STマイクロエレクトロニクス株式会社

1. デバイス･レベルまで対策が必要なIoTセキュリティ
～TrustZone®対応STM32マイコンで守るIoT端末～
DX時代のIoTセキュリティ最新トレンド～エッジからクラウドまで～
2019年10月21日（月）
木村 崇志
STマイクロエレクトロ二クス株式会社
マイクロコントローラ & デジタル製品グループ

2. IoT端末開発を支えるSTのポートフォリオ 2
セキュリティ
スケーラブル
な
セキュリティ
ソリューション
プロセッシング
超低消費電力
から
高性能
まで
コネクティビティ
10 cm
から
10 km
まで
モータ制御
電力変換
電力監視
ドライバ
電源 &
電源管理
ナノ・ワット
から
メガ・ワット
まで
コンディショニング
&プロテクション
ナノ・アンペア
から
キロ・アンペア
まで
センシング &
アクチュエー
ティング
センサ
&
アクチュエータ

3. Arm® Cortex®ベース STM32ファミリ 3
幅広い選択肢 / シリーズを超えた互換性 / 豊富なエコシステム
超低消費電力
メインストリーム
Cortex-M0/M0+ Cortex-M3 Cortex-M4 Cortex-M7
ハイパフォーマンス
ワイヤレス
CPU Cortex-M33
Cortex-M4/M0+
デュアルコア
Cortex-A7
マイクロプロセッサ
長期供給保証
デュアルCortex-A7
+ Cortex-M4
動作時：31uA/MHz
スタンバイ時：440nA*
*：内蔵SRAM 16KB保持 + RTC動作

4. IoT端末向けに最適なマイコンSTM32 4
IPネットワーク無線通信
IoT端末
（組込み機器）
ゲートウェイ クラウド

5. IoT端末開発エコシステムが充実したSTM32 5
2G/3G
主要なIoT向け無線通信規格を評価できる開発キット

6. IoTネットワークのセキュリティ 6
過去より攻撃に曝され、セキュリティ対策が普及
IoT端末
（組込み機器）
ゲートウェイ クラウド

7. IoTネットワークのセキュリティ 7
ネットワークに接続され始め、攻撃に曝された経験が少ない
ネットワーク接続以前の方法で開発・製造されている場合、
セキュリティ対策が不十分の可能性あり
IoT端末
（組込み機器）
ゲートウェイ クラウド

8. 予想される攻撃
重要情報の不正読み出し
8
重要情報の
不正読み出し
模造品の製造
なりすまし
サービスの不正利用• FW
• 認証情報
• 鍵データ

9. 予想される攻撃
マルウェア、データ改ざん
9
感染
サービスの妨害
マルウェア組込み
データ改ざん
重要情報の改ざん

10. STM32セキュリティ・ソリューション 10
市場の要求に応じて進化してきたSTM32セキュリティ機能
市場ニーズ
STM32
セキュリティ
機能
• MPU
• 書込み保護
• ウォッチドッグタイマ
• ユニークID
• 読出し保護（デバッグ
アクセスポート遮断）
• 暗号化HWアクセラ
レータ
• 真乱数発生器
• コードIP保護
（PCROP）
• ファイヤ･ウォール
• セキュア・ブート
• セキュアFWインストール
• セキュアFWアップデート
•TrustZone®
•Arm PSA準拠*
• アクティブ・タンパ検出
• ユニーク・ブート・エントリ・
アドレス*
• ワンタイム実行メモリ領域*
• セキュア・デバッグ
• プログラム暴走対策
• 個体管理
• 模造品対策 • モジュール出荷時等
のコードIP盗難対策
• ライフタイム・セキュリ
ティ管理（FWライセンス
管理、FWアップデート）
• IoTセキュリティ
*STM32L5のみ

11. 読出し保護機能によるデバッガ・アクセス対策 11
保護レベル0（保護なし）
オプションバイトにユーザが設定することでレベル0へ移行
全てのブートモードが有効（ユーザFlash、SRAM、デバッグ）
レベル0
レベル1
レベル2
保護レベル1（ソフト設定による保護）
ユーザFlash, バックアップSRAM以外からのブート時、この領域への一切のアクセスは無効
（SRAM、内蔵ブートローダ、デバッグ機能）
レベル1がイネーブルの時、オプション･バイト（RDP）のレベルを0にすると
FlashおよびバックアップSRAMの全領域が消去
保護レベル2（デバッグポートのヒューズ切断による物理保護）
レベル1に加えて、デバッグポートのヒューズが切断され、外部からのアクセスが不可
ユーザFlash以外の領域からのブートは一切無効

12. タンパ検出による筐体開封対策 12
未開封=LOW 開封=HIGH
タンパ検出ピンの電圧レベル変化で筐体開封を検知
バックアップ
レジスタ内の
機密情報リセット
検出時の
タイムスタンプ
イベント発生
タンパ検出ピン

13. アクティブ・タンパ検出による基板削剥対策 13
基板削剝：
ドリルなどで基板を削剥して
プローブポイントを作り
デバイスにアクセスする攻撃方法
基板上に網目状の線路ループを張り巡らせ、ランダム波形の出力
と入力を継続比較し、結果が一致している間は問題なし
ランダム波形の入力が途絶えた＝基板が攻撃を受けた
と判断して割込み生成 ＋ メモリ領域を自動消去
JTAG

14. 通信インタフェースへのアクセス対策 14
通信インタフェースからの不正ハッキングに対して
重要情報をアイソレーションしておくことが重要
STM32のアイソレーション機能
• TrustZone
• ワンタイム実行メモリ領域
• ユニーク・ブート・エントリ・アドレス
• コードIP保護
• ファイヤ･ウォール
• MPU

15. TrustZoneによるアイソレーション 15
software
data
hardware
software
data
hardware
セキュア非セキュア
TrustZone：Armのセキュリティ機能
ハードウェアでアクセスの監視、許可・禁止の設定、管理、運用をする

16. セキュアFWアップデートによるFW盗難対策 16
FW受信
アップデータ起動
コードヘッダを確認
FWタグを確認
FWをFlashに格納
FWの検出
コードヘッダの
証明書一致
FWを復号化
（所有キー）
デバイスリセット
FW更新フロー
Y
N
セキュア・ブート
&
FWアップデータ
コード1ヘッダ
アプリケーション
コード1
鍵データ
デバイスリセット
下記機能で保護
• TrustZone
• ワンタイム実行メモリ領域
• コードIP保護
• ファイヤ･ウォール
• MPU
• 書込み保護
ユニーク・ブート・エントリ・アドレス
アドレスを任意に設定
書込み保護機能で
デバッガアクセスと
ブートローダアクセスを禁止
FWタグが一致
デバイスリセット
Y
N
FWアップデート
FWアップデート用
一次スロット
コード2ヘッダ
暗号化された
アプリケーション
コード2

17. TrustZone®対応STM32マイコン
まとめ
• 充実したIoT端末開発エコシステムによるサポート
• IoT端末への攻撃に対する豊富な対策機能
• セキュリティ・ソリューションとの組み合わせでRoot of Trustを実現
17

18. ご清聴ありがとうございました