ライフサイクル管理に貢献するセキュアフラッシュメモリー

情報化時代のセキュリティーとは

今日、第4次産業革命と言われるように、ICT技術を駆使した新たな産業・ビジネスが誕生しています。エンタープライズサーバー環境の高可用性、マイクロプロセッサー/マイクロコントローラーの高性能化・コストダウン化、リッチなソフトウェア開発環境、ネットワーク環境の進歩/標準化、第三世代A/Iブームに代表される実用的なアルゴリズムの開花により、様々なサービスモデルが開発・運用される時代となりました。従来の垂直型サービスモデルからセグメントを跨ぐ水平型サービスモデルへの進化、スマートサプライチェーンによって人の手を介さず自動的にモノが生産される時代になっています。

 

一方、ネットワーク越しに不正アクセスを行い、情報搾取や改竄を仕掛けるサイバーセキュリティー攻撃においても脆弱性診断ツールや対策技術の市場が開花しています。ICT製品開発においては、通信プロトコルや組込み制御プログラム(OSやドライバーソフトウェア、ミドルウェアなど)のオープンソース化の流れがあります。誰でも必要な情報を収集できる環境にあるがゆえに、セキュリティー機能の実装が課題になっている状況です。

 

 

機器のソフトウェアコードサイズの増大

ICT機器の高機能化は、高性能なハードウェアの上で、リッチなソフトウェアが走る形で実現され、そのコードサイズは増大する傾向にあります。図1は、information is beautifulサイトからCodebases – Millions of lines of code からの参照です(https://informationisbeautiful.net/visualizations/million-lines-of-code/)。

 

拡大は画像をクリック

図1.  Codebases – Millions of lines of code

 

このようなソフトウェアのコードサイズの増大は、セキュリティーホールの存在確率を高くし、実際にハッキング事例が多数報告されている状況です。パソコンの世界ではアンチウィルスソフトウェアがバックエンドで走り、定期的にウィルス定義ファイルが更新され、またアプリケーションソフトウェア本体もセキュリティ対策のアップグレードが行われていることは周知の通りです。

 

ICT機器等の組込み電子システム、特に産業系や車載機器のようなシステムでは10数年以上にわたって利用されていくので、同様な考え方で製品出荷後から廃棄されるまでソフトウェアのメンテナンスを行っていく考え方が必要になってきます。ハッキングの手法も日々進化していくからです。

 

具体的にはシステムの頭脳であるマイクロプロセッサー(MPU)とそのブート(起動)コードや設定データ(以下、ファームウェアと記載)のロード元であるフラッシュメモリが組込み電子システムの基底を成す部品になります。本記事では新開発したセキュアフラッシュメモリーW77Qによる組込み電子システムのライフサイクル管理、堅牢なサービスプラットフォームについて説明していきます。

 

ライフサイクルにおけるセキュアフラッシュメモリーの役割

 ライフサイクル管理は、半導体/システム設計から始まり、半導体チップの出荷、鍵やファームウェアのインストール、設定、基板実装、組み立て、製品出荷され、サプライチェーンを経由してエンドユーザーの手に渡り、利用開始・運用、廃棄まで一連の流れにおけるICT機器製品(組込み電子システム)の健全性維持のことを本記事では定義しています(図2)。

図2.  組込み電子システムのライフサイクル管理

 

ライフサイクル管理は、期待通りに運用できていることを適宜モニタリングし、また異常があればそれを的確に認識し、リカバリーすることに帰着します(レジリエンシーなセキュリティ管理)。例えば製品のリコールが発生した場合、セキュアに設定データやファームウェアの更新を行うことが挙げられます。

“ライフサイクル管理の礎となるトラストアンカーの実装方法”

エンタープライズサーバーやエッジコンピューティングのようなハイスペックのICT機器にはこのような一連のライフサイクル管理機能を実装している製品を見かけます。しかし数千円から数万円規模のICT機器では投入できるコストに制限があります。

 

ではW77Qセキュアフラッシュメモリーがコストの厳しいICT機器の部品として如何にライフサイクル管理に貢献できるかを説明していきます。MPUとブート(起動)用メモリー周りのトラストアンカー実装の観点からは図3に示す3通りの設計方法が考えられます。

 

“図3. トラストアンカーの実装例“

 

図3-1のセキュアエレメントは、耐タンパ性注1のある専用セキュリティーチップで、鍵生成や鍵ストレージを主機能とし、ここにライフサイクル管理を行うためのサービスプラットフォーム(例:クラウドサービス)間とのセキュアチャネルを構築する大元となる鍵を保存します。しかしセキュアエレメントはセキュアデータメモリー領域を持つものの、ファームウェアを置くことはできません。

 

そのため、追加の半導体部品になりコストアップになります。ただし、フィナンシャルのような高セキュリティーが求められるアプリケーションでは必須な部品になります。これに対して、図3-2の例では、トラストアンカーの機能をMPU側に持たせるソリューションになります。プラットフォームとセキュアチャネルを構築するための必要最低限の鍵をOTP(One-Time-Program)やe-Fuseで構築し、認証、正真性チェック、暗号化・複合化を内蔵のセキュリティコプロセッサーを使って行います。

 

ただしファームウェアストレージ用のフラッシュメモリはセキュアではないため、MPUのセキュリティ機能を駆使してファームウェアの正真性チェック(改竄されていないか?メーカーが発行した正式のコードであるか?)や暗号化・複合化を行う必要があります。実行するアプリケーションソフトウェアへの対応も同様です。すなわち本来のアプリケーション実行以外の処理オーバヘッドが増えます。

 

この方法はシステム製品開発において、MPU本体チップのコストだけでなく、セキュリティーフォームウェアのための開発も発生するためトータルのコストアップに影響します。またソフトウェアを組み合わせている以上、冒頭の説明のようにコードサイズも増加し、そこにセキュリティーホールが発生する可能性があります。

 

最後に図3-3は弊社セキュアフラッシュメモリW77Qの場合です。W77Qは、自身でファームウェアの正真性(改竄されていないか?メーカーが発行した正式のコードであるか?)を維持し、その更新を“End-to-End”でセキュアチャネルを形成し実行できる機能を搭載したSPI NORフラッシュメモリーです。

 

また、有線・無線の複雑なネットワーク環境下でもデバイスをハードウェアとファームウェアの固有性で特定できる認証子を自動生成できるRoot-Of-TrustエンジンもMPUに依存しない形で搭載するため、サービスプラットフォーム上でセキュアにW77Qを特定できます。つまり図3-2の例で、MPUが行っていた一部のセキュリティ機能をメモリー側に任せることができます。

一貫したセキュアなライフサイクル管理

MPUがハッキングされた場合に備え、プラットフォームレベル(クラウドサービスとW77Q間)で、MPUをクリーンブートさせる機構も備えます(プラットフォームレジリエンシー)。これらのセキュリティー機能はMPUとは独立かつ100%ハードウェアで実装されているため攻撃に強くなる方向になります。これらW77Qが内蔵しているセキュリティー機能により図4に示すように組込み電子システムのライフサイクル管理を一貫してセキュアに行うことができるようになります。

図4. セキュアフラッシュメモリW77Qによる組込み電子システムのライフサイクル管理

 

ここでは、デバイスマスター鍵とファームウェアのインストールを行い、同時にユニークIDと紐づけしたデバイスマスター鍵リストを作成しています。この情報をトラステッドパートナー様やサービス提供会社、メンテンナンス会社で管理・運用することによりシステムのライフサイクルを管理していきます。一旦、セキュアな環境でデバイスマスター鍵をセットさえすればサービスプラットフォーム上でセキュアチャネルを構築できるので、以降はノンセキュアな環境下でもFOTA(Firmware Over-the-Air)や、さらには緊急時のセキュリティ機能のアップグレード等が可能になります。結果としてお客様でのインフラご準備の負担・コストを軽減し、かつ堅牢なICT機器製品(組込み電子システム)のライフサイクル管理を実現できるようになります。

 

W77Qはコストが厳しい組込み電子システムのリモート攻撃からのハッキングや攻撃に対応するだけでなく、エンドユーザー自身による違法改造からも保護し、そしてプラットフォームレベルでのセキュアチャネル構築、セキュアFOTAやセキュリティ機能のアップグレードをサポートすることによりリモートサービスをも結果的に健全に保つことができるのです。

 

W77Qは、図3-2のMPU内蔵セキュリティ機能を完全に置換えるものではありません。適度なセキュリティコプロセッサー機能注2を備えたMPUと組み合わせた“Security-By-Design”=求める性能とコストのバランスを考慮したシステム設計に貢献します。

 

弊社は2016年、世界初セキュアフラッシュメモリーW75Fを開発し、CC EAL5+認証を取得しました。本W75Fは物理的アプローチによる近傍攻撃に対抗する高セキュリティのアプリケーションをターゲットとしています。一方、W77Qはネットワーク経由のリモート攻撃を想定する、中~低セキュリティのアプリケーションをターゲットとし、CC EAL2-3認証を申請中です。これらW75FとW77Qの2ファミリーのセキュアフラッシュメモリーによってICT機器の幅広いセキュリティニーズに対応して参ります。

 

注1:耐タンパ性:システムの内部構造の解析のしにくさ、見破られにくさのこと。

注2:例えばアプリケーションがネットワーク通信等で使用するデータのブロック暗号化・複合化や鍵生成等はMPU内蔵のハードウェアセキュリティコプロセッサーやソフトウェアアルゴリズムを使用します。

本記事に記載の TrustME® W77Q シリーズ紹介資料

お問い合わせ

本記事に関してご質問などありましたら、以下より問い合わせください。

Winbond メーカー情報Topに戻る

Winbondのメーカー情報Top ページに戻りたい方は以下をクリックください。