PUF技術が実現するIoTセキュリティ：“シリコン指紋”で信頼性を確保（3/3 ページ）

物理複製困難関数（PUF：Physically Unclonable Function）をベースとしたセキュリティIPに注力している企業の1つ、Intrinsic ID。今回、そのCEOにIoTセキュリティの課題、量子コンピューティングなどのさまざまな脅威による潜在的影響への対応方法について聞いた。

[Nitin Dahad，EE Times]

プロセスノードの微細化がセキュリティに与える影響は？

EE Times　プロセスノードが5nm以下になると、セキュリティにどのような影響があるのか？

Tuyls氏　微細なテクノロジーノードに対応するセキュリティソリューションの影響と重要性は、しばしば見落とされがちだ。特にハードウェアベースのセキュリティでは、テクノロジーノードの微細化に合わせて実装することは簡単ではない。例えば、28nm以下では、不揮発メモリを標準的なコンポーネントと同じ方法かつ同じ速度でスケーリングすることが深刻な課題となっている。また、フラッシュメモリの開発は、高度なノードでは困難かつ高価となる。これは、フラッシュメモリが多くのマスクステップを必要とするため、メモリのコスト、ひいてはチップのコストが増加するためだ。多くのセキュリティソリューションでは、秘密キーの保存に何らかの形で不揮発メモリを使用しているため、これが問題となりる。

　しかし、チップメーカーが異なるノード間で同じ技術を使用し、継続性を保証し、ソフトウェアの開発やメンテナンスの負担を軽減するためには、スケーリングが必要だ。つまり、SRAM PUFソリューションが先進的なノード（5nmでも）で展開されているという事実は、この技術によってチップメーカーが将来的にセキュリティアーキテクチャを含む設計を先進的なノードにまでスケールアップできることを示している。

SRAM PUFの量子コンピューティングへの対応は？

EE Times：量子コンピューティングのような進歩が、将来的にはセキュリティ実装に影響を与えることは明らかだ。SRAM PUFはこの進歩にどのように対応するのか。また、その効果はあるのか。

Tuyls氏：われわれの業界では、量子関連について多くの混乱が見られる。実際のところ、量子コンピュータが実際に利用できるようになるのは、まだ数年は先のことだ。だからといって、それを待っている必要はない。PUF技術の状況を見ると、われわれや他社が使用している暗号アルゴリズムのいくつかは、量子コンピュータが登場すると破られてしまうだろう。これらのアルゴリズムは、現代の暗号ソリューションでは破られてしまうものと同様で、非対称暗号だ。

　また、対称暗号のキーの長さも長くする必要がある。これらの問題は、PUF技術ベンダーに限ったことではなく、どのセキュリティベンダーにも当てはまることだ。そのため、米国商務省の国立標準技術研究所（NIST）では、現在の非対称暗号に代わって将来的に実装しなければならないアルゴリズムであるポスト量子暗号の標準化にすでに取り組んでいる。

　しかし、PUF技術そのものについては、特に心配する必要ないだろう。現時点では、PUFからキーを導き出すためのファジー抽出器やその他のアルゴリズムが、量子コンピュータによって破られる可能性はない。導き出される鍵の長さを延長するだけでなく、PUFに関連する全てのアルゴリズムは、量子コンピュータが利用可能になっても破られることはないだろう。PUFは「量子的に証明されている」と言うことができるが、実際には、量子コンピュータが行うことと、PUFの実装から暗号キーを導き出すために必要なアルゴリズムとの間には、単純に関連性がないからだ。

IoTのセキュリティ規格は役に立つのか？

EE Times　IoTやサイバーセキュリティに対応するために、世界中で規格や認証、規制が導入されている。これらの規格／認証は、業界でどのような役割を果たしているのか。役に立っているのか、それとも邪魔か。

Tuyls氏　セキュリティ標準は非常に重要だが、十分に活用されているとはいえない。特にIoTにおいては、ハードウェアとソフトウェアが非常に細分化されているため、標準規格によって軽減しなければならない重大なリスクがある。全てのデバイスが異なるルールで動作している場合、どうやってネットワークを保護することができるだろうか？　最も初歩的なセキュリティメカニズムを備えていない機器がネットワークに存在する限り、ネットワーク全体が危険にさらされることになる。セキュリティシステムの強さは、最もぜい弱なリンクで決まってしまう。

　Armの「Platform Security Architecture（PSA）」イニシアチブや当社が加盟している「ioXtアライアンス」のように、IoTセキュリティの標準化に向けた業界の取り組みが目立つ。このような取り組みは、業界の大手企業がIoTセキュリティについて何らかの行動を起こす必要があると考えていることを示しているが、業界の認識だけでは十分ではない。実際に効果を上げるためには、政府レベルでのセキュリティ標準化が必要だ。全てのデバイスメーカーにセキュリティへの関心を持たせる唯一の方法は、責任や罰金のリスクを負ってでも、一定の基準を守ることを義務付けることだ。

　バイデン大統領が先日署名した「国家のサイバーセキュリティの向上に関する大統領令」は、正しい方向への第一歩だ。だが、これだけでは十分ではない。より多くの国がこの例にならう必要があるが、米国も、主にソフトウェアのセキュリティに焦点を当てたこの大統領令に記載されている内容よりもさらに踏み込むべきだ。強力なセキュリティソリューションは、信頼できるハードウェアから始まる。ハードウェアに根ざしたサイバーセキュリティほど安全なものはない。だからこそ、今回の大統領令を拡張し、ハードウェアとそのサプライチェーンのセキュリティを含めるべきだと考えている。

PUFコミュニティーの育成

EE Times　セキュリティはダイナミックなものであり、決して立ち止まることはない。近い将来、最も期待していることは何か。また、デバイスメーカーが優れたセキュリティを維持するためはどうすべきか。Intrinsic IDがこうした点で支援していることや、今後の計画は？

Tuyls氏　現在の最優先事項は、製品ポートフォリオの拡大と、提供している既存製品の品質を継続的に改善することだ。2021年後半には、いくつかの新しいソフトウェア製品が登場する予定だ。

　また、PUFのエコシステムを構成するさまざまなプレイヤーを結び付ける取り組みも行っている。PUF技術に興味があれば、誰でも無料でアクセスできる「PUF Cafe」というオンラインコミュニティーを通じて、こうした取り組みを行っている。このサイトでは、PUF技術に関するグローバルなニュースやドキュメントを共有し、毎月「PUF Cafeエピソード」を開催している。ここでは、さまざまな組織の講師が、PUF技術やセキュリティの側面を取り上げている。最近のエピソードは、量子と暗号の関係についてだった。このコミュニティーには、セキュリティ問題やPUF技術に取り組んでいる産業界や学術界の人々が参加している。

【翻訳：田中留美、編集：EE Times Japan】