SOLUTION
NXPが数十億個のIoTデバイスの複雑なセキュリティ確保を簡素化する革新的なEdgeLock™セキュア・エンクレーブを発表
2021.3.8 5:58 pm
NXP Semiconductorsは攻撃や脅威に対しIoTエッジ・デバイスをインテリジェントに保護する事前構成済みで自己完結型の同一ダイ上に統合されたセキュリティ・サブシステムとして、EdgeLock™セキュア・エンクレーブを発表しました。このセキュア・エンクレーブはNXPの新しいi.MX 8ULP / i.MX 8ULP-CS / i.MX 9アプリケーション・プロセッサに内蔵セキュリティ・サブシステムとして完全統合され、IoTアプリケーションでシステム全体にわたる堅牢なセキュリティ・インテリジェンスの実装を容易にします。
EdgeLock™セキュア・エンクレーブは開発時のセキュリティ目標の達成をより容易にすることから、システム開発者はエッジ・アプリケーションの差別化に注力できるようになります。多くの新EdgeVerse™プロセッサ・ファミリへのセキュア・エンクレーブの統合により、NXPはスマートホーム・デバイス、ウェアラブル、ポータブル・ヘルスケア・デバイス、スマート家電、組み込み制御、インダストリアルIoTシステムなどの多数のエッジ・アプリケーションで最新セキュリティ機能の導入を容易にする広範なスケーラビリティ・オプションをシステム開発者に提供します。
NXPのバイス・プレジデント兼暗号化およびセキュリティ責任者のWolfgang Steinbauerは、次のようにコメントしています。
「エッジで使用されている数十億個のIoT製品が魅力的な攻撃対象となっています。強力な隔離に基づくセキュリティ・フレームワークを提供することにより、デバイス・メーカーは機能に注力し、NXPによってテストと実証済みのセキュリティを信頼することができます。NXPはエンド・ツー・エンド・セキュリティ・ソリューションの提供における長年の歴史を活かしてEdgeLockセキュア・エンクレーブを開発し、堅牢なセキュリティ・メカニズムの導入の簡素化と、スケーラブルで実装の容易なIoTセキュリティへのニーズの高まりへの対応を可能にしました。これにより、組み込みシステム開発者はアプリケーション自体や開発期間の課題に注力し、IoTのセキュリティ確保に関わる複雑さをEdgeLockセキュア・エンクレーブ技術に対応させることができます」。
・チップの砦としての「セキュリティHQ (Headquarter) 」
この自己完結型の同一ダイ上に統合されたセキュリティ・サブシステムは、専用セキュリティ・コア、内蔵ROM、セキュアRAMを備え、最新のサイドチャネル攻撃レジリエント対称/非対称暗号化アクセラレータ、ハッシング機能をサポートし、SoC内部の他のユーザー・プログラマブルなコアに対し一連のセキュリティ・サービスを提供します。本質的に、セキュア・エンクレーブはシステム・オン・チップ(SoC)内部で「セキュリティHQ」、すなわちチップの砦のように機能し、物理的/ネットワーク攻撃に対しシステムを保護するRoTや暗号鍵などの主要な資産を保存し、保護します。
このサブシステムはアプリケーションやリアルタイム処理機能を扱う他のプロセッサ・コアから隔離されています。物理的にサイロ化されたこのアーキテクチャはSoC内部で明確に定義されたセキュリティ・ペリメータをサポートするほか、セキュアな鍵保存管理、暗号化、他の重要なセキュリティ機能を隔離することによりSoCとアプリケーションのセキュリティを強化します。
・暗号化を超えて
セキュア・エンクレーブは柔軟なポリシーと制御を提供し、主流の暗号化技術を超えたセキュリティ・プラクティスを実現します。シリコンRoot of Trust、ランタイム証明、トラスト・プロビジョニング、SoCセキュア・ブート強化や、先進攻撃耐性向けの広範な暗号化サービスにより強化された精密な鍵管理などの重要なセキュリティ機能の自律管理を可能にし、同時にセキュリティ認証のプロセスも簡素化します。
・先進的な改ざん検出技術
先進的な改ざん検出/応答技術はRoot of Trust全体を保護し、セキュアなプロセッサの動作中に機能の整合性を確保します。攻撃が検出されると、セキュア・エンクレーブ・システムが攻撃をブロックします。
・インテリジェントなパワーマネジメント
EdgeLockセキュア・エンクレーブはプロセッサ上でのエンドユーザー・アプリケーション動作時に、電力遷移をインテリジェントにトラッキングします。このユニークな「電力認識」機能は、アプリケーション・プロセッサのヘテロジニアス・コアが別の電力モードに遷移するとセキュリティ・ポリシーを強化し、耐性の強化と新たな攻撃対象領域の出現防止を実行します。
・管理されたエージェント
EdgeLockセキュア・エンクレーブは管理されたエージェントを使用し、セキュリティHQの外部でSoCドメイン全体にセキュリティを拡張します。こうした自律エージェントはシステム全体のセキュリティ機能の確立と維持を行い、ドメイン全体で鍵を管理しポリシーを強化します。エージェントはSoC内部でプライベート・バスを通じて独立動作し、他のシステム・ドメインを確保します。例えばLinuxあるいはRTOSを動作中のドメインは常時、特に電力モード遷移中に保護されます。
・すぐに利用可能
事前構成済みセキュリティ・ポリシーは、製品開発期間短縮のため、セキュリティ機能の複雑な実装の負担低減とコストのかかる統合エラーの防止を可能にします。EdgeLockセキュア・エンクレーブはエンクレーブ外部でプロビジョニング・サービスをサポートし、セキュリティ認証のプロセスを簡素化します。このオンダイ・セキュリティ技術はパブリック/プライベート・クラウドへのセキュアな接続、デバイス間認証、センサ・データ保護などの最新のIoTユースケースもサポートします。