Semiconductor Portal

» セミコンポータルによる分析 » 技術分析 » 技術分析(半導体製品)

ルネサス、IoTデバイスをセキュアにするIPを提供

ルネサスは、IoTデバイスに使うマイコン内部に暗号化キーを格納するIPを開発、それをマイコンに集積しセキュアに守るという仕組みを導入した(図1)。このマイコンRX231は、センサ機能を持つIoTデバイスをサイバー攻撃から守ることができる。

図1 セキュアなIPの中に暗号キーと暗号エンジンを格納 出典:ルネサスエレクトロニクス

図1 セキュアなIPの中に暗号キーと暗号エンジンを格納 出典:ルネサスエレクトロニクス


センサ機能を搭載しているIoTデバイスは、低コストで低消費電力を特長としており、セキュリティへの関心はこれまで薄かった。ゲートウェイよりも上のレイヤーのセキュリティを対象としていた。しかし、IoTデバイスの応用が広がり、例えばクルマ自体をIoTデバイスと定義するケースも出てきた。日産自動車が電気自動車リーフにM2M通信モジュールを搭載しており、クラウドつながっていることから、クルマ自体がIoTと言えないこともない。そうなるとIoTデバイス自身のセキュリティも高めなければならなくなってくる。

そこでルネサスは、IoTデバイスに組み込むマイコンにセキュリティを埋め込むことを考案した。従来、暗号キーをフラッシュメモリの一部に格納していた。それでも一般には、マイコンを組み込んだ機器にIDとパスワードをかけて侵入を防いでいる。しかし、スキャナーなどで内部に侵入したとしても、不正なプログラムを実行できないセキュアブートや、不正なプログラムのインストールを防止するセキュアアップデートをかけているため、容易には不正プログラムを持ちこみにくい。それでも暗号キーを盗めば、これらの解除は可能だ。

ルネサスの方法では、マイコン搭載機器、例えばIoT端末にかけているIDとパスワードを破られて内部に侵入されるとしても、暗号キーの格納されているIPを持つマイコンはセキュアに守られているため、マイコンからデータを盗むことが難しい。

このセキュアなIPをルネサスは「トラステッドセキュアIP」と呼んでいるが、セキュアなカギを作り、それをセキュアな部屋に格納することがキモである。セキュアなカギの作り方は図2のように、フラッシュメモリに内蔵している鍵生成情報とユニークIDを使って暗号キーを生成する。このユニークIDは、チップの製造途中で割り当てられる番号だという。こうして作成した暗号キーをトラステッドセキュアIP内に格納するが、このIPはセキュリティが厳重な部屋のため、外部からアクセスできない。データを暗号化する場合には、このIP内にデータを採り込み、AES(Advanced Encryption Standard)暗号エンジンを使ってデータを暗号化しIPの外のメモリへ格納する。


図2 トラステッドセキュアIPでカギを生成する仕組み 出典:ルネサスエレクトロニクス

図2 トラステッドセキュアIPでカギを生成する仕組み 出典:ルネサスエレクトロニクス


トラステッドセキュアIPは、暗号キー格納部と、AES暗号エンジンからなり、ここにはデータを格納しない。暗号キーはOTP(One time Programmable)メモリではなく、ロジックで組んでいるという。

生成された暗号を使えば、たとえ侵入されてもセキュアブートを使えるようになる。実行対象のプログラムから暗号アルゴリズムを使って認証コードを計算し、参照の認証コードを比較照合することで、ウィルスの実行を食い止められるからだ。また、セキュアアップデートに対しても、対象とするプログラムについている認証コードをトラステッドセキュアIP内の認証コードと比較することで、不正なプログラムのアップデートを防ぐことができる。

ルネサスはさらに、強固なセキュリティを容易に設計するための開発ツール「RX231通信セキュリティ評価キット」も提供する。この評価キットは、トラステッドセキュアIPを集積した32ビットマイコンRX231を搭載、さらに無線LAN通信拡張ボードも搭載でき、無線LANドライバも提供する。ルネサス製のTCP/IPミドルウエアも搭載しており、セキュアなワイヤレスシステムを早期に開発できる。一から開発する場合18カ月かかるとすれば、このキットを活用すると、わずか2.5カ月で通信まで組み込めるとしている。


図3 ハイエンドなゲートウェイに向けてセキュリティを拡大していく 出典:ルネサスエレクトロニクス

図3 ハイエンドなゲートウェイに向けてセキュリティを拡大していく 出典:ルネサスエレクトロニクス


ルネサスは、今回IoTデバイスをセキュアにする技術を導入したが、今後RXシリーズのゲートウェイやさらにハイエンドなRZシリーズによるインタリジェントなゲートウェイにもセキュリティを強化していく方針である(図3)。

(2016/07/05)
ご意見・ご感想