Lattice Semiconductor(ラティスセミコンダクター:以下、ラティス)は2020年8月20日、オンラインで記者説明会を実施し、ファームウェア攻撃に対するエンドツーエンドのサプライチェーン保護を実現するFPGAベースのソリューションとして、ソリューションスタック「Lattice Sentry」と、サプライチェーン保護サービス「Lattice SupplyGuard」を発表した。
Lattice Semiconductor(ラティスセミコンダクター:以下、ラティス)は2020年8月20日、オンラインで記者説明会を実施し、ファームウェア攻撃に対するエンドツーエンドのサプライチェーン保護を実現するFPGAベースのソリューションとして、ソリューションスタック「Lattice Sentry」と、サプライチェーン保護サービス「Lattice SupplyGuard」を発表した。
近年、ファームウェアの脆弱性を狙った悪意ある攻撃が活発化しており、米国立標準技術研究所(NIST)のデータベースによると2016年から2019年の間、ファームウェアの脆弱性に対する攻撃は700%に迫る勢いで増加しているという。この問題については、米国の市場調査会社Gartnerも、「2022年までに適切なファームウェアのアップデート計画を持たない組織の70%が、その脆弱性によりセキュリティを侵害される可能性がある」と警告している。
また、ラティスは新型コロナウイルス感染症(COVID-19)の感染拡大および世界的なロックダウンにより、組織のサプライチェーンから広がる短中期的なリスクが大幅に増加していると指摘されていることに言及。今回発表したLattice SentryとLattice SupplyGuardによって、ファームウェア攻撃に対するエンドツーエンドのサプライチェーン保護を実現するとしている。
Lattice Sentryは、NISTプラットフォームファームウェアレジリエンシー(PFR)ガイドライン(NIST SP-800-193)※に準拠したハードウェアRoof of Trust(RoT)ベースのPFRソリューションを実現するもので、ハードウェアプラットフォーム、IP(Intellectual Property)コア、ソフトウェアツール、リファレンスデザイン、デモ、カスタム設計サービスで構成している。なお、Lattice Sentryが現在対応するのは、2019年に初のNIST SP-800-193準拠FPGAとして発表した「MachXO3D」のみとなる。
※NIST SP-800-193は、NISTが2018年に発表したファームウェアへの不正な変更の検出、攻撃からの保護および正しいファームウェアへの復元に関する機能を仕様としてまとめたもの
Lattice Sentryは具体的にはシステムの起動前、起動中、起動後に全てのICのファームウェアの認証を行いプラットフォームを保護およびリアルタイムで攻撃を検出。さらに不正なファームウェアや不正アクセスが検出された場合、中断なくシステム運用が継続できるようにファームウェアを既知の良好な状態に自動的に復元といった動作をする。なお、構築するシステムでは既存のCPUベースのアーキテクチャを補完できる、「設計者は既存システムのアーキテクチャを変更することなく、容易にNIST準拠の完全なPFRソリューションを手に入れることが可能だ」と説明。さらに、テスト/検証済みのSentryスタックは「10カ月程度要していた顧客の製品開発期間を6週間に大幅短縮可能だ」としている。
また、RISC-V搭載によって柔軟なカスタマイズも可能。Lattice Propelの設計環境を用いれば、Sentry検証済みIPをドラッグアンドドロップするだけで基本設計ができる。また、同梱のRISC-V Cリファレンスソースコードを必要に応じて変更することで、独自のNIST準拠ソリューションの開発が可能となる。
Copyright © ITmedia, Inc. All Rights Reserved.