新人営業担当がゼロから学ぶインフィニオン製品:
セキュリティ編①
Part1:セキュリティ製品の重要性について考えてみた
このコラムでは、東京エレクトロン デバイス株式会社に勤める新入社員Tさん(営業担当)が主人公となり、担当するインフィニオン製品をより深く知るために学んだことを発信していきます。
第1弾となるこの記事では、Tさんが近々お客様へ提案予定の「セキュリティに関わるIC」について、深堀りしてみます。
なぜセキュリティ機能だけのICが必要なのか、セキュリティ製品の重要性と、セキュリティICができることについて、Tさんの学びを連載でお届けします。
![セキュリティ製品 需要](https://www.teldevice.co.jp/semiconductor/wp-content/uploads/2024/04/sec1.png)
新入社員T:一般消費者にセキュリティ製品の需要はあるの?
IoT機器の幅が広がったことで、あらゆることがスマートフォン1つで操作、一括管理ができる時代になったと実感はありますが、便利になった一方、IoT機器は常にインターネットに接続されているため、サイバー攻撃を受けるリスクに常に晒されていることになります。
これまでインターネットとは無縁だった製品もIoT化して、IoT機器へと変貌を遂げることで、サイバー攻撃の標的となったとも言えます。
IoT機器を意識せずに使用している一般消費者においても、サイバー攻撃によるデータや金銭的損失、デバイスの感染による制御不能に陥る危険性があるため、悪意のあるものから保護しなければならないというセキュリティ意識は高まっているように思います。
海外ではEUで審議されている新しい法律「欧州のサイバーレジリエンス法案(CRA)」※1により、EU内に流通するデジタル要素を含む機器については、一定のセキュリティ要件が求められる可能性が出ています。デジタルの要素を持つ製品には、ハードウェア、ソフトウェア、それに付随するサービス、PCやスマートフォンなどの機器のほか、ルーター、スイッチ、産業用制御システムなどのデバイスやデバイスを動かすファームウェア、OS、モバイル/デスクトップアプリ、ゲームなどのソフトウェア、CPU、ソフトウェアライブラリなどのコンポーネントが挙げられるため、サイバーレジリエンス法案が製造業にもたらす影響範囲はかなり広いことになります。加えて、アメリカのNIST※5(米国立標準技術研究所)でも同様にIoT機器、ネットに接続されるデバイスのセキュリティ対策を製造業者に指示する体制の整備が始まっているため、製造業でのセキュリティ対策は「課せられる義務」として必須になっていきます。
このように消費者・製造側の両面からセキュリティという分野では需要が増えていることがわかりました。
では、セキュリティと一口に言っても、どのような種類があるのか。
イメージできているようでできていないことについて深堀りしてみます。
![セキュリティとは](https://www.teldevice.co.jp/semiconductor/wp-content/uploads/2024/04/sec2.png)
新入社員T:そもそも「セキュリティ」ってなんだろう。
セキュリティ製品の種類を調べてみた
セキュリティ製品は産業用ではロボットや車輛、民生品ではPCを代表する電子機器など、多岐に渡り使用されていますが、主に「ソフトウェア保護」と「ハードウェア保護」の2つの用途に分かれます。
ソフトウェアには、情報資産にさまざまな方法で不正にアクセスする「不正アクセス」や、デジタル機器をマルウェア・ランサムウェアに感染させ、自社の情報資産の改ざんや破壊行為を行う「標的型攻撃」、デジタル機器の脆弱性を突いて攻撃する「脆弱性攻撃」からなど、聞いたことがあるものが多く、PCやスマートフォンなどを使用するユーザーとしてもイメージをできると思います。
ハードウェアでは、インターネットに接続された製品の通信を外部の脅威から守るものと、セキュリティICを載せているかどうかの観点で製品を守るものの2種類があるとわかりました。
先に記載した製造業においてのセキュリティ対策は主に前者である通信時の脅威から守るものが該当します。
今回はハードウェアのセキュリティに絞ってセキュリティ製品ができる事を考えてみます。
![セキュリティユースケース](https://www.teldevice.co.jp/semiconductor/wp-content/uploads/2024/04/sec3-1024x246.png)
新入社員T:セキュリティ製品でできること調べてみた(セキュリティユースケース)
例)スマートエアコン
![OPTIGAセキュリティソリューション](https://www.teldevice.co.jp/semiconductor/wp-content/uploads/2024/04/sec4-1024x246.png)
新入社員T:インフィニオン社のセキュリティソリューションを調べてみた
自分が担当するインフィニオン製品ではOPTIGA™シリーズというセキュリティソリューションファミリを扱っています。
・OPTIGA™ Authenticate
・OPTIGA™ TPM
・OPTIGA™ Trust
・OPTIGA™ Connect
OPTIGA™ Authenticateは真贋判定の用途で使用されます。あらゆるデバイス認証の課題に対応する、カスタマイズされたターンキー ハードウェアベースのセキュリティソリューションで、4種類の認証モード、3つの温度範囲、2つの通信プロファイル、3組のメモリーから選択でき、複雑な認証要件にも対応できます。
OPTIGA™ TPM・Trustはセキュリティ通信時に必要な製品に区分されます。OPTIGA™ Trust M は、ハードウェアベースのセキュリティ(耐タンパ)機能を実装し、暗号鍵の生成・格納、暗号演算(ECC384, RSA2k)を行い、認証、鍵管理、データ管理や、OSブート、ファームウェア・アップデートをセキュアに実現するチップです。
TPM は、ハードウェアベースのセキュリティ(耐タンパ)機能を実装し、暗号鍵の生成・格納、暗号演算(RSA2k, ECC256, AES128)を行うチップです。また、 機能仕様は、Trusted Computing Group (TCG)が規定した業界標準になっています。
OPTIGA™ Connectはスマートフォンにもあるe-SIMを扱っております。
イメージしやすい民生用だけでなく、産業用途でのご利用に向けた製品も取り扱っていることが特長です。
![ハードウェアのセキュリティ製品とは](https://www.teldevice.co.jp/semiconductor/wp-content/uploads/2024/04/sec5-1024x246.png)
新入社員T:ハードウェアのセキュリティ製品とは?
上記ユースケースの他にも、真贋ICでは製品のバッテリーに使用することで大きなメリットを享受できます。
粗悪な模倣品の場合、バッテリー容量が正確でないなど、発火・膨張のリスクが考えられます。
これらの問題は、模倣品を製造したメーカーにとどまらず、最悪の場合、そのアプリケーションを製作しているメーカーのブランドイメージを低下させる可能性も生じます。
そのため、電動工具やカメラ、小型の家電製品で交換可能なバッテリーを使用するメーカーでの採用・検討が進められています。
セキュリティ認証ICはスマートエアコンの例で紹介したTPM、そして各半導体メーカーが独自の基準・規格で作った製品があります。
機能としてはどちらも、機器間の認証を行いセキュアな通信を行うことを目的としています。
Windows11のOSからは必ずTPM2.0という定められた規格を持っているPCを使用する必要があり、TPMで最もみなさんに馴染みのある製品はパソコンになるのではないでしょうか。
そこで次回は、規格が決まっているTPMの採用事例について考えてみます。
![セキュリティ用語解説](https://www.teldevice.co.jp/semiconductor/wp-content/uploads/2024/04/sec6-1024x246.png)
新入社員T:今回の用語解説をまとめてみた
- サイバーレジリエンス法案(CRA):
デジタル製品のサイバーセキュリティ要件を調和させ、流通/貿易の障 壁を取り除くことで、デジタル製品に関する包括的なサイバーセキュリティ要件を規定するもの
- 真贋判定IC:RFIDや暗号技術を使用し、製品やデバイスが本物であるか偽物であるかを検証するために使用される装置
- セキュリティ認証:主には各種認証の鍵と暗号化の鍵の管理についての機能を持つマイコンにハードウェアでのセキュリティ機能を提供する半導体集積回路
- TPM(トラステッドプラットフォームモジュール):TCG(Trusted Computing Group)で定義されたブートローダーやOSが不正なものではないかどうかを確認したうえで起動するためのセキュリティチップ。
OPTIGA™ TPMではTPM 2.0をサポートしています。 - NIST:NIST(National Institute of Standards and Technology:米国国立標準技術研究所)は、科学技術分
野における計測と標準に関する研究を行う米国商務省に属する政府機関。 NIST内には、情報技術に関する研究を行っているITL(Information Technology Laboratory)がある