コストと所要時間の節約になり、一度のテストで複数の認証書が取得できるSESIPは、IoT情報セキュリティ認証としてどんどん注目される理由

DEKRAグループに所属しているOnward Securityのシニアのプリセールコンサルタントである周辰儒（Bruce Chou）氏によると、モノのインターネットのエコシステム基盤は一連のチップとなっており、サプライヤーにはNXPセミコンダクターズ（NXP Semiconductors）、STマイクロエレクトロニクス（STMicroelectronics）、インフィニオン・テクノロジーズ（Infineon）、クアルコム（Qualcomm）、メディアテック（MediaTek）、リアルテック（Realtek）など、世界の有名企業を含み世界中に約数十社あるとのこと。同じエコシステムには数百のIoTプラットフォームのメーカが属しており、例えばAmazon、Microsoft、IBM、Oracleなどの有名なメーカは、全て独自のIoTプラットフォームを持っています。しかし、数が最も多いのは、ネットワークカメラ（IP CAM）・スマート街路灯・スマート冷蔵庫など目を奪うさまざまなIoTデバイスであり、その生産量は数十億にも達します。 
 
まずチップについて述べます。これは基本的にプロセッサ、メモリ、Input/Output（I/O）、グラフィックプロセッサ（GPU）、Radioなどが含まれているシステム・オン・チップ（System on a Chip, SoC）であり、まるで小型のコンピュータのようであり、多くの機微情報が搭載されています。続いて、前述したチップが搭載されている多様なIoT製品に言及します。IoT製品のサプライヤーは長期にわたり熾烈な競争に直面しているため、あらゆる努力をして市場投入までの時間を短縮し、コスト削減の目標を達成しようと必死になっています。一方、設計面に関しては、正常に動作さえすればいいというスタンスであると判明しました。 
 
しかし、顧客の要求・法令・規格の遵守や製品の差別化などさまざまな要因が出現するにつれて、ＩｏＴ開発者に本来以上の責任を強要されます。設計の段階で情報セキュリティに準拠する必要が生じましたが、十分な時間と資金がないためなかなか上手くいかず、開発者にとって重いプレッシャーとなっています。 
 
「製品のライフサイクルは僅か1～2年にも関わらず、半年から1年以上の時間をかけて認証の準備をしなければいけないので、きわめて困難な課題に違いありません。」とBruce Chou氏は述べています。また、開発者は製品の設計は得意としても、情報セキュリティを専門としているわけではないため、それに詳しい人材を新たに雇うとしても製品開発者が独学するにしても、多額の学習コストがかかってしまいます。 
 
しかしそうであっても、ハッカーはIoTデバイスの脆弱性を利用して、機密情報を盗み取ったり、エンドユーザーのネットワークの麻痺などの災害を引き起こし、とんでもない悲惨な結果をもたらすため、IoT情報セキュリティは依然として妥協ができないテーマとなっています。したがって、IoTエコシステムにおける全てのサプライヤーは多くの課題を克服し、情報セキュリティに関連するコンプライアンス要件を満たすべきです。 

IoTチップと端末製品のどちらにも適用されるセキュリティ基準というと、最も代表的なのはコモンクライテリア(Common Criteria, CC )です。認証の取得には1年半かかることも多く、開発者も煩雑な規定に応じて大量のドキュメントを作成する必要があり、それに多くの時間とコストが費やされるため、業界関係者を尻込みさせてしまうことも少なくありません。それによって、ますます注目を集めているSESIPやPSA Certifiedなど、比較的軽いIoT情報セキュリティ標準が徐々に登場しています。その中、SESIPはGlobalPlatformより提案され、PSA CertifiedはArmより提案されています。 
 
台湾にはIoTデバイスのOEM（Original Equipment Manufacturer）が多く存在し、 現在直面している最大の課題は、パートナーや顧客からのそれぞれ異なる要求を受け取り、さまざまなセキュリティ認証に合格する必要があり、多額のコストを負担しなければなりません。製品のライフサイクルが僅か1～2年の状況から見ると、非常に割に合わず非現実的です。 
 
業界関係者は如何にしてこの苦境を乗り越えればいいのか？複雑なことを簡素化し、メーカがあまり精力を浪費せず情報セキュリティを習得できるようにする方法が必要になります。そのため、SESIPとPSA Certifiedにはあらゆる関係者から大きな期待が寄せられています。SESIPの正式名称は、Security Evaluation Standard for IoT Platformsで、CC（Common Criteria）規格の簡素化に重きを置き、認証のハードルを下げ、IoTセキュリティ要件を満たしやすくすることで、IoTメーカに受け入れ易くなっています。 
 
簡単に言えば、SESIPは柔軟性と効率を兼ね備えた認証方法を提供することを旨とし、変化が多く複雑なIoTエコシステムに従うべき共通規則を与え、3～6か月で認証が取得できるようにしています。更に重要なのは、SESIPはＩｏＴ開発者へのサポートとして、複雑さとコストを低減し市場投入までの時間を短縮することができるだけでなく、ＩｏＴデバイスは上から下まで多くのレベルをカバーしているため、チップから認証書を取得していれば、1つの認証で複数の効果が発揮することもできます。 
 
Bruce Chou氏は、チップメーカである開発者Cのことを例として、SESIP認証を取得したと仮定した場合は、認証書とパッケージ化された製品認証文書（certification package）を提供すれば、該当のセキュリティ認証の申請作業が省略され、チップ製品としての競争力を高めるだろうと述べました。他の例では、暗号化ライブラリー（Crypto Library）メーカである開発者Bは、チップの暗号化機能を呼び出す必要があります。SESIP認証を取得したチップを使った場合、学習コストが削減できて、Crypto Libraryの認証取得の時間も短縮できます。また、システムインテグレーション(System Integration, SI)業界の開発者Aの場合、顧客のトランスポートレイヤーセキュリティプロトコル(Transport Layer Security, TLS)の構築を支援する必要があります。その際、SESIP認証を取得した暗号化ライブラリーCrypto Libraryを使用すれば、投資コストを低減でき、自分で大量の手続きを消化することなく、より簡単にそのTLSのSESIP認証を取得することができます。 
 
具体的には、チップメーカにとってSESIPのメリットは、時間と労力をかけずに情報セキュリティレベルを効果的に向上させ、製品の差別化の利点を生み出すことができます。ソフトウェアベンダーにとっては、認証チップを利用して暗号化などのあらゆる機能を呼び出せば、重複する各部品の申請にかかる手間を省いて、迅速にSESIP認證に合格することができます。SIにとっては、プロジェクトの開発リスクとコストが低減でき、後日顧客情報が漏洩によるクレームも回避できます。 
 
台湾に多く存在するOEM工場またはサービス提供者にとって、SESIPは適切なコンプライアンスの達成に役立ちます。これは、SESIPの認証内容は用途が広く、さまざまな工業規格に対応できるためです。例えば、SESIPとPSA Certifiedによって共同で認識されているProfileを通じて、PSA Certifiedを取得することが容易になります。更には、ETSI EN 303 645及びイギリスのPSTIにも対応でき、これらの認証に合格することで、一度のテストで複数の認証効果が得られます。 

結論としては、IoTのエンドユーザーは産業用の製品であるか民生用の製品であるかに関わらず、情報セキュリティに対する意識が高まっており、GDPR(General Data Protection Regulation)などの個人情報保護規制への関心も高まっています。そのため、チップ・ソフトウェア・設備開発メーカ問わず、如何にして情報漏洩を防止し、自社製品に差別化された価値を持たせるかが重要であることは間違いありません。SESIP認証に合格して情報セキュリティの開発能力を証明することが、必ず最高のスタートを切れます。