常にセキュリティを確保

システムがシャットダウンしました。シャットダウンする必要があった、メンテンナンスや節電のためにシャットダウンした、またはその他の何らかの理由でシャットダウンするときがあります。また、不要なシャットダウンを回避しようとしていたが、シャットダウンしたという場合もあります。システムの電源をオン/オフにするときに、こうした現象が発生しないようにする必要があります。電源をオン/オフにするときは、セキュリティが意図せずに手薄になる可能性があるためです。

すべての動作が適切に実行されているときに、システムのセキュリティを維持する方法については、かなり詳細に解説されています。ただし、システムの電源をオン/オフにするときは、特に予想外の停電時において、そのような方法は必ずしも当てはまりません。そこで、こうした不運な状況では、何をすればよいでしょうか。

簡単な答えは、最新のセキュリティ機能がすべて組み込まれたMCUで設計することです。難しい点は、規格や機能が非常に急速に変化しており、悪意のある攻撃者がより巧妙になっているように見える中、その答えが実際に当てはまるかどうかを判断することです。この技術の詳細については、「IoTアプリケーション向けのセキュリティマイクロコントローラの調査」というタイトルの記事を参照してください。

図1：産業用プラットフォームの保護の境界領域を示しています。（画像提供：Maxim Integrated Products）

標準の「セキュリティ」設計では、すべての組み込みセキュリティビルディングブロックが共通の境界で連携して動作します。そのセキュリティ保護階層の最上部には、暗号化やハードウェアセキュリティなどの技術が含まれます（図1）。この境界では、認証キーがソフトウェアから分離され、ハッカーが攻撃（システムの電源サイクル中に発生する可能性がある攻撃など）を実行できないようにします。ただし、電源を落とした場合、システムの電源を適切なシーケンスで投入する必要があります。つまり、誰かに覗かれていないときに、セキュリティを最初にロードします。

RX651マイクロコントローラなど、RenesasのRXファミリのデバイスでは、信頼の起点を使用してセキュリティを実装します。信頼の起点の使用は、システム設計者が電源オン/オフの問題に対処する1つの方法です。システムでは、信頼の起点を使用して、特定のシーケンスで電源をオン/オフにする必要があることが認識されます。信頼の起点は暗号化されたキーワードで示され、システムの残りの部分に「問題がない」という信号を提供します。

また、RX651 MCUは、トラステッドセキュアIP（TSIP）と信頼できるフラッシュ領域保護を統合して、セキュリティの懸念に対応することにより、セキュアなネットワーク通信を介して現場でフラッシュファームウェアを更新できるようにしています。TSIPは、傍受、改ざん、ウイルスなどの外部脅威に対する強力なセキュリティを確保するために、堅牢なキー管理、暗号化された通信、改ざん検出を提供します。

現在、かなり普及している2番目のセキュリティ方式はArmのTrustZoneです。TrustZoneでは、アプリケーションの残りの部分から、セキュアブート、ファームウェア更新、キーなどの重要なセキュリティファームウェアおよび個人情報が分離されます。また、基本的には、MCUが2つの部分に分割されます。1つの部分は完全にセキュアであり、暗号化キーなどが含まれ、もう1つの部分は、汎用的なアクティビティのために展開されます。これらの2つのドメインは分離したままになるため、改ざんが排除されます。

TrustZoneを活用するMCUの1例は、STMicroelectronicsのSTM32MP151Aです。このMCUはArmのCortex-A7 32ビットRISCコアに基づいており、最大650MHzで動作し、32Kbyteの命令およびデータキャッシュのほか、256Kbyteのレベル2キャッシュが含まれています。オンボードメモリ保護ユニット（MPU）は、アプリケーションのセキュリティを強化します。MPUは、組み込みのTrustZoneテクノロジを補完します。

2番目のデバイスから提供されるセキュリティ

MCUから独立して機能するもう1つのデバイスは、Microchip（図2）のATECC608Aセキュアエレメントです。このデバイスは、一意のキーを生成するために乱数発生器（RNG）を備えており、米国標準技術局（NIST）の最新の要件に準拠しています。また、相互認証のために、AES-128、SHA-256、ECC P-256などの暗号アクセラレータを搭載しています。

図2：MicrochipのATECC608AはMCUと連動する暗号化コプロセッサです。ハードウェアベースのセキュアなキーストレージを提供します。（画像提供：Microchip）

MicrochipのMCUの広範なファミリをサポートするためにフックが組み込まれていますが、この部品は、あらゆるマイクロプロセッサおよびマイクロコントローラに対応しています。デバイスに必要な電力は微小であり、幅広い電圧範囲でGPIOが1つだけ必要です。また、フォームファクタが小さいため（8パッドUDFNまたは8リードSOICパッケージ）、基板上に簡単に設計できます。

この記事で説明したように、システムをセキュリティで保護する多くの方法があります。アプリケーションに最適な方法を選択してください。