GMOグローバルサインは2017年4月27日、IoT機器向けにクライアント証明書を発行するサービス「マネージドPKI for IoT」の提供を開始した。GMOグローバルサインは、GMOインターネットグループで電子認証サービスを提供する子会社。
新サービスはIoT機器の量産段階でクライアント証明書を埋め込んで出荷するという需要に応えるもの。機器メーカーを対象にサービスを提供する。1秒間に最大で約3000枚ものクライアント証明書を発行できるという。WebカメラなどのIoT機器を乗っ取って、DDoS(Distributed Denial of Service)攻撃を仕掛けるなど、IoT機器のセキュリティ対策の甘さに付け込んだネットワーク攻撃が問題になり始めている。IoT機器の通信を盗聴する攻撃者が現れるのも時間の問題だ。そこで、IoT機器のセキュリティを固める地盤となるクライアント証明書の発行サービスを開始したという。
今回提供開始したサービスで証明書の発行を受けたメーカーは、IoT機器に搭載するTrusted Platform Module(TPM)に証明書を埋め込むことで、IoT機器との通信を公開鍵を使って暗号化してセキュリティ強度を高めることができる。TPMは耐タンパー性が非常に高く、埋め込んだクライアント証明書を外部から読み取ることはほとんど不可能。
また、IoT機器の製造時にクライアント証明書を埋め込むことで、IoT機器にサービスを提供するサーバーが、機器を認証することも可能になる。証明書がなければ通信を拒否するという運用にすれば、不正コピー製品がサービスを受けようとしてサーバーにアクセスしても通信を遮断できる。また、IoT機器がサーバーに情報を送るときも、証明書を使って署名したデータだけを真正なものと判断することで、不正なデータを排除できる。
図 IoT機器の製造段階で証明書を埋め込めば、IoT機器と通信するサーバーが機器が真正なものであるかどうか確認できる
出所 GMOグローバルサイン
GMOグローバルサインが今回提供を始めたサービスでは、秒間最大3000枚の大量発行で、量産品への証明書埋め込み需要に対応するほか、証明書として有効期間が最長3年間の「パブリック認証局」によるものだけでなく、有効期間を最長40年に設定できる「プライベート認証局」からの発行にも対応できる。
プライベート認証局による証明書を利用するには、ルート証明書の配布や認証局の設置など手間がかかるが、証明書の利用者が運用方法を柔軟に設定でき、先述の通り最長で40年間有効な証明書を利用できるというメリットがある。IoT機器のメーカーが、量産するIoT機器にサーバーからサービスを提供するときなどは、そのメーカーが独自の認証局で認証すればよいので、プライベート認証局を利用することで長期間に渡ってセキュリティを保つことが可能だ。
GMOグローバルサインは3月にイギリスARM社と「mbed IoT Device Platformパートナー」契約を締結している。この契約でGMOグローバルサインは、ARM社による品質保証基準「ARM mbed Enabledプログラム」に準拠する形で、ARM社のコアを搭載するSoC(System on Chip)の製造段階から電子証明証を配布できるサービスの提供に向けて活動を始めるとしている。今回発表したサービスと同じく、IoT機器向けの需要を見込んだ取り組みだ。GMOグローバルサインは今後も、IoT機器向けの需要に応えるための活動を進めていくとしている。
■リンク
GMOグローバルサイン
