認証 11-26-2017

デジタル証明書が担うOTA(over-the-air)アップデートでの重要な役割

デジサート

これまで以上に多くのデバイスがインターネットに接続される日々の中、一般的な消費者は最新のガジェットがいかに生活を楽なものにしてくれるかという事には大きな興味を持っていますが、デバイスが最新の状態にあるかどうか、セキュリティが組み込まれているか、についてはほとんど考えが及ぶ事はありません。これらの事をより意識しているのはデバイスメーカであり、接続されている各デバイスやシステムのセキュリティを維持する為、アップデート実行の方法を必要としています。

OTA(over-the-air)アップデートの基本

OTAと略記されるOTAアップデートは、メーカーが重要な情報をデバイスに提供するために使用されます。アップデートはワイヤレス接続を介して送信され、プロビジョニング情報またはソフトウェアアップデートを、接続されたデバイスに配布しそのデバイスが正常に作動していることを確認します。

今日の“全てが接続される世界”では、デバイスをコンピュータに接続したり、店頭やサービスセンターに出向いてアップデートを行ってもらうよりも、改善プログラム、バグ修正、またはアップグレードをワイヤレスで行う方がはるかに利便性が高いと言えます。

読者の皆様は、OTAアップデートとは何かを既にご存知かもしれません。一般的な例は、あなたのiPadで最新のiOSをダウンロードする例です。この場合、デバイスの製造元(Apple)が更新プログラムを開発し、世の中で利用されているすべてのiPadに該当プログラムを配信します。あなたには新しいバージョンのソフトウェアが利用可能であると通知され、あなたの都合の良いタイミングで自身のデバイスにダウンロードする事ができる、これがOTAアップデートです。

どんなデバイスがOTAを利用しているのか?

OTAアップデートは、スマートフォン、タブレット、およびコンピュータでよく利用され、しばらく経ちます。現在、スマートホームシステム、学習機能付き温度計、および自動運転車の普及により、これらのシステムにもOTAアップデートが使用されています。

新しいデバイスが次々とオンライン化され、OTAアップデートを安全に行うことが、ますます重要になってきており、Business Intelligence(※1)は、2020年までに300億以上の接続デバイスが存在する事になるだろうと予測しています。

OTAにとってのセキュリティ課題

ひとたびデバイスがインターネットに接続されると、そのデバイスは攻撃対象となります。OTAアップデートが送信される方法によっては、マルウェア、ダウンタイム、ダウンタイムによる物理的な安全の脅威、個人情報の公開などのリスクが大きくなる可能性があり、これらの問題を回避するため更新が安全なチャネルを通じて送信されることが大変重要です。

Tripwire(※2)の研究者は、接続されたシステムが脆弱となる理由の1つは、定期的な更新を受け取っていないためであると述べています。接続されたデバイスにはOTAアップデートが必要ですが、デバイスとの間で送受信されるデータには、ユーザーを保護するためのセキュリティコンポーネントが含まれている必要があります。

OTAのセキュリティソリューション

OTAはエンドツーエンドのセキュリティを必要としており、すべての新しいデバイスは製造時にそれらが考慮されている必要があります。一般的に、接続されたデバイスやOTAアップデートの完全なセキュリティソリューションには、ID、認証、暗号化、安全な基盤、ファイアウォール、管理ダッシュボードなどが含まれます。

デジタル証明書は、OTAを安全に行ううえで重要な役割を果たします。証明書を利用して、各デバイスの識別情報を提供し、転送中のデータを暗号化する必要があるのです。証明書は、送信先のユーザーまたはデバイスが、意図された受信者であることを確認し、認証します。また、署名によってデータが正しい送信元から送信され、改ざんされていないことを認証することもできます。

今私たちが見ているこの状況は始まりにすぎません。2022年までに、世界中のおよそ1億6千万台の車両がOTAによりシステムをアップグレードすることができるようになると言われています。何百万人ものユーザーやドライバを保護するため、将来的には製造時にセキュリティを組み込む必要がありますが、デバイスがオフラインになった後でも利用可能なセキュリティオプションも存在しています。IoTセキュリティソリューションの詳細については、こちらをクリックしてください。

※1:BUSINESS INSIDER ビジネスニュース提供サイト
※2:Tripwire セキュリティソリューションベンダー

UP NEXT
WAF記事ブログ

ミドルウェアの不具合に起因するサービス妨害攻撃の説明

5 Min

特集記事

クラウド上で量子コンピュータをいかに保護するか

NIST PQC アルゴリズムに関する詳細な説明

従来の PKI がもたらす割高な機会損失