近年IoT機器の普及に伴い、サイバー攻撃は増加の一途をたどっています。サイバー攻撃は社会経済活動に大きな影響を及ぼしかねず、国家安全保障の観点から各国でセキュリティ対策に関わる法整備やセキュリティガイドラインの策定が進んでいます。
最近の話題として、欧州では最近デジタル製品に新たなセキュリティ要件を課すサイバーレジリエンス法案(Cyber Resilience Act)が発表されました。この法案は、身近な家電製品等へも適用されていくと予想されており、今後の動向を注意深く見守っていく必要があります。また、日本では2017年にIoTセキュリティガイドライン、米国でもIoTデバイスの基礎的なセキュリティ要件を示すNIST IR 8259が策定されており、これらへの対応も必要となってきます。
このように様々なセキュリティ要件が乱立している中で、皆さんもIoT機器として具体的にどのようなセキュリティ対策を実施すべきか皆様お悩みの事と思います。
古くからセキュリティの国際的な規格として、NIST(アメリカ国立標準技術研究所)が定めているFIPS140という規格モデルがあります。FIPS140は米国連邦政府が求める暗号モジュールのあり方について定義しており、認証制度(CMVP)も整備されています。
各国が策定しているセキュリティ要件を見てみると、以下の点でNISTが定める規格モデルに類似している事が分かります。
- 機密性の高いセキュリティパラメータや個人データの保護
- Root of Trust(デバイスの信頼性を検証するための構成要素 - セキュアブート, FWアップデート, 改ざん検出など)
- ライフサイクル管理(鍵の生成から利用/廃棄など)
つまり、上記のような類似要件に対して備えることが、セキュリティ対策として最優先課題となります。
ルネサスではNISTが定める規格モデルに着目して、Trusted Secure IPという弊社独自のセキュリティIPを搭載したRXマイコンで「強固な鍵保護」、「Root of Trust」、「安全な鍵管理」を実現しています。
もちろん、各国のセキュリティガイドラインには、システムレベルでの対策や組織としての体制を整備する必要性も含まれており、半導体デバイスだけで全てのセキュリティ要件をカバーすることはできません。
しかしながらTrusted Secure IP搭載のRXマイコンは、ベースラインとされるセキュリティ要件をカバーする機能を備えており、汎用マイコンでありがながら、民生レベルでは最高レベルであるCMVP level 3を取得しています。
先ほどの最優先課題で重要視すべきこととして、信頼できるデバイスをベースにして、その上で動作するソフトウェアの信頼性を検証するRoot of Trustの構築があります。攻撃者にとってソフトウェアは悪意あるコードを埋め込む場所として格好の攻撃対象です。
TSIP搭載RXマイコンのセキュリティソリューションでは、開発難度の高いセキュリティドライバやセキュアブート、セキュアFWアップデートも含めた3つのソフトウェアサンプルがワンパッケージになっており、セキュリティ導入の障壁を低減しつつ、Root of Trustを構築し、様々な脅威からお客様の資産を守ります。
いかがでしたでしょうか、このように3つのソフトウェアと汎用マイコンあるRXマイコン一つで最優先課題の1つに取り上げたRoot of trustを実現する事が可能です。
「機密性の高いセキュリティパラメータや個人データの保護」、「ライフサイクル管理」に関してもRXでは様々なソリューションを準備しておりますので、次回はそちらについても触れていきたいと思います。