認証局がデバイス証明書のデジタル署名処理に使う暗号化キーの生成と格納についても、セキュリティの確保が非常に重要だ。米国立標準技術研究所(NIST)は、暗号化キーの保護やデバイス認証の実行、ソフトウェアの検証といったセキュリティに不可欠な機能の実行について、元から信頼されているコンポーネントを信頼のルート(root of trust)として規定している。
NISTの規定によれば、これらのコンポーネントは設計上セキュリティが確保されているとともに、耐タンパー性(記憶データや内部構造やなどの解析の困難さ)を有するハードウェアがトラストアンカーとなる必要がある。信頼のルートがサーバ上のソフトウェアと暗号化キーの間に効果的なバリアを生成することで、暗号化キーへの不正アクセスのリスクは大幅に軽減される。暗号化機能を実行し、認証局用にキーを格納する上で最高レベルのセキュリティを提供するのは、ハードウェアセキュリティモジュール(HSM)だ。
管理サイトやソフトウェア利用のセキュリティを確保
IoTデバイスのコンフィギュレーションと管理はセキュリティ下で実施されなければならない。管理サイト用のルート証明書を内蔵しているデバイスであれば、管理サイトとの間で信頼通信チャネルを確立する際にルート証明書に対してサイトを検証することで、簡単に実行できる。
同時に、管理サイトもデバイス証明書によって当該デバイスが真正であることを検証し、識別できる。管理サイトがIoTデバイスにコンフィギュレーションデータのデジタル署名を実行して真正性を証明する一方で、デバイス側ではこのコンフィギュレーションデータが改変されていない信頼できるデータであることを検証できる。
アップデートサイトもこれと同じセキュリティインフラストラクチャで認証を実施し、ファームウェア/ソフトウェアアップデートのデジタル署名を実行する。サイトとデバイスの両方がお互いに相手を認証することで、信頼関係が維持される。
デジタル署名済みのソフトウェアによって改変や不法ソフトウェアを効果的に検出できるが、対象のアプリケーションやソフトウェアの一部となっている知的財産の価値によっては、より強度が高いセキュリティ対策が必要になることもあるだろう。より強度が高いセキュリティ対策には、たとえばリバースエンジニアリングや不正デバイスでの実行、不正コピーの使用に対する保護などが挙げられる。
これらのセキュリティテクノロジは効果が実証されてはいるが、自社だけのためにセキュリティインフラ全体と保護のメカニズムを構築するには費用が高すぎるかもしれない。また、IoTデバイスのエンジニアがITセキュリティのエキスパートではなく、セキュリティ機能を実装する作業が中心的な仕事ではないこともあるだろう。
IoTデバイスには多くの機能が実装されているかもしれないが、採用しているビジネスモデルがユーザーの使用する機能に基づくサブスクリプションをベースにしている場合であれば、デバイスのソフトウェアのセキュリティに加えて、ユーザーによる個々の機能の使用を柔軟に保護できる、柔軟で安全な手段を講じる必要があるだろう。