IoT セキュリティー イメージ

管理しているIoTデバイスは正規のもの? 端末の「真正性」を確保する方法とは

2017.08.07

Updated by Naohisa Iwamoto on 8月 7, 2017, 06:25 am JST Sponsored by サイバートラスト

爆発的に増加するIoTデバイスには、確実にセキュリティ対策を実装することが難しいというリスクがある。IoTデバイスメーカーは、セキュリティ対策を施していないIoTデバイスを製造、販売してしまい、世に出回った製品がサイバー攻撃の踏み台になってしまった場合に、大きな社会的責任を負う必要も出てくる。

IoTが本格普及する時代に、こうしたIoT特有の課題に対して、出荷後もIoTデバイスを正しく安全に管理する仕組みが求められる。その1つの解として、サイバートラスト、ソフトバンク・テクノロジー、ミラクル・リナックス、米ラムバスの4社は共同で「IoT機器の統合管理基盤」を開発。サービスの早期提供を目指している(参考記事:IoTデバイス500億時代に自社製IoTデバイスを攻撃の牙から守れ)。

4社が提供するIoT機器の統合管理基盤は、どのような点にメリットを持ち、4社がどのような役割を果たすのだろうか。

そのデバイスの特定方法で安全なのか?

IoTデバイスのセキュリティ対策は、これまでにも多くのソリューションが提供されてきている。そのとき、1つの重要な課題が「デバイスの真正性の確保」である。平たく言うと、対象となるIoTデバイスがなりすましされていない、正規のデバイスかどうかを、どのように判別するかということ。IoTデバイスの状態や振る舞いを管理したり、ソフトウェアやファームウェアのアップデートやマルウェアなどの感染の対策を施したりするには、そのデバイスが正規の端末であることが前提になるからだ。

一方、現状のIoTデバイスの管理やセキュリティ対策では、IoTデバイスの製品や半導体チップのシリアル番号など、メーカー固有の番号体系を元にして機器を特定することが多い。これらは類推が容易であるため、出荷後に悪意ある第三者によってなりすましや改ざんされるリスクがあり、さらには製造時に人手によって故意に書き換えられる可能性もある。それならば、PKI(公開鍵暗号基盤、Public Key Infrastructure)による電子認証の仕組みを使って、電子証明書を製品の製造時に半導体チップに書き込めば安全かというと、それでもメーカーでの証明書の書き込みに人手を介するため、ミスや改ざん、漏えいの危険性は残る。

4社が提供を目指すIoT機器の統合管理基盤 “Secure IoT Platform”では、こうしたデバイスの真正性の確保の課題を解決できる。その仕組みをごく簡単に説明してみよう。

チップベンダーに対して、ICチップ内の、読取・改ざんが困難な領域(耐タンパ領域)に、あらかじめ電子認証の「鍵」を安全に書き込む仕組みを提供。これらのICチップが組み込まれるIoTデバイスの製造時に、”Secure IoT Platform” の中核をなす電子認証局が保有する共通の「鍵」により機器を特定した上で、固有の電子証明書を発行、ネットワーク経由でインストールするという流れである。

▼IoT 機器の厳格な管理を電子認証で実現するための技術(詳細はニュースリリース参照)20170803_cybertrust002

説明を簡略化してある上、電子認証の仕組みは理解しにくいため、一般にはチンプンカンプンかもしれない。詳細が理解できる方は、図版やニュースリリースに掲載されている「要素技術の詳細説明」を参照してほしい。しかし、ここまでの説明でも分かることはいくつかある。「ICチップにはメーカーが関与しない『鍵』があらかじめ書き込まれている」「メーカーが自前で電子証明書をインストールすることはない」といったことだ。

すなわち、メーカーが製品を出荷するときには、ICチップベンダーとPKI電子認証局が相互に認証して正しく発行された電子証明書が、メーカーが手を加えることなくインストールされていることになる。“Secure IoT Platform”を使うと、IoTデバイスのメーカーは自社内での手間やコストをかけることなく、安全に機器ごとの固有の電子証明書をインストールした製品を製造できるのである。

各社の得意分野のノウハウを集積

“Secure IoT Platform”の構築には、共同開発する各社の得意な分野のノウハウが集められている。

ICチップへの「鍵」の管理と安全な書き込みは、米ラムバスの「CryptManager Infrastructure」のノウハウを生かして実行する。PKI電子認証局の運営や電子証明書の発行といったPKI関連の運営管理、および、前述の電子認証鍵の安全な保管は、電子認証局の運営で実績を持つサイバートラストが受け持つ。電子証明書をメーカーが製造するデバイスのチップに遠隔からインストールする「OTA」(Over the Air)の仕組みは、エンタープライズ向けの実績で培ったLinuxカーネル技術を応用したミラクル・リナックスの組み込みのノウハウを活用する。またクラウドの開発・運用にはソフトバンク・テクノロジーが担当する。それぞれの分野の第一人者ともいえる企業が手を組むことで、安全で使い勝手の良いIoT端末の統合管理基盤ができあがるのである。

IoTデバイスを製造するメーカーは、この“Secure IoT Platform”をサービスとして利用し、安全に「鍵」が埋め込まれたICチップを製品に搭載することで、セキュリティ対策やデバイス管理の基礎となる「デバイスの真正性の確保」が容易に可能になる。それも各分野の専門企業のノウハウを最大限に活かしたサービスであり、自社で同等の基盤を開発・運用するよりもコスト面でも性能面でもメリットは大きい。

IoT端末の統合管理基盤では、デバイスの真正性の確保だけでなく、IoTデバイスに対してソフトウェアやファームウェアのアップデートを要求するサーバー側の真正性の確保も同時に行う。これにより、悪意ある第三者のサーバーからウイルスやマルウェアがIoTデバイスにインストールされることを防ぐことにもつながる。次回は、IoT端末の統合管理基盤を活用することで、IoTデバイスのメーカーにどのような新しい価値が生み出されるかを見ていく。

【関連情報】
IoT 機器の統合管理基盤の提供に向けて米ラムバスと基本合意書を締結(ニュースリリース)
IoTデバイス500億時代に自社製IoTデバイスを攻撃の牙から守れ

WirelessWire Weekly

おすすめ記事と編集部のお知らせをお送りします。(毎週月曜日配信)

登録はこちら

岩元 直久(いわもと・なおひさ)

日経BP社でネットワーク、モバイル、デジタル関連の各種メディアの記者・編集者を経て独立。WirelessWire News編集委員を務めるとともに、フリーランスライターとして雑誌や書籍、Webサイトに幅広く執筆している。