IoTセキュリティの設計図

IoTデバイスのセキュリティとは何を指すのか--ハードとソフトの設計とバランス - (page 2)

相原敬雄

2016-04-14 07:00

「信頼済みデバイス」を確立するために

 信頼済みデバイス(Trusted Device)とは、デバイスのメーカーやこれを利用するサービスプロバイダが次のことを検証できるデバイスを指す――(1)ハードウェアとソフトウェアが改ざんされていないこと、(2)デバイスが真正なデバイスであること、(3)デバイスが生成するデータが真正であること。これらを抑える必要がある。

 一定の段階(たとえば製造時)からデバイスが改ざんされていないことは、暗号によって実証することが可能だ。具体的には、識別可能な重要なサブシステムのフィンガープリントを取り、このフィンガープリントをデジタル署名にして真正性を証明する。実際の運用の場面では、デバイスのフィンガープリントのデジタル署名はPKI(公開鍵基盤)テクノロジによって生成される。

 PKI処理用の暗号化キーを生成して格納するセキュアエレメントを搭載していることは、ハードウェアにとって必要不可欠だ。ハードウェアのセキュアエレメントは、専用の物を利用する、または、eSIM(消費者向けデバイス)やMIM(工業/自動車アプリケーション)などの通信アプリケーションで使われているセキュアエレメントをハードウェア保護に使用することも可能だ。

 セキュリティが確保されたキーはハードウェアの信頼のベースとなり、このキーによってハードウェア上の「トラスト層」を確立できる。ハードウェアセキュアエレメントを使用することで、差分電力解析(Differential Power Analysis:DPA)や電子顕微鏡を通じたリバースエンジニアリング(仕様やソースコードなどを分析、調査すること)などの悪意あるハードウェア攻撃からキーを保護することが可能になる。

 デバイスフィンガープリントは、デバイス製造時におけるデバイスの製造者や所有者を代表する認証局(CA)によって署名され、デバイス内に格納されている必要がある。デバイス認証は当該デバイスを他のデバイスやサービスで識別するために使われるとともに、高信頼通信チャネルの確立や機密情報の暗号化、真正性を証明するためのデータのデジタル署名に使用することが可能だ。

 デバイスに必要なもう1つの重要なトラストアンカー(電子的認証の際の基点)は、信頼の対象(誰か、何か)を認識することだ。これらのトラストアンカーは、ルート認証局証明書としてデバイスに内蔵される。デバイスに格納されているルート証明書は1つの場合もあれば、複数の場合もある。

 これらの証明書によって、認証済みマスターサイト、認証済みメンテナンスエンティティ、信頼性のあるソフトウェアアップデートといったエンティティを識別することが可能だ。ルート証明書はデバイス内で安全に格納し、適切な権限がなければ改変できないようにすることが重要だ。

 将来に備えて、デバイスに追加のキーが必要な場合もある。このため、デバイスにはキーのペアを生成するとともに追加のデジタル証明書を登録、ダウンロードする機能が必要だ。言うまでもなく、これらの機能もセキュリティによって保護することで、適切な権限を有するエンティティ(従業員、パートナー、デバイス、サービスなどデータにアクセスする実体)以外はこれらの処理を実行できないようにしなければならない。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  5. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]