ISA/IECセキュリティ規格に準拠するように産業用IoT設計のセキュリティを保護する方法

産業用デバイスは、効率性、安全性、遠隔監視を向上させることを目的として、急速にモノのインターネット（IoT）に接続されるようになってきています。しかし、産業用IoT（IIoT）デバイスはその価値の高さから、ハッカーの格好の標的になっています。このため、産業用デバイスの設計者は、産業規格を用いたセキュリティソリューションを慎重に実装する必要があります。また、産業用デバイスは、安全性と開発コストを犠牲にすることなく、デバイスのデータ資産を保護するために、常に最新の技術でセキュリティソリューションをアップグレードする必要があります。

そこで本稿では、IEC 62443やSESIPなどの産業用セキュリティ規格および手順について説明します。次に、NXP SemiconductorsのEdgeLock Assuranceマイクロコントローラ & セキュアエレメントを用いた産業用セキュリティ手順を活用することで、IIoT設計者がそれらの規格にどのように対応できるかを探ります。

IEC 62443とは

IEC 62443は、ISA99委員会が策定し、国際電気標準会議（IEC）が承認した一連の規格です。開発者が産業用オートメーション & 制御システムのセキュリティ脆弱性を軽減するのに役立つ柔軟なセキュリティフレームワークを提供します。IEC 62443は、コンポーネント、システム、方針と手順、および一般仕様の4つのセクションに大きく分かれています（図1）。

図1：IIoTデバイスには、セキュリティの脆弱性を軽減するための柔軟なフレームワークを定義したIEC 62443規格を適用することができます。（画像提供：IEC）

IEC 62443のどの分野もIIoTデバイスの開発者にとって参考になるものの、特に以下の2つのパートは製品の開発要件とコンポーネントのセキュリティ要件を定義しています。

• IEC 62443-4-1：製品セキュリティの開発ライフサイクル要件
• IEC 62443-4-2：産業用オートメーション & 制御システムのセキュリティ。IACS準拠コンポーネントの技術的セキュリティ要件

IEC 62443-4-1は、セキュリティが保護される製品の開発プロセス要件を開発者に提供するとともに、セキュリティが保護される製品の開発ライフサイクルを定義しています。このライフサイクルには、セキュリティ要件定義、セキュリティ設計、セキュリティ実装、検証・妥当性確認、不具合管理、パッチ管理、生産終了が含まれます。

IEC 62443-4-2は、ネットワークコンポーネント、ホストコンポーネント、ソフトウェアアプリケーションなど、デバイスを構成するコンポーネントに対する技術的なセキュリティ要件を規定しています。この規格は、コンポーネントが補正対策の助けを借りずに任意のセキュリティレベルの脅威を軽減できるようにするセキュリティ機能を規定するものです。

SESIPとは

SESIPは、IoTプラットフォームの手順としてのセキュリティ評価規格です。この評価手順は、進化するIoTエコシステムに特有のコンプライアンス、セキュリティ、プライバシー、スケーラビリティの課題に対応するコネクテッド製品のセキュリティを評価するための一般的かつ最適な手順です。

SESIPの主な特長は、以下の通りです。

• IoTエコシステムの複雑性に対応した柔軟で効率的なセキュリティ評価手順を提供します。
• 認証制度間で採用可能な、一般的に認知された手順を規定することで、認証制度同士に整合性を持たせます。
• 他の評価手順とマッピングでき、規格や規制に準拠した手順を提供することで、IoT開発者の労力、コスト、開発期間を削減します。
• 認証済みコンポーネントをデバイスに含めたり、異なる評価手順による認証を再利用したりすることで、デバイスを認証されやすくします。
• IoT開発者が開発するIoT製品のセキュリティ能力を検証したり、サービスプロバイダがセキュリティニーズに対応した製品を選択したりするための、一貫性と柔軟性のある手順を策定しています。

セキュリティを実現する総合的手順、EdgeLock Assurance

NXPは、IIoT開発者が開発するデバイスのセキュリティニーズを満たせるよう、セキュリティを実現するための総合的手順（名称：EdgeLock Assurance）を策定しました。EdgeLock Assuranceの適用対象は、産業用のIEC 62443-4-1のようなセキュリティ規格を満たすように設計された、NXPの製品ラインです。前述のセキュリティ手順は、図2に示すように、実績のあるプロセスと検証評価を組み合わせて、製品のコンセプトからリリースまでにおけるセキュリティ要件を、設計者や開発者が満たせるよう支援するものです。

図2：EdgeLock Assuranceの適用対象は、産業用のセキュリティ規格を満たし、かつセキュリティの開発ライフサイクルを簡略化するように設計された、NXPの製品ラインです。（画像提供：NXP）

EdgeLock Assuranceの制定目的は、デバイスを、攻撃に強くしてレビューや評価によりセキュリティバイデザインを行い、産業用規格に準拠させてCriteria EAL3以上、またはSESIP L2以上に認定されるようにすることです。さらに、NXPのいくつかのマイクロコントローラやセキュアエレメントソリューションを使用すると、製造業の設計者がセキュリティソリューションを簡単に設計できるようになるとともに、セキュリティを実現するこの総合的手順を満たすことができます。

IIoT向けEdgeLock Assuranceマイクロコントローラ

現在、このEdgeLock Assurance手順は、NXPの複数の部品ファミリに適用されています。このような部品としては、LPC5500やi.MX RT1170があります。

LPC5500ファミリは、最大100メガヘルツ（MHz）で動作するArm® Cortex®-M33プロセッサを採用しています。また、この部品ファミリは、Cortex-M33ハードウェアベースのTrustZoneなどのセキュリティ機能を活用することで、ハードウェアの分離を提供してソフトウェアの信頼性を高めるだけでなく、メモリ保護ユニット（MPU）やCASPER Cryptoコプロセッサを提供して特定の非対称暗号アルゴリズム向けのハードウェアアクセラレーションを実現します。さらに、LPC5500ファミリは、ルートオブトラストプロビジョニング向けにSRAMの物理的複製防止機能（PUF）もサポートしています。LPC5500のその他の機能を図3に示します。

図3：LPC5500は、TrustZoneを搭載したArm Cortex-M33を活用することで、ソフトウェアやアプリケーションの安全な実行と様々なセキュリティ強化を実現しています。（画像提供：NXP）

i.MX RT1170は、クロスオーバーマイクロコントローラであり、マイクロコントローラの処理能力の限界に挑戦しています。1ギガヘルツ（GHz）のArm Cortex-M7と400MHzのArm Cortex-M4という2つのマイクロコントローラコアで構成されています。さらに、RT1170は、セキュアブート、高性能暗号化、インライン暗号化エンジン、オンザフライAES復号化などの高度なセキュリティ機能を搭載しています。RT1170全体の機能は、図4に示すとおりです。

図4：i.MX RT1170は、高性能なArm Cortex-M7コアとCortex-M4コアおよび高度なセキュリティ機能を活用することで、IIoTデバイス向けのセキュアなソリューションを実現します。（画像提供：NXP）

NXPでは、何種類もの開発ボードをご用意しております。これにより、開発者は、高性能な部品を試用して、自身のアプリケーションに適しているかどうかを判断できるようになるので、プロジェクトを素早く立ち上げることができます。たとえば、MIMXRT1170-EVK評価キットのボードには様々なオンボードメモリ、センサ、接続コンポーネントが搭載されているので、開発者は産業用デバイスを迅速に試作することができます。開発者は、NXPのMCUXpressoソフトウェアパッケージ & ツールを活用して、このマイクロコントローラシリーズに搭載されているセキュリティソリューション & 機能を検討することができます。

NXPのセキュアエレメント

IIoTの設計者には、EdgeLock Assuranceマイクロコントローラの使用に加えて、SE050のようなセキュアエレメントの使用もご検討いただけます。セキュアエレメントは、すぐに使えるICレベルのルートオブトラストであり、IIoTシステムでエッジツークラウド機能を設定なしに利用できるようにするものです。

SE050は、パブリック/プライベートクラウドへの安全な接続、デバイス間の認証、機密性の高いセンサデータの保護など、セキュリティ上重要な通信 & 制御機能に対して、認証情報を安全に暗号化して保存・プロビジョニングすることが可能です。また、SE050には、Java Cardオペレーティングシステムと、IoTセキュリティのユースケース向けに最適化されたアプレットが搭載されています。

アプリケーションの例を図5に示します。この例では、セキュアなI²Cインターフェースを通じて、セキュアなセンサがSE050に接続されています。ホストのMCU/MPUは、ターゲットのI²Cインターフェースを通じてSE050と通信します。SE050のIoT APPLETをセットアップすると、デバイスをNFCデバイスリーダで読み取ることでプロビジョニングできるようになります。SE050は、センサのアクチュエータデータを隔離・保護します。

図5：SE050のセキュアエレメントでは、セキュリティ上重要な通信と制御のために、認証情報を安全に暗号化して保存・プロビジョニングすることが可能です。（画像提供：NXP）

IIoTアプリケーションのヒントとコツ

IIoTデバイスのセキュリティを保護することは、決して簡単なことではありません。あるデバイスが今日直面する脅威と、明日直面する脅威は、大きく異なる可能性があります。設計のセキュリティを保護することは、開発者が慎重に行わないと時間がかかる場合があります。以下は、セキュリティが保護されるようにIoTアプリケーションを迅速に最適化するために、開発者が留意すべきいくつかの「ヒントとコツ」です。

• IEC 62443とSESIPの規格に準拠するように開発されたマイクロコントローラとコンポーネントを設計に使用します。
• IoTデバイスのエネルギー効率を高くしたい場合は、LPC5500ファミリなど、TrustZoneを活用したシングルマイクロコントローラコアの利用を検討します。
• 高性能コンピューティングが必要なIoTデバイスには、i.MX RT1170のようなクロスオーバーマイクロコントローラの使用を検討します。
• プロビジョニングを簡単に行えるようにし、クラウド通信のセキュリティを保護するには、セキュアエレメントを補助的なセキュリティデバイスとして活用します。
• 様々なセキュリティソリューション & オプションを試すには、開発ボードを利用します。多くの開発ボードに搭載されているセキュアエレメントは、マイクロコントローラに接続されているので、セキュリティソリューション設計全体で早期から使用することができます。

まとめ

IIoTデバイスは、効率性、安全性、遠隔監視機能を向上させる新たな機能や性能を産業用アプリケーションにもたらします。しかし、これらのシステムにとって最大の脅威は、ハッカーが悪用しようとするセキュリティの脆弱性です。ご説明してきたように、IEC 62443やSESIPなどの新しい規格、認証、手順は、NXPが提供するEdgeLock Assuranceマイクロコントローラやセキュアエレメントに実装されているので、IIoT設計を保護することができます。