderでチェック済みの回路の証明書をトラストストアで検索することも可能となるため、どの回路が安全性のチェックがされたものであるかを確認することが可能になります。

今後の展望

今回の実証実験で構築した仕組みが、特定の分野だけでなく、半導体回路を利⽤する幅広い製品を不正回路の脅威に対して有効な対策となるためには、信頼できる機関が証明書を管理するサービスを運営し、半導体回路を利⽤する様々な組織から証明書を参照できるサプライチェーンの実現が望まれます。今後も、これらの課題を解決するための取り組みを推進していきます。