モノのインターネット (IoT) 08-05-2016

TLS:低消費電力デバイスにも導入可能なセキュリティ対策

Flavio Martins
Blog | DigiCert
ここ数年、モバイル機器は電力面で大きく進化しましたが、IoTエコシステムの一部となる機器は、未だに消費電力とバッテリ寿命が極めて制限されていると言えます。今後も伸びると予測されるIoTの成長と、それに伴い増加する多様な電力とメモリを持つ接続デバイスによって、セキュリティはこれまで以上に重要になる事は間違いありません。 標準のIoTデバイスでは、適切な認証とデータの暗号化によって、ネットワークとデバイス間の安全な接続が保証されます。この接続は、SSL(Secure Socket Layer)またはTLS(Transport Layer Security)プロトコルによって確立されます。Webサイト用PKIのTLS証明書がウェブサイトへのログインや情報のやり取りを安全な接続のうえで行う事を保証するのと同じように、IoTのTLS証明書も同様の機能を保有していますが、通常は相互認証の自動化に重点を置いています。

ECN誌によると、「多くのIoTデバイスは、低処理能力と低メモリのローエンドマイクロコントローラ(MCU)をベースにしている」とし、ここから“TLSはこれらの低消費電力デバイスを保護するには「重過ぎる」”という誤解が生じたと伝えました。多くの低メモリデバイスはユーザーインターフェイスが持たず、OEMメーカによりインターネットセキュリティをほぼ検討されずに設計されている為、この“誤解”はさらに浸透していきました。

確かにローエンドのデバイスに堅牢なセキュリティを導入する事は難しいように思えますが、PKIの長年に渡る導入事例を基に創造的な実装をすることで、効果的に接続デバイスを保護する事が可能になるのです。

TLSの消費電力とは

ネットワークセキュリティの機能は、接続されるデバイスが大小さまざまであり、常に不確実性が存在することになります。ウェアラブルから小型機器、さらにモバイル機器までを含めて、TLSなどのセキュリティプロトコルによって低電力かつ低メモリの機器を維持できるかどうかという疑問が残ります。 今日、多くの商用およびオープンソースのTLSライブラリを利用することができます。「これらのライブラリは、通常、100 KBを超えるコードとデータメモリを消費し、この量はスマートフォンには決して大きくありませんが、温度調節器や煙探知器にとっては非常に大きいといえます」とENCは述べています。 幾つかの商用TLSスタックは、そのAPIを適切に利用するためにTLSプロトコルの知識を必要とします。これらのTLSスタックをシンプルな組み込み製品に統合することは非常に困難なのです。 アールト(Aalto)大学の研究では、研究者がTLSの総エネルギーオーバーヘッドを見出そうとしました。エネルギートランザクションは、ワイヤレスローカルエリアネットワーク(WLAN)と3Gネットワークの両方で調査され、「3GのTLSエネルギーオーバーヘッドは、WLAN経由のトランザクションで1MBのサイズが消費されたエネルギーと同程度」であることが判明しました。 この結果から、TLSトランザクションサイズが500KBを超えると、WLANまたは3Gがアクセスネットワークとして使用されているかどうかにかかわらず、オーバーヘッドはそれほど重要ではなくなると推測されます。 したがって、低消費電力デバイスが証明書を安全に使用できない制限があるというという考え方は絶対的な観点であり、相対的な観点ではそうではありません。また、これらのデバイスが使用できる電力は非常に限られています。そして、MQTTなどのメッセージング技術は、従来のHTTP接続よりもはるかに少ない帯域幅を利用しながら、ペイロードの認証と暗号化にx.509証明書を効率的に利用してペイロードの認証と暗号化を実現する事ができるのです。

低電力デバイスを保護するPKIの機能

PKI(Public Key Infrastructure)は、DigiCertなどの信頼性の高い認証局とデジタル証明書を通じて、認証と信頼の基礎を提供します。既に配備されている多くのIoTデバイスが適切なセキュリティ手段を実装していないことを示唆するたくさんの研究があり、ネットワークに接続されたデバイスは、正当なセキュリティ研究者や悪意のある攻撃者によって積極的に利用される大きな攻撃対象となっているのです。

TLSのようなセキュリティ対策は、Wi-Fiに接続された電球のような低消費電力または低メモリデバイスには導入できないと考える方もいることは事実ですが、Web PKIでは安全な接続を構築する事が出来る、という事をここ数年の導入実績から私たちは学びました。皆様の組織が安全な接続の導入を検討される際には、ぜひDigicertへお声掛けください。

原文はこちら

UP NEXT
5 Min

特集記事

クラウド上で量子コンピュータをいかに保護するか

NIST PQC アルゴリズムに関する詳細な説明

従来の PKI がもたらす割高な機会損失