IoTセキュリティの第三者認定制度「PSA Certified」、英Armが発表

　英Armが発表した「PSA Certified」は、IoT（Internet of Things：モノのインターネット）機器のセキュリティフレームワーク「Platform Security Architecture（PSA）」がIoT機器に正しく実装されているかどうかを第三者が評価・認定する制度。用途ごとにセキュリティの保証レベルを3段階で示す。たとえばセンサーの場合、レベル1は堅牢なセキュリティ、レベル2は家庭環境、レベル3は産業用プラント向けである。

　PSA Certifiedのセキュリティテストは、セキュリティの堅牢性に関する多段階のスキームと、開発者に特化したAPI（Application Programming Interface）テスト群の2つの要素からなる。第三者による評価を基本に、PSAのROT（Root Of Trust：完全性と機密性の源泉）、リアルタイムOS（RTOS）、機器そのものを検証する。

　開発者のためのAPIテストである「PSA Functional API Certification」では、IoT機器に必須のセキュリティサービスへの標準化されたアクセスを提供することで、セキュアなアプリケーション開発を容易にする。チップベンダー／RTOSプロバイダー／機器メーカーに対し、最新のハードウェアセキュリティ機能を利用するためのテスト群を無償で公開する。

　テストを通過した機器は、電子署名によるレポートカード（証明書トークン）が得られる。企業やクラウドサービスプロバイダーは、セキュリティの達成度を参照し、導入に向けたリスクを踏まえた意思決定が可能になる。

　PSA CertifiedにはArmのほか、第三者セキュリティテスト機関のパートナーである蘭Brightsight、中CAICT、蘭Riscure、米ULと、コンサルティングを担当する仏Prove＆Runが参加する。

　PSAは、IoT機器のセキュリティを確立するためのフレームワーク。指示や原則のほか、脅威モデルやセキュリティ分析に関する文書、ハードウェア／ファームウェアのアーキテクチャー仕様、OSS（オープンソースソフトウェア）のトラステッドファームウェア（TF-M）、APIテストキットなどが用意されている。