電子署名および署名検証を行う仕組みでIoT 機器のセキュリティを向上

サイバートラスト株式会社は、IoT 機器メーカー向けに、電子署名を中心としたコード署名と暗号化を可能にする「SIOTP Client Manager」を 2023 年 12 月より提供を開始した。それにともない「EdgeTech+ 2023」内の特別企画「オートモーティブソフトウェアエキスポ」において、「SIOTP Client Manager」のデモを出展した。

「SIOTP Client Manager」は、機器内に閉じた環境で個々の IoT 機器に電子署名および署名検証を行う仕組みを提供する SDK（Software Development Kit）で、機器メーカーが製造過程で活用することで、IoT 機器の真正性を確保し、機器のセキュリティ向上を実現できるものである。

IoT・組込みシステムにおいて、サプライチェーンセキュリティ強化や、業界規制や標準規格への対応など、セキュリティ要求は高まり続けている。IoT 機器保護のために米国国立標準技術研究所（NIST）が提唱するゼロトラストアーキテクチャにおいても、機器の内外で境界線をひく従来の考え方のみでなく、内部に侵入されることを前提にセキュリティ対策を実装する必要がある。

IoT機器内は安全としても、ミドルウエアに脆弱性があればIoT機器は危険にさらされているということになる。そこで、IoT 機器に組み込まれるソフトウェアの信頼性や、生成されるデータの保護が重要となり、電子署名の活用が期待されている。 「SIOTP Client Manager」は、暗号化技術を利用した電子署名および暗号化を IoT 機器上で安全に利用するための機能を提供する。特に、鍵や電子証明書などを安全なHSM *（Hardware Security Module）上で管理できるように設計されている。たとえ、IoT機器内の一部に問題があったとしても、問題のない部分はそのまま稼働が出来るという訳である。

これらの仕組みにより、機器メーカーは製造する IoT 機器と機器上のファイルの真正性を確認でき、業界規制に対応する高いセキュリティの IoT 機器を提供可能にする。

「SIOTP Client Manager」により以下を実現する。

・認証情報を安全に保存：電子証明書や秘密鍵などの認証情報を HSMに保存することで意図しない第三者などからの不正なアクセスを防ぎ安全に管理する。
・IoT 機器上のファイルを保護：機器内のファイルへの電子署名や暗号化により、攻撃・侵入によるファイルの改ざんや情報窃取などからファイルを保護する。
・業界規制に対応：国際電気標準会議（IEC）が策定する産業制御システムの国際標準規格「IEC62443」では、「機器の製造時に 1 つまたは複数の「信頼の基点」として使用される製品サプライヤーの鍵と、データの機密性、完全性、および信頼性を提供および保護する機能を提供する」という要件がある。上記要件においては、HSM の利用は必須ではないが、「SIOTP Client Manager」を利用することにより、HSM を容易に利用することが可能となる。また、他の要件である以下のセキュリティ機能の安全性を高めることにも寄与する。
・ソフトウェアの真正性や完全性の確認
・ソフトウェアアップデート
・監査ログの保護

サイバートラストは、クラウド上で機器認証と通信の保護を実現する従来の Secure IoT Platform® に加えて、「SIOTP Client Manager」により機器内に閉じた環境下でのデバイスの機密性、完全性担保を実現し、あらゆるサイバー攻撃からの防御として基本となる「信頼の起点」の保護に対応する。これにより、IoT 機器の製造から設置・運用、廃棄までライフサイクルを通して安心・安全な管理を支援するとしている。

※HSM とは：Hardware Security Module という暗号化機能が実装された安全な機器で、秘密鍵を HSM に保管し不正に外部にコピーされない対策が施されています。IoT 機器上では専用のチップ（Secure Element）で構成され、電子署名や暗号化ができます。

出典：サイバートラストHP　サイバートラスト、機器メーカー向けに IoT 機器の真正性を確認できる「SIOTP Client Manager」を提供