接続性の飛躍的な向上と、網羅的なデータおよびリアルタイムの状況対応への依存度の高まりにより、IoT(モノのインターネット)が爆発的に普及しました。専門家は、2025年までにIoTデバイスの展開数が730億に達すると予測しています。これらの多くは、ネットワークの外縁に展開され、強力なエッジコンピュータが、接続されたデバイスが保存、処理、分析、応答コマンドのために送信する大量のデータをローカルに収集します。しかし、IoTに接続されているすべてのコンポーネント、デバイス、センサーは、悪意のある攻撃者が悪用しようとする可能性のある新しいエンドポイントを提供します。攻撃者が成功した場合、機密データの流出や改ざん、物理システムへのコマンド操作、ネットワークへのマルウェア注入、その他無数のサイバー攻撃を行う可能性があります。
IoT侵害の脅威をさらに悪化させているのは、接続されたデバイスがネットワーク上で共有する「信頼されたステータス」です。多くのエッジコンピュータの展開場所が監視されていない遠隔地であるため、ネットワーク接続が利用できない場合、悪意のある攻撃者が物理的にデバイスにアクセスする機会がある可能性があります。単一のエクスプロイトされたエンドポイントは、悪意のある攻撃者に接続されたデータベース、ウェアラブルまたは埋め込み型医療機器、自動車制御システム、または製造フロアへのアクセスを自由に許可する可能性があります。ますます高度化するサイバー攻撃の進化する脅威に対抗するため、エッジコンピュータメーカーは、トラステッドプラットフォームモジュール(TPM)をハードウェアに直接統合しています。
TPMとは?
Trusted Computing Group (TCG) は、1990年代のインターネットと電子商取引の台頭によって明らかになった技術的脆弱性を改善するために、ハードウェアセキュリティアンカーのアイデアを考案しました。TPMはメーカーによってデバイスのマザーボードに物理的に固定され、製品の信頼の連鎖を確立し、その後適用されるファームウェアとソフトウェアの保護に役立つことになっていました。OSレベルで実装されたセキュリティ機能は、TPMが提供する保護基盤の上に構築される可能性があります。例えば、MicrosoftのWindows 10には、セキュリティ対応ハードウェアとファームウェアの上に構築できるセキュリティ機能のスイート全体が搭載されています。
このモジュールは2009年に初めて標準化され、TPM 1.2はいくつかのシステム保護を提供しました。
- 識別: デバイスを一意かつ確実に識別する変更不可能なルートキーがチップに焼き付けられています。この機能はデバイス認証に影響を与えます。
- 暗号化: TPMはルートキーを使用して、ファイル、フォルダ、およびフルシステムディスクの暗号化に使用されるキーを暗号化します。TPM内のスペース制限により、キーの保管は単一のルートキーに限定されていましたが、その基盤となるセキュリティをさらに暗号化キーの暗号化に貸し出すことで、結果として生じるキー製品はモジュールの外部に安全に保管できます。
- エントロピー: TPMには、暗号化機能にエントロピーを注入し、総当たりハッキングの試みを無駄な推測に減らす乱数ジェネレータがあります。
- ブートセキュリティ: マルウェアはOSレベルより下で動作し、その先で起動するソフトウェアサイバーセキュリティソリューションを回避できますが、TPMには安全なブートプロセスを表す測定値を格納するプラットフォーム構成レジスタが含まれています。これらの測定値に異常が発生すると、デバイスはブートプロセスを中止して、最後に確認された正常な状態に入ります。
TPM 1.2テクノロジーは、メーカーとユーザーが不足していた基盤となるシステムセキュリティを提供しました。しかし、コンピュータ処理能力の進歩により、TPMアルゴリズムの有効性は低下しました。TCGはTPM 2.0でこれに対応しました。
TPM 2.0はTPM 1.2をどこで改善していますか?
TPM 2.0は、いくつかの新機能を実装することで、コンピュータセキュリティをより強化しました。
- アルゴリズムの互換性: TPM 1.2は単一のハッシュアルゴリズムであるSHA-1に固定されていました。SHA-1の有効性が疑問視されるようになったとき、次の標準は最終的なアルゴリズムの廃止の可能性に対応する必要があることが明らかになりました。TPM 2.0は、インストールされたアルゴリズムの1つが脅威に対して使用不能になった場合でも、さまざまなアルゴリズムをホストできます。
- 強化された署名データ: 基本的な検証署名は、PIN、生体認証、GPSデータなどの追加情報をサポートできるようになりました。
- パスワード認証: パスワードは、適切な保護に不要な展開において、認証ソフトウェアの複雑さとコストを削減できます。
- 改善されたキー管理: キーは、限定的かつ条件付きの使用のために委任できます。
- 機能の柔軟性: TPM 2.0を使用すると、製造元は展開に必要なセキュリティ機能のみを実装できます。この柔軟性により、リソースに制約のあるIoTデバイスでもTPMを統合できます。
TPMはIoTをどのように保護しますか?
データの安全性と接続されたデバイスの適切な動作に関心のあるすべての組織は、ハードウェアにTPMテクノロジーが搭載されていることを確認する必要があります。TPMによって生成される証明書は、デバイス間の信頼を形成し、データ通信と信号伝送が安全であることを保証します。多くのIoTおよびエッジコンピューティングの展開の重要な性質を考えると、この基盤となるセキュリティは不可欠です。
TPMは、施設内および重要なインフラストラクチャに統合された産業用IoT(IIoT)テクノロジーの健全性を確保できます。産業用展開でデータを集約および分析するエッジコンピュータは、マルウェアや侵入がプロセスに影響を与える脅威なしに、意図したとおりに確実に機能する必要があります。これらの展開では、機械を操作できる異常なコードが壊滅的な物理的応答を引き起こす可能性があります。適切に保護された産業用エッジコンピュータは、身体的損傷、機器や製品の損傷、環境への害を防ぐことができます。
情報保護の観点から、TPMは、増え続けるデータプライバシー管理への組織の遵守を支援する上で不可欠です。多くの管理は、アクセスされたデータが暗号化されている場合(したがって、不正な当事者にとって無益である場合)、費用がかかり評判を損なう違反報告から「セーフハーバー」を付与します。エッジコンピュータの展開の場合、接続されたデバイスから収集されたデータの多くは、不適切に処理、漏洩、または侵害された場合、プライバシー侵害訴訟の根拠となる可能性があります。エッジコンピュータは、生体認証データ、財務情報、さらにはビデオ画像を収集するために展開されることが多く、これらのすべてには、GDPR、HIPAA、またはPCI-DSSなどの管理対象となる個人識別可能情報(PII)および/または保護された医療情報(PHI)が含まれる場合があります。TPMは、この機密データの効果的な暗号化を可能にし、消費者と、その情報の保護を担当する人々の両方を保護します。
エッジコンピュータを、ハードウェアのアクセス不能を保証できない環境で重要な機能とデータ処理を実行する必要がある環境に展開できることは、セキュリティトラストアンカーの必要性を不可欠なものにしています。TPMテクノロジーは、IoT接続システムの揺るぎない完全性を確立し、維持します。このトラストアンカーを製造レベルで注入することで、エッジコンピュータプロバイダーは、悪意のある攻撃者がサイバー攻撃を仕掛ける可能性のある開口部を拒否します。
TPM 2.0テクノロジーがPremio Rugged Edge Computersをどのように保護しているかについて、詳しくはこちらをご覧ください: https://premioinc.com/pages/tpm2