CPUベンダーのセキュリティに関する主張を疑うことを恐れるな

データシートは、場合によっては妙なものです。筆者は競合各社のデータシートの主張を何度も比較してきましたが、率直に言って妥当な比較を行うことが困難な場合がときどきあります。ある場合には、記載されている仕様が特定の条件でのみ当てはまるものであったりします。また、メーカーが最良の場合における仕様と他企業の「平均」を引き合いに出している場合もあります。

セキュリティに関しても、特に事情は変わりません。今日、自社製品が「セキュア」であると主張していないMCUベンダーは見つける方が難しいくらいです。しかし「セキュア」が本当に意味していることは何でしょうか。ある種の暗号化機能が組み込まれていることである場合もあれば、セキュリティを扱うためにサードパーティを採用していることを意味する場合もあります。あるいは、Arm社のTrustZoneのような技術に頼っている場合もあります（図1）。

図1：TrustZoneは、Arm社のCortexプロセッサIPに基づいたMCUに組み込まれています。これは、ミッションクリティカルなコードをOSから分離することで、システム全体における組み込みセキュリティを実現する手法です。（画像提供：Embedded Computing Design）

MCUレベルでセキュリティを実現する手段としてよく知られるようになったTrustZoneは、ミッションクリティカルなコードおよびプロトコルスタックをオペレーティングシステム（OS）から分離し、それによりファームウェアにセキュリティ鍵の保管領域に通じる裏口を作られるのを防ぎます。さらに複数のソフトウェアセキュリティドメインを設けて、マイクロコントローラ内部の特定のメモリ、周辺モジュール、I/Oコンポーネントへのアクセスを制限します。

無線アップデート

MCUメーカーがセキュリティ維持のために採用するもう1つの方法は、無線（OTA、Over-The-Air）アップデートです。この技術を使用すると、少なくとも理論上は、システムがセキュリティプロトコルに関して常に最新になります。たとえば、Renesas社のマイクロコントローラRX651は、Trusted Secure IP（TSIP）と信頼できるフラッシュ領域の保護を備えており、セキュアなネットワーク通信により現場でフラッシュ上のファームウェア更新ができます。

TSIPは、信頼性の高い鍵管理、暗号化通信、改竄検出を可能にし、各種の外的脅威に対する強力なセキュリティを実現します。組み込みシステムのセキュリティ専門企業であるSecure Thingz社との提携により、設計および製造のバリューチェーン全体にわたって32ビットRX MCUのセキュリティを保つことができます。

同様の共同作業は、MCUサプライヤであるSTMicroelectronics社とArilou Information Security Technologies社の間でも行われています。両社は協力して、ハードウェアとソフトウェアが相補的にデータストリームを監視して通信の異常を検出できる多層セキュリティ体制を構築しました。

ST社は、トラフィック異常を検出してサイバー攻撃に対する保護レイヤを追加するため、同社の車載用32ビットマイクロコントローラであるSPC58 ChorusシリーズにArilou社のIDPS（Intrusion Detection and Prevention System）ソフトウェアを導入しました。IDPSは、自動車製造においてCAN（Controller Area Network）バスを監視し、電子制御装置（ECU、Electronic Control Unit）の通信パターン異常を検出するためのソフトウェアソリューションです。

セキュアなコプロセッサ

セキュアエレメント（セキュリティコプロセッサとも呼ばれる）の唯一の目的は、メインCPUのコンパニオンチップとして働き、セキュアなMCUを使わずに設計されたシステムをセキュアなものにすることです。セキュアエレメントは、多くの脅威に対するセキュリティの枠組みを提供します。鍵保管、暗号アクセラレーションなど、セキュリティ関連の処理からメインMCUまたはCPUを解放するシンプルで安価なデバイスとして利用できます。

セキュアエレメントの例としては、Microchip社のATECC608Aが挙げられます（図2）。これは一意の鍵生成用の乱数発生器（RNG）を備え、米国標準技術局（NIST）による最新の要件に準拠しています。また、相互認証用にAES-128、SHA-256、ECC P-256などの暗号アクセラレータも備えています。ATECC608AはOTA検証およびセキュアブートの機能を備えており、IoTおよびクラウドサービス認証のための鍵の保管および伝送がセキュアな方法で行われるようにします。

図2：Microchip社のATECC608Aはセキュアエレメントの例であり、セキュリティコプロセッサと見なすことができます。（画像提供：Microchip）

総括すると、セキュリティは必要であり、あなたがエンドシステムに組み込んだMCUにすでに備わっている可能性が間違いなくあるということです。しかし、決してそれを想定してはいけません。データシートを分析するときには行間を読んでください。この重要なテーマの詳細については、IoTアプリケーション向けのセキュリティマイクロコントローラの調査を参照してください。