サイバーセキュリティ要件を満たすための設計方法
近年、IoT(モノのインターネット)は急速に発展しており、消費者や企業がますます多くのIoTデバイスを導入しています。しかし、これによりIoTデバイスはハッカー攻撃の対象となり、IoTデバイスのセキュリティが消費者と企業にとって重要な懸念事項となっています。本記事では、現在のIoTアプリケーションが直面する課題、関連する法的規制、そしてArrow ElectronicsとST Microelectronicsによるソリューションをご紹介します。
サイバーセキュリティの不足によるIoTの課題
統計データによると、現在のIoT技術が直面している主な課題は、IoTデバイスの開発者が適切に保護された製品を作成することを急ぎすぎていることに起因しています。別の課題として、データ分析の専門家が不足していることが挙げられ、これにより企業がIoTの恩恵を十分に受けることができません。さらに、市場には攻撃を受けやすいIoT製品が多数存在しており、消費者がファームウェアの更新を嫌う傾向と相まって、IoTセキュリティは大きな課題に直面しています。
IoTデバイスの脆弱性を悪用し、ユーザーアカウントを狙うハッカーに関する報告は頻繁にあります。ユーザーデータは詐欺グループの手に渡ることが多く、消費者に対する金融詐欺に利用されます。さらに、一部のIoTデバイスはハッカーによって侵害され、プライバシーの侵害を引き起こします。侵害されたカメラを通じて、ユーザーの生活が侵入される状況は、まるで『トゥルーマン・ショー』の一場面のようです。
IoTデバイスが大量のデータを送信および処理する際に、機密情報を含む場合があるため、IoTシステムのセキュリティとユーザープライバシーを確保することが重要な課題となります。悪意のある攻撃、データ侵害、不正アクセスといったリスクに対処する必要があります。
サイバーセキュリティの欠如は、個人、組織、そして社会全体に影響を及ぼす一連の深刻な問題を引き起こす可能性があります。これには、データ漏洩、財務損失、ビジネスの評判への損害、インフラへの脅威、ランサムウェア、そして国家安全保障上のリスクが含まれます。これらの問題に対処するためには、組織と個人の両方が、定期的なソフトウェアアップデート、強力なパスワードの使用、多要素認証の導入、定期的なセキュリティレビュー、そしてセキュリティ意識を高めるための従業員研修を含むサイバーセキュリティ対策を強化するべきです。これにより、コストの高いデータおよび知的財産 (IP) の漏洩、企業の評判の損傷、市場投入の遅延、さらには訴訟や罰金を避けることができます。さらに、政府は関連する規制や政策を提唱し、ビジネスや組織がサイバーセキュリティシステムを強化することを奨励し、監督すべきです。
サイバーセキュリティ規制と標準
| 規制 | 標準 | ベストプラクティス | |
|---|---|---|---|
| EU 中心 |
|
|
|
| US中心 |
|
|
|
| 認証 |
| ||
さまざまな国がサイバーセキュリティを強化するために規制措置を実施しています
現在、組織や業界が情報セキュリティを確保するための指針を提供する多数のサイバーセキュリティ標準や規制があります。異なる国や地域がそれぞれの関連サイバーセキュリティ標準を策定しており、欧州連合主導のETSI EN 303 645や、米国主導のUL 2900-1標準、さらにCTIAやIoXtのようなIoTデバイス向けの認証機関が含まれています。
欧州電気通信標準化機構(ETSI)によって導入された注目すべき規格の1つがEN 303 645です。これは消費者向けIoTデバイスに適用される最初のグローバルサイバーセキュリティ規格です。この規格は、消費者向けIoTの基準要件を確立し、サイバーセキュリティおよびデータ保護における優良実践を実現するための技術的および組織的な対策を統合することを目的としています。これには、サイバーセキュリティおよびデータ保護の13の側面にわたる33の必須条項および35の推奨条項が含まれています。
ETSI EN 303 645は、ハードウェア内での機密セキュリティパラメータの安全な保存、セキュアな通信、攻撃対象領域の最小化、ソフトウェアの整合性の確保を義務付けています。ソフトウェア/ファームウェアに関しては、ユニバーサルなデフォルトパスワードの使用を避けること、個人データのセキュリティを確保すること、システムが障害に対して回復力を持つことを可能にすること、入力データを検証することを求めています。企業ポリシーの観点では、脆弱性レポートを管理する方法を実装すること、ソフトウェアを最新に保つこと、システムのテレメトリデータをチェックすること、ユーザーが自分のデータを簡単に削除できるようにすること、インストールと保守を簡素化すること、収集される個人データとその目的を明確に説明することが必要であり、それによりIoTデバイスが必要なセキュリティ基準に準拠することを保証します。
サイバーセキュリティ規制および標準への準拠に関するPSA認証
IoT製品の適合性を確保するためには、PSA認証を取得することができます。PSA Certifiedは、IoTデバイス向けに特別に設計されたセキュリティ認証プログラムで、半導体およびソフトウェア設計のリーディングカンパニーであるArmが他の業界パートナーと共同で開始しました。PSA Certifiedの主な目標は、IoTデバイスのセキュリティを評価し認証するための世界的に認知されたフレームワークを確立することです。このプログラムは、IoTデバイスが最低限のセキュリティ要件を満たしていることを保証するために、セキュリティガイドライン、評価基準、およびテスト手法のセットを提供します。
PSA Certifiedは、IoTデバイスの包括的なセキュリティフレームワークを定義しており、デバイスのアイデンティティ、セキュアブート、セキュア通信、ファームウェア更新、暗号化など、さまざまなセキュリティ側面を網羅しています。PSA Certifiedは、IoTデバイスのライフサイクル全体を通じたセキュリティ課題への対応について標準化されたアプローチを提供します。プログラムには認定されたラボによる独立したセキュリティ評価が含まれており、PSA Certifiedのセキュリティ要件に基づいてIoTデバイスのセキュリティ機能およびその実装を評価します。これらの評価の独立性により、認定デバイスのセキュリティ主張に対する信頼性と信用性が向上します。
PSA Certifiedは、IoTデバイスのセキュリティ機能に基づいて、レベル1(ベースライン)からレベル3(高度)までの異なる認証レベルを提供します。それぞれのレベルは、セキュリティ保証の度合いが増加することを表しています。組織は、自身の特定のセキュリティ要件やIoTデバイスの使用目的に基づいて、適切な認証レベルを選択することができます。
IoT製品メーカーにとって、PSA Certifiedを取得することで、IoTデバイスがシステムの信頼チェーンにおける信頼のアンカーとして機能することが可能になります。規制が進化し強化され続ける中、新しい設計はヨーロッパ、北米、アジア太平洋地域の要求を満たし、製品開発における業界のベストプラクティスと一致する形で将来への対応力を備える必要があります。
最近のチップ供給業者に対する調査によると、セキュリティに対応した製品の開発における顧客の主な障害は、社内のセキュリティ専門知識の欠如です。最終的な顧客がこれを求めているため、製品製造業者は信頼できる製品を構築・開発し、製品開発中のリスクと責任を軽減する必要があります。
PSA Certified には、認定された試験機関によって実施される独立したセキュリティ評価が含まれています。これにより、PSA Certified のセキュリティ要件に基づいて IoT デバイスのセキュリティ機能と実装が評価されます。これらの評価を通じて、組織はデバイスのセキュリティ機能について客観的な評価を取得し、規制や基準への準拠を示すことができます。
PSA Certifiedは、EUのネットワークおよび情報システム(NIS)指令や英国の消費者IoTセキュリティベストプラクティスガイドラインなど、既存のサイバーセキュリティ規制および標準に対応しています。PSA Certifiedで定義されたセキュリティ原則と要件を遵守することにより、組織はこれらの規制への適合性を確保し、セキュリティへのコミットメントを示し、顧客、パートナー、規制当局との信頼を構築することが可能になります。IoTデバイス向けの特定のサイバーセキュリティ規制や標準を満たすための構造化されたアプローチを提供することで、IoTセキュリティ要件の複雑な状況により効果的に対応できるようになります。
PSA Certified を取得することは、業界規制への準拠を意味します。PSA認証は、EN 303 645、NIST 8259A、SB-327、UK DCMS、ENISA (WIP)、IEC 62443 4-2、CSA-311などの将来の規制や基準と積極的に整合し、UL、ioXt、SESIP、DLC、Amazon Alexa、Munich RE、Matterなどの組織と協力して連携を促進し、再利用を可能にします。
ArrowとPSA Certifiedがあなたの設計を前進させるお手伝いをします
PSA Certifiedフレームワークのステップには、セキュリティ要求の分析、安全な設計のアーキテクチャ構築、設計の作成、および安全な設計の検証が含まれます。OEM向けのPSA Certified Level 1 IoTセキュリティフレームワークには、独自の識別、セキュリティライフサイクル、認証、安全なブート、安全なアップデート、ロールバック防止、分離、相互作用、安全なストレージ、暗号化/信頼サービスを含む10の主要な目標があり、独立して検証されたIoTセキュリティ評価への道を提供します。
アローエレクトロニクスは、PSA Certified Level 1アプリケーションと協力し、OEMがそれを接続されたセキュリティ設計の基盤として使用できるようにしています。OEMは、リファレンスデザインを採用し、自社のIPを重ねて、認証プロセスを迅速化することで、アプリケーション全体を完成させ、自信を持って迅速かつ安全に製品を市場に投入することが可能です。
PSA Certifiedは、Arrow Electronicsと連携し、エンドユーザーが特にIoT向けに独自のセキュリティコラボレーションソリューションを作成できるよう支援します。このコラボレーションは、エコシステム全体に新しいビジネス機会を生み出し、セキュリティを組み込んだエンドツーエンドソリューションを提供し、重要な規格および規制に準拠し、セキュリティ機能の開発コストを削減し、サプライチェーンおよび物流ビジネス管理を拡張し、第三者認証を通じて保証を取得することを目的としています。
Arrow Electronicsは、TrustZone、WiFi、Bluetooth接続および複数のセンサーをサポートするSTM32U5 Secure Embedded Development Kitを発表しました。この開発キットは、STMicroelectronicsの低消費電力Arm Cortex-M33コアを搭載したSTM32U5マイクロコントローラーを利用しており、IoT開発者にとって困難な課題であるセキュリティの統合を支援します。Arrow Electronicsのリファレンスデザインは、セキュアな組み込みアプリケーションに適しており、PSA Certified Level 1を取得しているため、Amazon Web Services (AWS)やMicrosoft Azureといった主要なクラウドプロバイダーとの円滑な連携を可能にします。
一方で、Silicon Labsは進化するIoTの脅威に対応するための最先端の高度なセキュリティ機能を備えたSecure Vault™ プラットフォームを発表しました。このプラットフォームは、IoTエコシステムにおけるセキュリティ脆弱性を減らし、知的財産の漏洩や偽造による収益損失のリスクを最小限に抑えるのに役立ちます。Secure Vaultテクノロジーは、拡大可能なローカルおよびリモートのソフトウェア攻撃を防ぎ、ローカルのハードウェア攻撃から防御します。
Secure Vault の主な特徴には、セキュアな鍵管理、ロールバック防止、改ざん防止、ロック/アンロック可能なセキュアデバッグ、セキュアリンク、RTSLを使用したセキュアブート、セキュアアテステーション、差動電力解析 (DPA) に対する対策、そして真の乱数発生器 (TRNG) が含まれます。さらに、Secure Vault は EFR32FG23B および EFR32MG21B において PSA Certified Level 3 を取得しており、ユーザーの製品開発プロセスを加速させることができます。
結論
IoTアプリケーションの広範な採用に伴い、IoTデバイスのセキュリティは重要な懸念事項となっています。PSA Certifiedを受けたIoTデバイスは、製品がIoTセキュリティ規格の要件を満たしていることを示します。この認証は製品の付加価値を高め、消費者の信頼と購入意欲を向上させます。Arrow ElectronicsはPSA Certified組織と協力し、IoTデバイス開発者が製品にPSA Certifiedを取得するための支援を提供しています。また、製品開発プロセスの加速化に向けたソリューションを提供しているため、Arrow ElectronicsはIoT製品開発者にとって理想的なパートナーです。
記事タグ
