Armと、第三者セキュリティテスト機関のパートナーであるBrightsight、CAICT、Riscure、UL、そしてコンサルティングを担当するProve&Runは26日、Platform Security Architecture(PSA)フレームワークを基盤とするセキュアなIoTソリューションの導入拡大をサポートするため、「PSA Certified」認定制度を発表した。PSA Certifiedは、第三者のセキュリティテストを経ており、IoTソリューションの開発者やデバイスメーカーは、多種多様なIoTデバイスの世界で収集されたデータのセキュリティと真正性を確立できる。
Armのエマージングビジネス・グループ担当バイスプレジデント兼ジェネラル・マネージャであるPaul Williamson氏は、次のように述べている。「PSAは業界に対し、セキュアなIoTデバイスの設計を標準化するフレームワークをもたらしました。そして、今回のPSA Certifiedでは、世界をリードする第三者セキュリティテスト機関が一堂に会することで、こうした原則の実装状況を評価できるようになります。これにより、1兆個のデバイスがネットワークでつながる世界に向けた取り組みの中で、個々のデバイスやそのデータに加えて、IoTサービスで大規模に導入されるデバイスの環境に対しても、信頼感を構築できます」
PSA Certified(*1)は、セキュリティテストに対してシンプルかつ包括的なアプローチを採用している。これは、セキュリティの堅牢性に関する多段階のスキームと、開発者に特化したAPIテスト群のふたつの要素で構成される。セキュリティテストは、第三者ラボの評価が基本となっており、IoTプラットフォームを構成する一般的な要素として、PSAのROT(Root Of Trust: 完全性と機密性の源泉)、リアルタイムOS(RTOS)、デバイスそのものの第三者検証を行うことで、信頼感を構築する。
*1) https://www.arm.com/company/news/2019/02/psa-certified-building-trust-in-iot
IoTデバイスの基本的なセキュリティを実証
PSA Certifiedには、ユースケースの脅威ベクトルの分析によって割り当てられるセキュリティ保証の3段階の進化レベルが設定されており、デバイスメーカーは、それぞれのユースケースに必要なセキュリティを獲得できる。例えば、現場の温度センサーの場合、家庭環境(レベル2)や産業用プラント(レベル3)のセンサーとは異なるセキュリティの堅牢性(レベル1)が求められることもある。テストを通過したすべてのPSA Certifiedデバイスには、電子署名によるレポートカード(証明書トークン)が付属する。これによって、企業やクラウドサービスプロバイダーは、セキュリティの達成度を判断することで、リスクを踏まえた意思決定が可能だ。
開発者にとってのセキュリティの価値を向上
プログラムの一環となる「PSA Functional API Certification」は、必須のセキュリティサービスに対する標準化されたアクセスを実現することで、セキュアなアプリケーションの開発を容易にする。各社のPSA APIをテストし、最新のシリコン・プラットフォームのハードウェア・セキュリティ機能を活用できるよう、チップベンダー、RTOSプロバイダー、デバイスメーカー向けに、無償のテスト群が公開されている。
PSA Certifiedはすでに、業界をリードするシリコン・プロバイダーやIoTプラットフォーム・プロバイダーからの支持を得ている。Cypress、Express Logic、Microchip、Nordic Semiconductor、Nuvoton、NXP、STMicroelectronics、Silicon Labsの各社は、いずれもレベル1の認定を取得している。NuvotonおよびOSプロバイダーのZAYAは、PSA Certifiedレベル1とPSA Functional API Certificationの両方を取得している。また、Arm Mbed OSは、3月に予定されている5.12リリースにおいて、PSA Certifiedレベル1およびPSA Functional API Certificationに完全に準拠する。
PSA: IoTデバイスのセキュリティに関する包括的なフレームワーク
PSA Certifiedは、Platform Security Architecture(PSA)の道のりの次の一歩であり、IoTデバイスのセキュリティを目に見える形で測定する。PSAは4段階のフレームワークであり、セキュアなネットワーク機器の開発プロセスを通じて、IoT設計者にとっての指針となる。これは指示や原則にとどまらず、「Threat Models and Security Analyses」ドキュメンテーション、ハードウェア/ファームウェアのアーキテクチャ仕様、オープンソースのTrusted Firmware(TF-M)(*2)やAPIテストキットなど、ダウンロード形式の包括的なリソースセットが用意されている。
*2) https://community.arm.com/iot/b/blog/posts/the-next-step-for-psa-and-a-secure-iot-future