近年、モノのインターネット (IoT) が急速に発展しており、消費者や企業が導入するIoTデバイスの数が増加しています。しかし、これによりIoTデバイスはハッカー攻撃の標的にもなり、IoTデバイスのセキュリティは消費者と企業にとって大きな懸念事項となっています。この記事では、現在のIoTアプリケーションが直面している課題、関連する法的規制、およびArrow ElectronicsとST Microelectronicsの現在のソリューションについて紹介します。
サイバーセキュリティの欠如が引き起こすIoTの課題
統計データによると、現在のIoTテクノロジーが直面している主な課題は、IoTデバイス開発者が適切に保護されていない製品の作成を急いでいることに起因しています。もう一つの課題は、データ分析の専門家が不足しており、企業がIoTのメリットを十分に享受できないことです。さらに、市場には簡単に攻撃されるIoT製品が大量に存在し、消費者がファームウェアの更新を嫌がることも相まって、IoTセキュリティは大きな課題に直面しています。
IoTデバイスの脆弱性を悪用してユーザー アカウントを公開するハッカーの報告は頻繁にあります。ユーザーデータは詐欺グループの手に渡り、消費者を騙して金融詐欺にかけるために利用されることがよくあります。さらに、一部のIoTデバイスはハッカーに侵入され、プライバシー侵害につながります。侵入されたカメラを通じて、ユーザーの生活が侵害され、「トゥルーマン・ショー」のシナリオに似ています。
IoTデバイスは機密情報を含む可能性のある大量のデータを送信および処理するため、IoTシステムのセキュリティとユーザーのプライバシーを確保することが重要な課題になります。悪意のある攻撃、データ侵害、不正アクセスなどのリスクに対処する必要があります。
サイバーセキュリティが欠如していると、個人、組織、そして社会全体に影響を及ぼす一連の深刻な問題が発生する可能性があります。これらには、データ侵害、金銭的損失、企業の評判の失墜、インフラストラクチャへの脅威、ランサムウェア、国家安全保障上のリスクなどが含まれます。これらの問題に対処するには、組織と個人の両方が、定期的なソフトウェア更新、強力なパスワードの使用、多要素認証の実装、定期的なセキュリティレビュー、セキュリティ意識を高めるための従業員トレーニングなどのサイバーセキュリティ対策を強化し、コストのかかるデータや知的財産 (IP) の漏洩、企業の評判の低下、市場投入までの時間の遅延、さらには訴訟や罰金を回避する必要があります。さらに、政府は関連する規制や政策を推進し、企業や組織がサイバーセキュリティシステムを強化することを奨励し、監督する必要があります。
各国はサイバーセキュリティを強化するための規制措置を実施している
現在、組織や業界が情報セキュリティを確保するための指針を提供することを目的としたサイバーセキュリティの標準や規制が数多く存在します。さまざまな国や地域では、欧州連合が主導するETSI EN 303 645、米国が主導するUL 2900-1規格、CTIAやIoXtなどのIoTデバイスの認証機関など、独自の関連するサイバーセキュリティ規格が策定されています。
欧州電気通信標準化機構 (ETSI) が導入した注目すべき標準規格の1つがEN 303 645です。これは、消費者向けIoTデバイスに適用できる初のグローバル サイバーセキュリティ標準規格です。この規格は、サイバーセキュリティとデータ保護における優れた実践を実現するための技術的および組織的対策を統合することを目的として、消費者向けIoTのベースライン要件を確立します。これには、サイバーセキュリティとデータ保護の13の側面にわたる33の強制規定と35の推奨規定が含まれています。
ETSI EN 303 645では、ハードウェア内の機密セキュリティ パラメータの安全な保管、安全な通信、露出している攻撃対象領域の最小化、ソフトウェアの整合性の確保が義務付けられています。ソフトウェア/ファームウェアの面では、ユニバーサルデフォルトパスワードの回避、個人データのセキュリティの確保、システムの停止耐性の有効化、入力データの検証が必要です。企業ポリシーの面では、脆弱性レポートの管理、ソフトウェアの最新状態の維持、システムテレメトリデータの確認、ユーザーによるデータの簡単な削除、インストールとメンテナンスの簡素化、収集される個人データとその目的の明確な説明など、IoTデバイスが必要なセキュリティ標準に準拠するための方法を実装する必要があります。
サイバーセキュリティ規制および標準への準拠に関するPSA認定
IoT製品のコンプライアンスを確保するには、PSA認証を取得する必要があります。PSA Certifiedは、大手半導体およびソフトウェア設計企業であるArmが他の業界パートナーと協力して開始した、IoTデバイス専用に設計されたセキュリティ認証プログラムです。PSA Certifiedの主な目標は、IoTデバイスのセキュリティを評価および認証するための世界的に認められたフレームワークを確立することです。このプログラムは、IoTデバイスが最低限のセキュリティ要件を満たしていることを確認するための一連のセキュリティ ガイドライン、評価基準、およびテスト方法を提供します。
PSA認定は、デバイスID、セキュア ブート、セキュア通信、ファームウェア更新、暗号化など、さまざまなセキュリティの側面をカバーするIoTデバイスの包括的なセキュリティ フレームワークを定義します。IoTデバイスのライフサイクル全体にわたるセキュリティ上の課題に対処するための標準化されたアプローチを提供します。このプログラムには、認定された研究所が実施する独立したセキュリティ評価が含まれており、PSA認定のセキュリティ要件に基づいてIoTデバイスのセキュリティ機能と実装を評価します。これらの評価の独立性により、認定デバイスのセキュリティに関する主張の信頼性と信頼が高まります。
PSA Certifiedは、IoTデバイスのセキュリティ機能に基づいて、レベル1 (ベースライン) からレベル3 (高度) までのさまざまなレベルの認定を提供します。各レベルは、セキュリティ保証のレベルの増加を表します。組織は、特定のセキュリティ要件とIoTデバイスの目的に基づいて、適切な認証レベルを選択できます。
IoT製品メーカーの場合、PSA認定を取得することで、IoTデバイスがシステム信頼チェーンにおける信頼アンカーとして機能できるようになります。規制が進化し、強化され続ける中、新しい設計は将来を見据えたものでなければならず、欧州、北米、アジア太平洋地域の要件を満たし、製品開発の業界のベストプラクティスに沿ったものでなければなりません。
チップサプライヤーに対する最近の調査によると、顧客が安全な製品を開発する上での主な障害は、社内のセキュリティ専門知識の不足です。最終顧客がこれを要求しているため、製品メーカーは信頼できる製品を構築/開発し、製品開発中のリスクと責任を軽減する必要があります。
PSA認定には、認定された研究所が実施する独立したセキュリティ評価が含まれており、PSA認定のセキュリティ要件に基づいてIoTデバイスのセキュリティ機能と実装を評価します。これらの評価を通じて、組織はデバイスのセキュリティ機能の客観的な評価を取得し、規制や標準への準拠を実証できます。
PSA認定は、EUのネットワークおよび情報システム (NIS) 指令や英国の消費者向けIoTセキュリティ ベスト プラクティス ガイドラインなど、既存のサイバーセキュリティ規制および標準に準拠しています。PSA Certifiedによって定義されたセキュリティの原則と要件を遵守することで、組織はこれらの規制への準拠を保証し、セキュリティへの取り組みを実証し、顧客、パートナー、規制当局との信頼関係を構築できます。これは、IoTデバイスの特定のサイバーセキュリティ規制と標準を満たすための構造化されたアプローチを提供し、組織がIoTセキュリティ要件の複雑な状況に効果的に対処できるようにします。
PSA認定を取得することは、業界の規制に準拠していることを意味します。PSA認証は、EN 303 645、NIST 8259A、SB-327、UK DCMS、ENISA (WIP)、IEC 62443 4-2、CSA-311などの今後の規制や標準に積極的に準拠し、UL、ioXt、SESIP、DLC、Amazon Alexa、Munich RE、Matterなどの組織と連携して、コラボレーションを促進し、再利用を可能にします。
ArrowとPSA Certifiedはデザインの進化をお手伝いします
PSA認定フレームワークの手順には、セキュリティ要件の分析、安全な設計の設計、設計の作成、安全な設計の検証が含まれます。OEM向けのPSA認定レベル1 IoTセキュリティ フレームワークには、一意の識別、セキュリティ ライフサイクル、認証、セキュア ブート、セキュア アップデート、アンチロールバック、分離、インタラクション、セキュア ストレージ、暗号化/信頼できるサービスなど、10の主要目標があり、独立して検証されたIoTセキュリティ評価への道筋を提供します。
Arrow ElectronicsはPSA認定レベル1アプリケーションと連携しており、OEMがそれを接続型セキュリティ設計の基盤として使用できるようにしています。OEMはリファレンス デザインを採用し、IPを階層化し、加速された認証プロセスを通じてアプリケーション全体を完成させることができるため、自信を持って迅速かつ安全に製品を市場に投入できます。
PSA Certifiedは、Arrow Electronicsと連携して、エンド カスタマーがIoT専用の独自のセキュリティ コラボレーション ソリューションを作成できるよう支援します。このコラボレーションは、エコシステム全体に新たなビジネスチャンスをもたらし、セキュリティが組み込まれたエンドツーエンドのソリューションを提供し、重要な標準と規制を満たし、セキュリティ機能の開発にかかる投資コストを削減し、サプライチェーンと物流のビジネス管理を拡張し、サードパーティの認証を通じて保証を得ることを目的としています。
Arrow Electronicsは、TrustZone、WiFi、Bluetooth接続、および複数のセンサーのサポートを含むSTM32U5セキュア組み込み開発キットを発表しました。このセキュア開発キットは、低電力Arm Cortex-M33コアを搭載したSTMicroelectronicsのSTM32U5マイクロコントローラを活用し、IoT開発者にとって複雑なタスクであるセキュリティの統合を支援します。Arrow Electronicsのリファレンス デザインは、安全な組み込みアプリケーションに適しており、PSA認定レベル1を取得しているため、Amazon Web Services (AWS) やMicrosoft Azureなどの主要なクラウド プロバイダーとのシームレスな連携が保証されます。
一方、Silicon Labsは、進化するIoTの脅威に対処するための最先端の高度なセキュリティ機能を備えたSecure Vault™ プラットフォームを発表しました。このプラットフォームは、IoTエコシステムにおけるセキュリティの脆弱性を軽減し、知的財産の漏洩や偽造による収益損失のリスクを最小限に抑えます。Secure Vaultテクノロジーは、スケーラブルなローカルおよびリモートのソフトウェア攻撃を防ぎ、ローカルのハードウェア攻撃から防御します。
Secure Vaultの主な機能には、セキュア キー管理、ロールバック防止、改ざん防止、ロック/ロック解除されたセキュア デバッグ、セキュア リンク、RTSLによるセキュア ブート、セキュア アテステーション、差分電力解析 (DPA) 対策、および真性乱数ジェネレーター (TRNG) が含まれます。さらに、Secure VaultはEFR32FG23BおよびEFR32MG21BでPSA認定レベル3を取得しており、これによりユーザーの製品開発プロセスが迅速化されます。
結論
IoTアプリケーションの普及に伴い、IoTデバイスのセキュリティが大きな懸念事項となっています。PSA認定を受けたIoTデバイスは、製品がIoTセキュリティ標準の要件を満たしていることを意味します。この認証により、製品の付加価値が高まり、消費者の信頼と購入意欲が高まります。Arrow ElectronicsはPSA認定組織と連携し、IoTデバイス開発者が自社製品にPSA認定を取得できるよう支援しています。製品開発プロセスを加速するソリューションを提供しており、Arrow ElectronicsはIoT製品開発者にとって理想的なパートナーとなっています。