連載｜fTPMで考える、​IoTデバイスを​長く​守る​ための​セキュリティ​基盤設計 第4回 ライフサイクル​管理と​SEC-TPM Service

連載第1回で述べた3つの課題の最後が「ライフサイクル全体を網羅する運用設計の困難さ」です。セキュリティ対策の対象は、設計による技術実装だけでなく、製造・運用・廃棄といった人が介在するプロセスも考慮が必要です。デバイスの所有権移転や廃棄時に適切な管理がなされないと、情報漏洩や不正なデバイス複製のリスクが残ります。第4回の今回は、SEC-TPMがクラウドベースの「SEC-TPM Service」を通じて、デバイスのアクティベーションから廃棄までをどのように管理しているかを解説します。

この連載の記事一覧

連載｜fTPMで​考える、​IoT​デバイスを​長く​守る​ための​セキュリティ​基盤​設計

• 第1回 SEC-TPMとは何か ―その思想と全体アーキテクチャを理解する
• 第2回 ハードウェアによるドメイン分離
• 第3回 TCG TPM 2.0仕様への準拠
• 第4回 ライフサイクル管理とSEC-TPM Service

1. アクティベーションによるデバイス検証

SEC-TPM™は、製造時点ではセキュリティ機能が無効化されており、アクティベーションを経て初めて利用可能になります。このプロセスは出荷前または出荷後に実行されます。アクティベーションの流れは、以下の通りです。

• 初期化要求：デバイス上のアクティベーションアプリケーションがSEC-TPM Serviceに接続し、初期化要求を送信します。
• デバイス検証：SEC-TPM Serviceは、デバイス固有の識別子(チップシリアル番号など)を照合し、正規のデバイスであることを確認します。
• チャレンジ・レスポンス：SEC-TPM ServiceがTEE内のfTPMと通信し、TPM内部の鍵を使った認証を実行します。
• 有効化：デバイスが正しく応答すると、SEC-TPMが有効化されます。

このプロセスにより、デバイスの一意性を担保し、不正な複製を防止します。

2. 所有権管理

SEC-TPM Serviceは、デバイスの所有者（Owner）をデータベースで管理します。ここでいうOwnerとは、ブートコンポーネントなどのファームウェアを変更する権限を持つ主体（OEM、ODM、プラットフォームベンダーなど）と定義されます。なおOwnerはデバイスのライフサイクルを通じて変わることがあるものとされており、その際の所有権移転の手順は、以下の通りです。

• 移転要求：現在の所有者が、移転対象デバイスの識別情報を指定して要求します。
• 待機期間：移転要求から実行まで猶予期間が設けられます。意図しない要求が発生した場合、この期間内にOwnerがSecEdge社に連絡することで対処できます。
• デバイス側の処理：所有権移転時には、所有者がデバイス上でSEC-TPMを無効化し、鍵オブジェクトをはじめとする「永続ストレージ」を削除することが推奨されます。
• 再アクティベーション：所有権移転後、新しいオーナーはSEC-TPMを再アクティベーションすることで、デバイスを引き継いで利用可能になります。

3. デバイスの廃棄（End of Life）

デバイスの廃棄時には、再アクティベーションを防止するため、SEC-TPM Serviceが廃棄手続きをサポートします。廃棄の手順は以下の通りです。

• 廃棄要求：所有者が廃棄対象デバイスの識別情報を指定して要求します。
• 削除予定状態への変更：SEC-TPM Serviceは、データベース上のデバイスステータスを「削除予定」に変更します。
• 再活性化の防止：削除予定となったデバイスに対しては、以降のアクティベーション要求や所有権移転要求が拒否されます。
• 段階的な削除：所有者はデバイス側でSEC-TPMを無効化し、永続ストレージを削除します。一定期間後、サービス側のデータも完全に削除されます。

4. まとめ

連載第4回では、SEC-TPM Serviceがデバイスのアクティベーションから廃棄までのライフサイクルをどのように管理しているかを解説しました。クラウドベースの管理により、アクティベーション、所有権移転、廃棄といった運用フェーズのリスクを管理する仕組みを提供します。

より詳しく技術や​関連製品について​知りたい方へ

本コラムに関係する技術や関連する製品について知りたい方は、お気軽にご相談ください。

お問い合わせはこちらから