モノのインターネット (IoT) 08-22-2022

Matter に準拠する方法および DIY でデバイス認証の構築をすべきではない理由

Mike Nelson
digicert-blogimages-mar22

Matter の利用可能日が近づくにつれ、デバイスメーカーは、自社のデバイスが「Matter で信頼済み」の認定を受け、Matter ロゴを取得できるように準備を始める必要があります。公開鍵基盤(PKI)は、Matter で信頼されるためのアプローチにおいて重要な要素であるといえます。Matter は、信頼されたルートストアにおいて複数のルートを持つことになります。これらは、製品認証局または認証局(CA)と呼ばれています。これらの認証局は、デバイス認証証明書を発行します。Matter 準拠デバイスは、安全な相互運用性と信頼を確保するために、この証明書を必要とします。

デバイス認証は、Matter で信頼されたデバイスには不可欠なものであり、主に 3 つの方法で安全な相互運用性を実現します。

  1. デバイスが、信頼できるメーカーから提供されていることを保証する
  2. デバイスに強力な ID をインストールすることで、追跡と特定ができるようにする
  3. 検証された認証済みの接続を可能にする

つまり、Matter 準拠への最初のステップは、「Matter で信頼された」デバイス認証証明書をメーカーが取得することです。

デバイス認証証明書を取得する方法

Matter で信頼された証明書の取得を目指すメーカーは、基本的に 2 つの選択肢があります。デバイス認証証明書を発行するために独自の信頼されたルートを準備するか、Matter で信頼されたルートストアの既存のルートから証明書を購入することです。

CSA(Connectivity Standards Alliance)は、トラストストアでのルートの申請/受理に関わるプロセスの定義を進めています。しかし、ルートストアへの受入(受理)の手続きは容易ではありません。信頼されたルートとして受け入れられるには、高い基準と厳しい資格を満たす必要があります。デジタルトラストのリーダーとして、デジサートは、Matter の開発に関わっており、プロジェクトの初期段階からそのセキュリティの確保に努めてきました。デジサートは、Matter に準拠したルートをいち早く導入する予定であり、ルート証明書導入のプロセスが確定次第、申請する用意があります。

しかし、この記事では、デバイス認証のための DIY パスの準備と、既存の信頼されたルートとの連携の双方について検証します。

オプション 1:独自の信頼されたルートを準備する

Matter 準拠の認証局になるには、これらのルートの運営者が特定の要求を満たし、最高レベルの信頼性を維持できるよう定期的な監査を受ける必要があるなど、いくつかのハードルがあります。インターネット上のクレジットカードでの取引を認証する信頼性の高い証明書と同様に、Matter 証明書プロセスでは、ベンダーへの信頼とインターネットエコシステム全体でのデジタルな信用を確保するための厳格な監査、認可、プロセスが必要となります。

Matter で信頼された認証局になるためのハードルに加え、認証局を準備した後は、定期的な監視、更新、管理が必要になります。ルートのセキュリティが侵害されると、PKI エコシステム全体が危険さらされる可能性があるため、脅威から保護し、時間の経過とともに進化する標準に準拠できるよう、常に監視する必要があります。さらに、現在、Matter の仕様はバージョン 1.0 であり、今後機能が進化していきます。つまり、ルート運営者は継続性を維持するために、俊敏な対応と更新が必要になるのです。最後に、Matter 仕様のルートの使用が拡大するにつれ、DIY PKI を大規模に管理するのが困難になる可能性があります。

したがって、手動による証明書ライフサイクル管理または DIY PKI では、企業ネットワークがますます複雑化し、コンプライアンス基準が進化しているため、常に最新の環境を維持する必要があるのです。基本的に、DIY で PKI を構築するには、管理者は PKI の専門家でなければなりません。手動による証明書ライフサイクル管理は、重大なエラーにつながりやすく、金銭的な損害と評判の低下の両方をもたらしかねません。DIY で PKI を構築すればコストを削減できるように思えるかもしれませんが、実際には管理にかかる時間と労力、誤った管理がもたらす潜在的なダメージなどを考慮すると、よりコストがかかる可能性があります。そこで、2 つ目のオプションとして、Matter で信頼されたルートを使って既存の認証局と連携する方法を探りましょう。

オプション 2:既存の信頼されたルートの使用

Matter で信頼されたデバイス認証証明書を取得するより簡単な方法は、既存の信頼されたルートを使用することです。マネージド PKI サービスは、市場投入までの時間を短縮し、よりシンプルな拡張性をもたらし、PKI 専門家によるコンサルティングを受けることができます。プライベート CA を使用することで、Matter を採用するメーカーは、必要とする拡張性と自動化機能を得ることができます。IDC の調査によると、完全に管理された PKI サービスに投資することで、企業は 5 年間で およそ100 万ドルを節約することができます。

まとめると、マネージド PKI サービスを使用する方が長期的にはずっとお得で、設定と管理も容易になります。Matter で信頼された発行 CA との連携を選択するメーカーは、時間、費用、問題を減らしながら、Matter で信頼されたデバイスをより早く市場に投入することが可能になります。

コネクテッドトラストの専門家に今すぐご相談ください

デジサートは、メーカーが Matter を迅速、簡単、かつ大規模に導入できるように支援します。デバイス認証証明書発行のために、クラウド、バッチ、オンプレミスなどの柔軟なプロビジョニング方式を提供します。また、現在テストルートを用意しており、メーカーは本番前にワークフローをテストすることができます。さらに、デジサートは、Matter で信頼されたルートストアにおいて提供される一連の信頼されたルートの 1 つを持つことになります。デジサートと連携することで、メーカーは最短での市場投入が可能になり、発行 CA の設定について気を煩わす必要はなくなります。

デジサートは、PKI プログラムの実行について専門知識を持っています。また、過去 3 年間、標準の定義に関与してきたことから、Matter に関する PKI 専門家であると言えます。デジタルトラストのグローバルリーダーであるデジサートは、Matter で信頼されたデバイスを迅速かつ大規模に市場投入できるように支援します。さらに、デバイスが Matter で信頼された後は、スケーラブルな管理プラットフォームである DigiCert® IoT Device Manager により、それらのデバイスの証明書ライフサイクルを迅速かつ容易に管理することができます。DIY で PKI システムを構築することなく、最高レベルの信頼性で、より迅速に市場に参入することができます。

https://www.digicert.com/jp/iot/matter-iot-device-certification で詳細をご覧ください。

DigiCert® IoT DEVICE MANAGER について

DigiCert IoT Device Manager は、製造時およびエッジにおいて、企業が証明書ベースのセキュリティで IoT デバイスを管理できる包括的で自動化されたワークフローを提供します。接続されたデバイスのネットワークで必要とされる拡張性、柔軟性、制御性、効率性を提供します。管理者は、証明書ライフサイクル全体を監視し、安全な更新を促進し、証明書を実装したデバイスに関するメタデータをカスタマイズして、コンプライアンスを維持することができます。IoT Device Manager は、自己管理される PKI を構築して維持する代わりに、PKI の導入を自動化します。これにより、大規模なデバイスのネットワークを簡単に管理できます。管理者は、権限やアクセス制御をカスタマイズして、ユーザーグループごとに管理をセグメント化できます。IoT Device Manager は DigiCert ONE™ の一部であるため、オンプレミス、国内、またはクラウドのいずれにも柔軟に実装可能で、厳しい要件、カスタム統合、エアギャップといったニーズにも対応できます。

UP NEXT