アイデンティティとデジタルオーソリティ
コネクテッドデバイス、スマートカー、人工知能が、例えば医療システムの改善にますます活用されるようになった現在、インフラの持続可能性とエンドユーザーのセキュリティを確保するために、デジタルアイデンティティとセキュリティが必須となっています。ここでの課題は、アイデンティティに対する脅威に対抗しながら、デバイス群を管理することです。
コネクテッドデバイスのアイデンティティに関しては、2つの脅威を考慮する必要があります。
- なりすまし:不正な機器を接続すると、インフラが歪んだり、最悪の場合、破壊されたりする可能性があります。
- デバイスの模倣品:これはメーカーにとって価値の損失を意味します。
これらの脅威に対抗するためには、システムの利用者が人であれ機器であれ、特定できることが必要です。
個人のデジタル・アイデンティティとセキュリティのためのアイデンティティ・アクセス・マネジメントと生体認証ソリューション
アイデンティティ・アクセス管理(IAM)には、すでにいくつかの効率的なツールが存在します。多要素認証や生体認証ソリューションは、現在、人々のアイデンティティを確認するために広く使われています。これらのソリューションは、データプライバシーに焦点を当て、データアクセスの承認や権限管理を提供します。Secure-ICは、デバイスのアイデンティティ認証に焦点を当てたソリューションを提供しています。このアプローチは、より複雑で、より信頼性が高く、残念ながらまだ十分に普及していません。
コネクテッドデバイスのための信頼性の高いデジタルIDを実現するSecure-ICのソリューション
デバイスの認証には、例えば固定IPアドレスやBluetoothモジュールIDなど、信頼性の低いソリューションも存在します。問題は、このIDは誰でもアクセス可能であり、保存されているため容易に追跡可能であることです。
Secure-ICは、機器認証の安全性と信頼性を保証するために、2つのソリューションを提供しています。
対称・非対称の暗号技術
- 対称型暗号:サーバーがデバイスにメッセージを送信し、デバイスがそのメッセージに対して暗号計算を行い、サーバーに返送します。サーバーは、これが期待された応答であり、信頼できるデバイスであることを検証します。
- 非対称暗号方式:公開鍵(共有可能)と秘密鍵(秘匿が必要)の2つの鍵をデバイスが持つ方式。製造工程では、公開鍵に製造者が署名し、環境の信頼性を保証する証明書を生成します。必要な時、サーバーはデバイスにメッセージを送り、デバイスは秘密鍵で署名に答え、証明書に追加します。その後、サーバーは証明書が信頼できるものであることを確認し、(秘密鍵による)メッセージの署名をチェックして、デバイスを認証します。
PUF (Physically Unclonable Function)
- デバイスの固有の特性は、ユニークでクローン化できない「指紋」を抽出するために特徴づけられます。この「指紋」はどこにも保存されません。実際、デバイスがテストされると、「指紋」が生成され、そのレスポンスが期待されるレスポンスと比較されます。
この2つのソリューションは、当社のiSEに実装することができ、セキュアエレメントの強固な隔離により、高度に安全な方法でデバイスの識別子を保存することが可能です。
ゼロトラスト・アプローチとエンド・ツー・エンドのセキュリティは、より強力になる攻撃者への対応として
今後のIoTデバイスは、ますます高度な脅威のターゲットになると考えられます。実際、現在の暗号が提供するセキュリティレベルでは、量子コンピュータの性能に対抗することはもはや不可能でしょう。Secure-ICの研究開発チームは、すでにポスト量子暗号のソリューションを開発しています。クラウドの場合、デジタルオーソリティというサービス(SecuryzrTM Serverに付属する4つのサービスのうちの1つ)が、SecuryzrTM Serverに接続しようとするデバイスの身元を保証します。また、クラウド上では、暗号を保管する本物の金庫であるHSM(Hardware Security Module)によってもIDが管理されます。
今後は、デバイスの認証やデバイスのフリート管理をサービスとして提供するソリューションに取り組む必要があります。相互接続されたデバイスが増えれば増えるほど、メーカーにとってはデバイス群の管理、エンドユーザーにとってはデバイスの利用を容易にするために、このニーズはより現実的なものになるでしょう。