連載｜fTPMで考える、​IoTデバイスを​長く​守る​ための​セキュリティ​基盤設計 第1回 SEC-TPMとは何か ​―その思想と​全体アーキテクチャを​理解する

IoTデバイスは出荷後も長期間使われ続け、そのライフサイクル全体にわたるセキュリティ確保が求められます。CRAに代表される法規制や標準は、設計段階からセキュリティを基本品質として組み込むことをデバイスメーカーに要求しています。

本連載では、実運用を見据えたIoTデバイスのセキュリティ基盤設計に取り組む際に直面する課題を、fTPMを中核としたアプローチで解説します。

この連載の記事一覧

連載｜fTPMで​考える、​IoT​デバイスを​長く​守る​ための​セキュリティ​基盤​設計

• 第1回 SEC-TPMとは何か ―その思想と全体アーキテクチャを理解する
• 第2回 ハードウェアによるドメイン分離
• 第3回 TCG TPM 2.0仕様への準拠
• 第4回 ライフサイクル管理とSEC-TPM Service

1. エンジニアが直面する3つの課題

ユーザーが安心して製品を利用できるよう、デバイスメーカーは製品企画・開発の段階からセキュリティを基本品質として担保することが求められます。これは、欧州サイバーレジリエンス法（CRA）などの法規制や各種セキュリティ標準からの要請でもあります。

CRAを例に取ると、「重要データの暗号化」「出荷時からのセキュアな設定」「攻撃耐性」「アップデートの信頼性」などといった要件を、設計段階から組み込む必要があります。しかし、仮にこれらをOSやアプリケーションのみで実装しようとした場合、エンジニアが直面する課題として以下の3つがあげられます。

1. ハードウェア的な隔離の欠如：ハードウェア分離のない、Linuxなどの一般的なOS上でのソフトウェア実装では、OS自体の脆弱性がそのまま暗号化されたデータや秘密鍵の漏洩に直結するリスクがあります。
2. 適切なプロトコル実装の困難さ：暗号処理や鍵管理プロトコルを独自かつ安全に実装、維持し続けることは、高度な専門知識と多くの検証工数を要します。
3. ライフサイクル全体を網羅する運用設計の困難さ：セキュリティの脅威は技術実装だけでなく、人が介在する製造や運用のプロセスにも及びます。そのため、機器の製造からアクティベーション、そして廃棄に至るライフサイクル全般を通じて、安全な運用を担保する仕組みが求められます。

これらの課題の解決を目指す包括的なセキュリティソリューションがSecEdge社の「SEC-TPM™」です。本コラムでは、SEC-TPMがどのように各課題に対応するのかを概観し、製品開発上のメリットを考察していきます。

この連載の執筆にあたっては、下記のSecEdge社の資料を参照しています。SecEdge社のWebページで公開されているので、ぜひご参照ください。
（これらのリンクは2026年4月現在のものです。）

• EDES-0026: SEC-TPM Overview
• EDES-0028: SEC-TPM Life Cycle
• EDES-0027: SEC-TPM Getting Started: NVIDIA Devices
• EDES-0040: SEC-TPM NXP Getting Started Guide

なお、執筆時点で、SEC-TPMは下記の半導体各社のSoCに対応しています。

• NVIDIA社：Jetson Orinシリーズ
• NXP Semiconductor社：i.MXシリーズ
• STMicroelectronics社：STM32MPシリーズ
• ASPEED社：AST2600

2. SEC-TPMの基本コンセプト

SEC-TPMはArm® TrustZone®上のTEEで動作するファームウェアTPM（fTPM）を中核とし、クラウドベースのプロビジョニングとライフサイクルマネジメントを包含したトータルソリューションです。上述の3つの課題に対して、SEC-TPMは以下のように対応します。

2-1. Arm® TrustZone®を活用したハードウェアドメイン分離

SEC-TPMのアーキテクチャは、SoCのハードウェア機能であるArm® TrustZone®に立脚した「セキュアエンクレーブ（Secure Enclave）」の構築を中核としています。

• セキュアワールドの分離とTrusted Execution Environment（TEE）の確保： TrustZoneの活用により、1つのSoC内部で「通常のOSが動作するRich OS（ノーマルワールド）」と、ハードウェアによってアクセスが制限された「セキュアワールド」が分離されます。セキュアワールド側に、セキュアOSなどから成る実行環境（TEE）を確保します。
• ハードウェアRoot of Trust（RoT）の実現：鍵の属性や暗号計算プロセスをTEE内部に秘匿することで、設計上、Rich OS側から直接アクセスを防ぐ構造となっています。

これにより、仮にRich OSが攻撃を受けて改ざんされる事態になったとしても、設計上、TEEへの直接アクセスができない仕組みになっています。

2-2. TCG TPM 2.0仕様への準拠と標準API

SEC-TPMは、Trusted Computing Group（TCG）が策定したTPM 2.0仕様に準拠したfTPMを採用しています。このfTPMはTEE上のTrusted Application（TA）として実装されます。

• 秘密鍵の露出防止：TPM 2.0仕様に従い、秘密鍵に関わる鍵操作はすべてfTPM内で完結します。これにより、鍵自体がfTPMの外部（ノーマルワールド）へ露出することはありません。
• ブート測定：ブート時のソフトウェアの状態をPCR（Platform Configuration Register）に記録することで、起動したソフトウェアの完全性を検証可能です。
• 実績ある標準仕様に基づいた開発：TCGの標準仕様に基づいたAPIを提供します。開発者は、検証済みのプロトコルスタックを介して操作を行うため、不適切な実装によるリスクを排除しつつ、一貫したセキュリティポリシーを適用可能です。

前述のTEEによる分離と、これらTPM 2.0仕様の特徴により、SEC-TPMは不正なデバイスによる成りすましや通信データの漏洩を防ぎ、ブート測定によって起動ソフトウェアの完全性を確認することが可能になります。

加えて、デバイスメーカーの開発者は、独自実装によるリスクを回避し、製品の差別化要素の検討・開発へのリソースを投入することが可能になります。

2-3. SEC-TPM Serviceによるライフサイクルマネジメント

SEC-TPMは、TEE上のTAとしてのfTPMだけでなく、fTPMがクラウドベースの「SEC-TPM Service」と連携した、統合セキュリティインフラとして設計されています。

• fTPMのアクティベーション：製造時に組み込まれた一意のデバイスアイデンティティとクレデンシャルに基づき、アセンブリ後に（工場・流通・フィールドのいずれかのタイミング）SEC-TPM Serviceによる真正性検証（アクティベーション）が行われます。このアクティベーションにはインターネット接続が必要です。
• 不正コピーの防止：一意性を担保したアクティベーションプロセスにより初めてセキュリティ機能が有効化されます。これにより未認可のデバイスクローニングを効果的に防止します。
• 一貫した管理：製造から運用、所有権移転、そして最終的な廃棄(EOL)に至るまで、デバイスの一意性を一貫して管理します。

この統合的なサービスの提供により、デバイスメーカーは機器の運用時の保護だけでなく、製造から廃棄までの一貫した一意性を担保する仕組みを導入可能です。

3. まとめ

SEC-TPMは、「ハードウェアドメインの分離（TrustZone）」「セキュアな実行環境(TEE)、実績ある標準仕様の導入（TPM2.0）」「管理インフラ（SEC-TPM Service）」を一体化した、ターンキー型のセキュリティインフラであり、設計者がセキュリティ設計に込めた意図を、製造・運用・廃棄に至るライフサイクル全体にわたって守り続けるための仕組みを提供します。

より詳しく技術や​関連製品について​知りたい方へ

本コラムに関係する技術や関連する製品について知りたい方は、お気軽にご相談ください。

お問い合わせはこちらから