- Smarter Worldブログ
- IIoTにおけるNXP:FIPS 140-3にアップグレードしてエッジ・デバイスの最先端の保護を実現
IIoTにおけるNXP:FIPS 140-3にアップグレードしてエッジ・デバイスの最先端の保護を実現
インダストリアルIoT (IIoT) では、メーカーは、データを保護し、接続するエッジ・デバイスやネットワークへの不正アクセスを防ぐセキュリティ・プロトコルとアルゴリズムを実装するために暗号化モジュールを使用しています。
多数の暗号化モジュールから選択できますが、最新の連邦情報処理標準 (FIPS) に準拠しているものは非常に信頼できると広く考えられています。これは、米国国立標準技術研究所 (NIST) が開発・管理しているFIPSの発行物が、情報技術 (IT) 製品の暗号化モジュールの最小セキュリティ要件を定義し、モジュールの設計と実装に関連する約11の領域に対応しているためです。FIPSはISO/IEC 19790:2012 (E) に準拠しています。ISO/IEC 19790:2012 (E) は、さまざまなアプリケーション環境に対応するために4つのセキュリティ・レベルを定義し、その対象範囲はモジュールの設計、実装、および導入に及びます。
FIPS準拠というラベルの付いた暗号化モジュールは、連邦認定ラボによって詳細に検査され、Cryptographic Module Validation Program (CVMP) 証明書が付与されています。米国およびカナダでは、連邦政府の補助金を受け取る連邦政府関係機関、および連邦政府と協力する民間組織は、FIPS準拠のソリューションを使用する必要があります。また、FIPSの発行物は、世界中の民間部門の購買ガイドラインとして、また世界市場のさまざまな規制業界のコンプライアンス義務の基盤としても使用されています。
FIPSの発行物は非常に広く信頼され、定評があるため、多くのIIoTベンダーは、IIoTデバイス全体または設計に組み込まれたセキュリティ・サブコンポーネントのいずれかでFIPSコンプライアンスを取得することを最優先するようになっています。
物理セキュリティ・デバイスに組み込まれたセキュリティ・アーキテクチャのメリットをご確認ください。ビデオはこちらです。
次世代への移行
FIPSの発行物は、新たに出現する脅威に対応するために定期的に改訂されます。数年間、FIPS 140-2が主流の規格でしたが、現在はFIPS 140-3に置き換わっています。
FIPS 140-2のCMVPテストの最終日は2021年9月22日です。CMVP証明書は5年間有効です。つまり、現在のFIPS 140-2の検証はすべて2026年9月21日までに期限が切れます。
NIST Computer Security Resource Center (CSRC) は、アクティブなCMVP検証の検索可能なリストを管理しています。そのため、開発者、購買代理業者、およびIIoT導入に関与するその他の人が特定のCMVP証明書のステータスを簡単に確認できます。
CMVP検証は、「revoked」または「historical」とマークされることがあります。CSRCのWebサイトによると、検証証明書がrevokedとマークされている場合、その「モジュール検証は無効になり、140規格への準拠を実証するために参照することはできません」。検証証明書がhistoricalとマークされている場合、「連邦政府機関は新しいシステムにこれらを含めるべきではないが、[これらを]レガシー・システムのために調達することはできます」。「revoked」ステータスと「historical」ステータスの違いの詳細については、CMVPのWebサイトを参照してください。
140-2のサポートはまもなく終了するため、メーカーはできるだけ早期に140-3認定に移行することが推奨されます。最新のFIPS認定に移行することで、製品が最新の保護で最新の状態を維持でき、ソリューションがrevokedまたはhistoricalとマークされることを回避できます。
140-3と140-2の違い
140-2と140-3の要件は大部分が同じであるため、FIPS 140-2認定をすでに受けている製品は比較的簡単に140-3にアップグレードできます。しかし、注目すべき変更点がいくつかあります。
まず、140-3では、オプションとして非侵襲的な物理要件が導入されています。これには、アプリケーションの実行中にシステムからの物理情報の漏洩を悪用するサイドチャネル攻撃に対する保護のガイダンスが含まれます。
140-3には、Critical Security Parameters (CSP) のより厳しいゼロ化要件も含まれています。言い換えると、140-3は、暗号化機能を実行するために使用される鍵、パスワード、PIN、その他の情報などのセキュリティ・データが何らかの形で開示または変更された場合に、そのデータを永久に消去または破壊するプロセスを強化します。CSPのゼロ化は、暗号化に関連するデータが復元され、モジュール、システム全体、保護対象の情報のセキュリティを侵害するために使用されるのを防ぎます。
140-3のもう1つの重要な追加点は、SP 800-140Br1など、FIPSのドキュメントとレポート作成の側面の自動化を可能にするメカニズムが導入されていることです。これは、認証にかかる時間を短縮することを目的とした、FIPSテスト・プロセスの自動化を推し進めるためのCMVPの広範な取り組みの一環です。しかし、それでも認証には数か月かかるため、メーカーは今すぐ140-3認証について考え始めることが強く推奨されます。
NXPはFIPS認定セキュリティのリーダー
組込みアプリケーション向けのセキュアな接続ソリューションのリーダーであり、スマートフォン、銀行カード、パスポート向けのセキュリティ・ソリューションの信頼できるプロバイダーであるNXPは、Common Criteriaだけでなく、FIPSのセキュリティ認証についても長年にわたる経験があります。実際、10年以上前にFIPS認定製品の提供を開始し、FIPSの発行物の進歩に対応して最新の状態を維持し続けています。
また、NXPは、NIST Cryptographic Algorithm Validation Program (CAVP) のファースト・パーティ・ラボとして認定された最初の非営利テスト・ラボの1つでもあります。つまり、NISTが承認/推奨する暗号アルゴリズムとその個々のコンポーネントの検証テストを実施することが許可されています。
FIPS認定セキュア・エレメント
2021年以来、NXPのEdgeLock® SE050ファミリのセキュア・エレメントには、Common Criteria (CC) EAL 6+およびFIPS 140-2レベル3認定セキュリティが含まれており、産業用を含む幅広いIoTアプリケーションで強力な保護を実現します。FIPS 140-3への移行が迫っている今、NXPはCommon Criteria (CC) EAL 6+とFIPS 140-3規格の認定を受けたセキュア・エレメントであるEdgeLock SE052Fをリリースしました。EdgeLock SE052Fは、FIPS 140-3認定を受けた最初のセキュア・エレメントです。具体的には、OSとアプレットについてはFIPS 140-3レベル 3、ハードウェアの物理的セキュリティについては最高のレベル 4の暗号化モジュールとして認定されています。
FIPSおよびCC EAL認証の事前検証により、開発者は新製品を提供する際の時間、労力、コストを節約できます。SE052などのFIPS認定の組込みモジュールを使用して製品のすべての暗号化を実行する場合は、製品レベルで個別のFIPS認定を受ける必要はありません。EdgeLock SE052Fは、NISTに準拠するECDSAやECDH/E、Brainpool曲線、最大4KのRSA(鍵生成を含む)、認証済みAES暗号化モードCCM/GCMなどの暗号化機能も備えています。
Axis Communicationsが他社に先駆けて採用
EdgeLock SE052Fは、FIPS 140-3レベル3の認定を受けた初のIIoT用ハードウェア・セキュア・エレメントとして、保護と利便性を両立させ、セキュアで差別化された幅広い範囲のIoTデバイスの開発と提供に役立ちます。
2024年8月、セキュリティとビデオ監視のためのスケーラブルで統合が容易なIPベースの製品やイノベーションなどのネットワーク物理セキュリティ製品のリーダーであるAxis Communicationsは、EdgeLock SE052FをベースにしたFIPS 140-3認定を提供する初のネットワーク・セキュリティ・デバイスAXIS Q1809-LE Bullet Cameraをリリースしました。
Axis CTOのJohan Paulsson氏は、EdgeLock SE052Fを選択したことで「物理的セキュリティ業界におけるエッジ・デバイス・セキュリティの限界を押し広げることができる」と語っています。Axisは、今後も、顧客のサイバーセキュリティ態勢を改善するために、カメラからアクセス制御、インターコム、オーディオ製品に至るまで、今後のすべてのネットワーク製品にEdgeLock SE052Fを組み込むことで、FIPS 140-3認定デバイスの拡充を続けていきます。
将来を見据えて
セキュリティの必要性が高まり、FIPS認証を必要とするIIoT導入が増加する中で、NXPでは、NIST FIPS 140-3への準拠を通じて、規制要件を満たし、高度なセキュリティ機能を実証できるよう取り組むお客様が増えると予想しています。
EdgeLock SE052Fは、セキュアなIoT運用のための使いやすいプラットフォームで、暗号化機能に対応しています。また、最新バージョンのFIPS (140-3) の認定を受けた初の暗号化モジュールであり、FIPSへの準拠をすぐに実現できます。ターンキー・ソリューションとして設計されているため、セキュアで差別化されたIoTデバイスの提供が簡素化されます。
次のステップに進む
NXPのIIoTセキュリティへのアプローチ、FIPS 140-3認定のサポートの詳細については、EdgeLock SE052Fのページをご覧ください。
著者紹介
Giuseppe Guagliardo
Giuseppeは、NXP Semiconductorsのプロダクト・マネージャです。インダストリアルIoTおよびNFCセキュリティ・チームの一員として、セキュリティを導入しやすくするNXPのインダストリアルIoT製品向けセキュア・エレメントの提供を推進しています。お客様と協力し、セキュリティ脅威、サイバーセキュリティの傾向の把握をサポートし、セキュアなインダストリアルIoTソリューションの実現を支援しています。Giuseppeは、IoT、エッジおよびクラウドのアーキテクチャ、標準化、サイバーセキュリティに重点を置いたシステム・エンジニアリングの役割の経験があります。
Marc Ireland
シニア・プリンシパル・セキュリティ認定エキスパートであるMarcは、FIPS 140セキュリティ規格に関する15年以上の経験を持ち、認定されたNXP IoTソリューションを市場に投入することに重点を置いて、NXPの北米セキュリティ認定戦略を推進しています。
Antje Schuetz
半導体市場で20年以上の経験を持つAntjeは、セキュリティとマス・マーケットに関する知識を活用して、NXPのセキュア・エレメント・ソリューションを産業およびスマートシティ市場に推進しています。