大規模な IoT デバイスの容易ではないプロビジョニングをゼロタッチで安全に行うためのブループリント

2021年4月13日 に投稿済み

Principal Program Manager, Azure IoT

2020 年の IoT Signals レポートでは、IoT プロジェクトの 95% が概念実証 (PoC) で失敗していることが明らかになっています。その原因の大部分は、多くがゼロタッチ プロビジョニングを謳っているにもかかわらず、スケーリングができないことにあります。次のような魅力的な別の選択肢を想像してみてください。IoT ソリューション ビルダーは、相手先ブランド名製造業者 (OEM) からデバイスを一括で受け取り、それらのデバイスに電源を入れるだけで、次のようなことが可能になるのです。

  • 運用環境の証明書プロバイダーへの自動かつ安全なオンボード。
  • デバイスの運用証明書資格情報の受信。
  • クラウド アプリケーション サービスへの自動プロビジョニング。
  • 資格情報の更新とライフサイクル管理の自動化。

さらに、このシームレスなプロセスは、PoC であろうと 100 万台目の運用であろうと、すべてのデバイスで同じです。また、最も優れた点は、セットアップに必要なのは、ソリューション ビルダーがシンプルな 3 つの非技術的な操作を 1 回だけ行えばよいということです。これはまさに Microsoft がパートナーの皆様と一緒に成し遂げたことであり、今回、その方法をブループリントとして提供します。

1 回限りの 3 つの簡単なステップで、シームレスかつ安全なデプロイを大規模に行うことができます。ゼロタッチ プロビジョニングへのソリューション ブループリント

図 1:1 回限りの 3 つの簡単なステップで、シームレスかつ安全なデプロイを大規模に行うことができます。ゼロタッチ プロビジョニングへのソリューション ブループリント

簡単に説明すると、ソリューション ビルダーがセットアップのために行うことは、マネージド資格情報プロバイダーのアカウントを作成し、デバイスのカスタマイズの指示を OEM に提供し、構成証明を Azure Device Provisioning Service (DPS) に登録することだけです。これらの操作は 1 回だけ実行すればよいため、PoC エクスペリエンスと大規模な運用デプロイの両方において、ゼロタッチでのプロビジョニング エクスペリエンスを実現することができます。ソリューション ビルダーは、次のようなことを知らない可能性があり、また知る必要もありません。それは、上記のような複雑な統合は、デバイス製造業者バリュー チェーンの複数管理の性質に対応するための信頼委任における複数の資格証明書の相互作用、改ざんに対抗するためのセキュリティ ハードニング、運用環境の証明書の自動更新とライフサイクル管理のための対策などから成り立っているということです。真にスケーラブルなゼロタッチ プロビジョニングは、このような複雑な統合が行われて初めて実現できます。そうでない場合は、モノのインターネット (IoT) ソリューション ビルダーに負担がかかり、その結果、高い確率で失敗が認められます。

しかし、ゼロタッチ プロビジョニングはなぜ、そのように容易ではないのか

簡単に言えば、ゼロタッチ プロビジョニングでは、IoT デバイスのプロビジョニング ニーズの厳密な理解が必要です。これは批判ではなく、IoT プラクティスの進化と成熟を示す所見であると考えられます。問題の領域を正しく理解しなければ、真の解決策は決して生まれません。

IoT プロビジョニングの全体像を把握するには、IoT プロジェクトにはフェーズが存在することを認識し、ゼロタッチ プロビジョニング エクスペリエンスを設計する際には、これらのフェーズを考慮する必要があります。分かりやすくするために、プロジェクトを「評価」、「デプロイ」、「運用」の 3 つのフェーズに分けて説明しますが、それぞれもっと細かく分けることもできます。

「評価」フェーズ

評価フェーズでは、すべてのプロジェクトが始動し、PoC の作成が伴います。その特徴は、ソリューション ビルダーが開発環境を完全にコントロールし、既存のデバイスを単体で動作させることにあります。開発環境を完全にコントロールすることで、プロビジョニングにより資格情報がデバイスに組み込まれます。これにより、ビルダーは自分だけが資格情報を把握し、そのデバイスを物理的に所有している唯一の人物であるため、セキュリティについて安心感を得ることができます。

「デプロイ」フェーズ

次は、運用環境スケールに合わせたデバイスの製造を行う、デプロイ フェーズになります。このフェーズでは、開発環境をデバイス製造およびサプライチェーン パートナーのエコシステムに拡張します。また、デバイスの台数も数桁多くなります。デプロイ フェーズの明確な特徴は、ソリューション ビルダーの完全なオーナーシップから、パートナーとの共有オーナーシップへとコントロールがシフトすることです。セキュリティには、ソリューション内の機密情報を保護するための強力な対応が求められます。情報の偶発的な共有を防ぐことで、パートナーとのやり取りにおける信頼性を高めることができます。セキュリティと信頼を維持するために、プロビジョニングには、パートナー間でナレッジを共有するための複数の資格情報、デバイスの管理者が変わったときに信頼を委譲するスキーム、改ざんを防止するためのセキュリティ ハードニングが必要です。

「運用」フェーズ

運用フェーズでは、IoT ソリューション ビルダーにコントロールが戻り、ソリューションの運用と資格情報やデバイスのライフサイクル管理が行われます。このフェーズでのプロビジョニングの役割は、製造パートナーのバリュー チェーンを切り離して運用に集中するためのセットアップ (つまり、ソリューション ビルダーがコントロールを取り戻すためのセットアップ) を行い、運用環境の資格情報をプロビジョニングし、更新、失効、廃止などのライフサイクル管理操作を可能にすることです。

そのため、IoT デバイスのプロビジョニングは、オープンなエコシステム内でのセキュリティと信頼の構築において複雑な作業となります。したがって、プロビジョニングを正しく行うには、問題の多面的な性質を包括的に理解し、完全なソリューションには複数の分野の専門家が必要であることを認識する必要があります。残念なことに多くの場合、ゼロタッチ プロビジョニングを謳っていても、評価フェーズのニーズにしか対応しておらず、大規模運用に必要なデプロイや運用のフェーズのニーズが無視されています。これでは、ゼロタッチ プロビジョニングのエクスペリエンスが得られないのも不思議ではありません。

エキスパートに相談する

複雑な問題は、その分野の専門家が解決するのが一番です。ゼロトラスト プロビジョニングを解決するには、特に、公開鍵基盤 (PKI) の運用、セキュリティのハードニング、標準的なデバイスの製造および入手プロセスにおけるデバイスのカスタマイズなどの多くの分野の専門家が必要です。

PKI を専門的に運用することは、ゼロタッチ プロビジョニングの基本的な要件です。多くの属性を持つ IoT デバイスを大規模にオンボードおよび運用するのに適した PKI サービスは、可用性が高く、グローバルなカバレッジを提供し、証明書の監査を可能にし、更新や失効などのライフサイクル管理操作を提供する必要があります。とりわけ、PKI サービスはデータ主権の目標達成を支援するものである必要があります。 専門的に運用されている PKI は、多くの理由で重要です。第一に、基盤となる非対称鍵暗号は、デバイスのバリュー チェーン内でのパートナーとのコラボレーションにおいて、ゼロトラスト モデルの基盤を提供します。各パートナーが決して共有しない秘密鍵を持っているという事実が、特別な信頼の基盤となります。第二に、PKI を使用することで、IoT は証明書ベースのデバイス資格情報の発行とライフサイクル管理という、エンタープライズの IT プラクティスにおける数十年の経験を活用することができます。証明書ベースの資格情報は、IoT におけるコンピューティングのゼロトラスト モデルを実現するために非対称鍵暗号をベースにして構築されているため、他の形式の資格情報よりも評価が高いものです。PKI の運用は、この 2 つの概念に基づいて行われており、専任の専門家だけが提供できる重責が求められます。証明機関 (CA) は、IT での長年の経験から必要な専門知識を持っています。

セキュリティ ハードニングは、十分に計画され、構造化された PKI を補完するものであり、改ざんに対抗できます。改ざん防止の目的である、破壊行為への対抗策がなければ、安全なソリューションとは言えません。改ざん防止とは、非常に特殊なクラスの集積回路に由来するもので、物理的、環境的、ネットワーク的なあらゆる条件の下で、正常に動作すること、または故障が予見できることを主な目的としています。その結果、破壊行為、ハイジャック、侵入行動、流出に対するリスク軽減策が可能になります。この改ざん防止集積回路は、ハードウェア セキュリティ モジュール、または単に HSM と呼ばれています。適切なアプリケーション HSM を精密に製造して処方するには、限られた半導体シリコン製造業者しか持たない専門知識が必要です。

カスタマイズによるデバイスのパーソナライゼーションは、安全なゼロタッチ プロビジョニングを実現するための最終的な要素であり、OEM の専門知識が必要となります。OEM は、PKI や HSM プロバイダーを連携させて、一定の目標を達成する必要があります。第一に、デバイス製造のバリュー チェーンにおいて、信頼が確立され、さまざまな管理者に適切に伝達されること。第二に、デバイスがソリューション ビルダーの仕様に合わせてカスタマイズされ、適切なクラウド ソリューションにシームレスに接続されること。第三に、デバイスが自動的にオンボードされ、適切な資格情報のプロビジョニングとライフサイクル管理が完了した状態で運用状態に移行すること。第四に、デバイスが偽装から保護されていること。最後に、デバイスの調達プロセスがシンプルであることです。安全なデバイスをシンプルに提供することには、専門知識と経験を要する難しいバランスが求められます。

最終的には、さまざまな分野や、特に利用可能な標準の使用を通じて専門知識を活用するために、目的を持って設計された機能を備えた適切な IoT 製品ベースが必要です。Azure IoT EdgeIoT ID サービス セキュリティ サブシステムにより、この目標を達成できます。

ブループリント

このブループリントは、証明機関 (CA) と PKI サービスのプロバイダーである Global Sign、半導体製造および HSM メーカーの Infineon Technologies、そして OEM とエッジ デバイスのインテグレーターである Eurotech と共同で作成されました。この技術統合は、Azure IoT Edge のモジュール型 IoT ID サービス セキュリティ サブシステムをベースにしています。各分野の専門家は、証明書要求のための IETF RFC 7030 Enrollment over Secure Transport (EST) 組み込みクライアント標準、HSM 統合のための ISO/IEC 11889 Trusted Platform Module (TPM) および PKCS#11 インターフェース標準などの機能を活用し、また、セキュリティ サブシステムのモジュール化により、非常に重要な考慮事項である既存のデバイス製造フローの多様性に対応しています。その目的は、何十年も続く既存の製造業のサプライ チェーンを壊すことなく、それぞれの経験を生かしていくことにあります。このような共同での統合により、IoT ソリューション ビルダーは、前提条件となる専門知識を深めることなく、安全なソリューションを既定で保証することができます。その結果、IoT ソリューション ビルダー向けに高度にカスタマイズされたデバイスが生まれ、受け取った後は電源を入れる以上のことをする必要はありません。

TPM からクラウドまでの統合された信頼性により、サプライ チェーンからサービスまでのセキュリティと整合性を実現。

図 2:TPM からクラウドまでの統合された信頼性により、サプライ チェーンからサービスまでのセキュリティと整合性を実現

このブループリントは、IoT ソリューション ビルダーの問題を解決するために各分野の専門家が連携し、大規模なゼロタッチ プロビジョニングのための包括的なソリューションを実現するためにさまざまなテクノロジを適切に適用できるようにするためのものです。この統合では、信頼の確立はバリュー チェーンの源である Infineon Technologies TPM から始まります。たとえば、Global Sign は、運用環境の証明書を発行する際の事前検証の一環として、TPM 製造証明書の相互署名を行っているため、対象となる TPM が実際に Infineon Technologies が製造したものであることを間違いのない方法で検証することができます。

IoT デバイス ID のライフサイクルには、複数の資格情報が含まれます。

図 3: IoT デバイス ID のライフサイクルには、複数の資格情報が含まれます

このパートナー連合は、複製できるようにするブループリントを提示する目的で、このソリューションの基盤となるセキュリティとエンジニアリングの原則をまとめたホワイトペーパーを共同編集しました。

標準化が重要な理由 

ゼロタッチ プロビジョニングは、まさに標準化が必要な難しい問題です。困難な理由はいくつかありますが、明らかなのは、高額な再構築や再編を強いることなく、非常に多様な製造フローのベースの上に、どのようにして標準的なソリューションを構築するかということです。どんな問題も永遠には続かず、いつかは標準的なものが出てきます。それまでは、既存の標準 (TPM、X.509、PKCS#11、EST など)、製造フロー、バリュー チェーンをベースにして縮図版のテクノロジ連携を作り、現在発生している明らかな問題を現実的に解決することをお勧めします。これがブループリントの本質であり、当面の現実的な解決策を提供するだけでなく、他の業界に標準化への協力を呼びかけるものです。

IoT ソリューションを運用環境に導入する

IoT におけるゼロタッチ プロビジョニングを謳うソリューションの多くは、大規模な IoT プロビジョニングの根底にある課題を解決できないため、これが PoC での失敗につながります。適切なソリューションを実現するには、複雑な課題を克服し、安全でシームレスなゼロタッチ プロビジョニングを大規模に実現するための、さまざまな分野の専門知識を活用した包括的な取り組みが必要です。このような性質の複雑な問題は、標準化において力を合わせることで解決することがよくあります。しかし、多くのコンソーシアムがこの問題に数年取り組んできましたが、具体的な成果は得られていません。おそらく、高度に多様化したデバイス製造フローが、コンプライアンスのために手に負えないほど高価な再構築を強いられるリスクが高いためだと思われます。このブログでは、ゼロタッチ プロビジョニングの包括的な解決策を示しました。各専門家が連携してこれまでの経験や製造フローを基に作成されたブループリントとして示しており、IoT ソリューションを運用に移行する成功率を高めることができます。

IoT バリュー チェーンのすべての専門家の皆様。これは、安全な IoT ソリューションのデプロイに必要な共有責任を認識するための呼びかけです。ソリューション ビルダーが成功すれば、私たち全員が勝者になることができます。そのため、真に安全で包括的なゼロタッチ プロビジョニングを運用環境で大規模に実現するために、私たち全員が連携しましょう。そして Azure の仲間になってください。これが、成功のためのブループリントです。

すべての IoT ソリューション ビルダーの皆様。ソリューションを PoC から運用まで安全にスケーリングできるエクスペリエンスを簡素化できるよう、担当の OEM パートナーに、パートナーと連携して、このブループリントに記載されている事前統合を実施したデバイスを提供していただけるようご依頼ください。

さらに学ぶ