組み込みソフトウェアの脆弱性管理で難しいのは、単に「CVE を検出すること」ではありません。難しいのは、その CVE がどのレイヤーに存在し、製品として本当に影響するのかを判断することです。 コンテナを使っている製品であればコンテナイメージ。Linux ベースであれば OS パッケージ。カーネルモジュールやデバイスドライバ。C/C++ で書かれたアプリケーション。さらに、Yocto や Buildroot で取り込まれる OSS、静的リンクされたライブラリ、設定ファイル、起動スクリプト、証明書、秘密情報。 これらを一つのスキャナでまとめて見ようとすると、どうしても粗くなります。逆に、レイヤーごとに「狙うべきもの」と「適した手段」を分けると、検出結果の解釈がかなり楽になります。 SBOM はこの考え方の土台になります。CISA は SBOM を、ソフトウェアコンポーネントとその関係を把握するための情報として位置づけており、脆弱性把握やサプライチェーンリスク管理に利用できます。NIST SP 800-161 Rev.1 も、製品・サービスのサプライチ

Hi, there. 本日は、システムのセキュリティを高めるうえでの核となるセキュリティアーキテクチャについて考えます。 IoT組み込みデバイスのセキュリティ設計は、単に「TLS を使う」「暗号化する」「セキュアブートを有効化する」といった個別対策の寄せ集めでは成立しません。本当に問われるのは、どこを信頼の起点にするのか、どの層で何を防ぐのか、侵害されたときにどう検知し、どう回復するのかを、製造から廃棄まで一貫したアーキテクチャとして整理できているかです。NISTIR 8259A は IoT デバイスに求められる能力として、識別、構成、データ保護、論理アクセス制御、ソフトウェア更新、サイバーセキュリティ状態の可視化を整理しています。ETSI EN 303 645 も、既定パスワードの排除、脆弱性開示、更新、機微データ保護などを基礎要件として示しています。 本稿では、IoT組み込みデバイスにおける「最適なセキュリティアーキテクチャ」を、実装可能性を意識しながら整理します。対象は、MCU/RTOS 系の軽量機器から Linux 系のエッジ機器までを含