米サンフランシスコで2014年6月1日~5日に開催された51st Design Automation Conference(DAC 2014)では、セキュリティーは自動車、IPコアベース設計と並んで、主催者が重点を置く3大テーマだった。5日にはセキュリティーをテーマに米Intel社が基調講演を行い(日経テクノロジーオンライン関連記事1)、セキュリティーをテーマにした「SKY(Short Key Note) Talk」もあった。

 セキュリティーのSKY Talkで登壇したのは、米Cryptography Research社のPaul Kocher氏(President and Chief Scientist)である。Cryptography Research社には馴染みのない読者もいるかもしれないが、1995年に設立された半導体や組み込みシステム向けのセキュリティーIP(例えば有料TV向けの認証システムなど)を開発して、提供している企業である(日経テクノロジーオンライン関連記事2)。

最初は小さい亀裂に過ぎない

 Kocher氏の講演は、1928年に完成したオハイオ州のSilver Bridgeが1967年に崩壊した写真から始まった。この橋は小さな致命的亀裂が原因で崩壊したことが後から判明している。セキュリティーも同様であり、「事故が発生した後になってセキュリティーリスク(亀裂)を見逃していることに気が付く」と述べて本題に入った。

 組み込み機器では、何個のセキュリティーリスク(亀裂)があるのだろうか。ECCのないDRAMでは1ビット単位にあり、フラッシュやストレジでも1ビット単位にある。CPUやサポートロジック、ソフトウエアなどを考えると、亀裂の総数は100億程度と考えられているという。さらに、向こう10年の間には1兆になるとする。また、セキュリティーリスクに対する攻撃がこれまで多数発生しており、米eBay社や「プレイステーションネットワーク」の事例がよく知られていることを紹介した。