Skip to main content

ブートストラップクレデンシャル

ブートストラップクレデンシャルは、デバイスの初期 ID メカニズムとして機能し、製造された瞬間から Device Trust Manager でセキュアな認証を提供します。ブートストラップクレデンシャルは、証明書の場合もパスコードの場合もあり、ライフサイクルを通じてデバイスに残ります。

ブートストラップクレデンシャルは、Device Trust Manager とのセキュアな接続を確立するために、プロビジョニング中に使用されます。認証されると、デバイスはライフサイクルを通じたセキュアな通信のための運用証明書を要求できます。さらに、ブートストラップクレデンシャルは、デプロイメントやプラットフォーム管理など他のポリシーもサポートし、デバイスが必要なアップデートを取得または適用することでセキュリティ体制を維持できるようにします。

認証方法

ブートストラップクレデンシャルによって、デバイスは以下の方法を使用して Device Trust Manager で認証することができます:

表 1. 認証方法

認証方法	説明	推奨される用途
証明書	ブートストラップ証明書は、有効期限の長い x.509 証明書です。ブートストラップ証明書の有効期間は、デバイスの耐用年数、たとえば 10 年をカバーするのが一般的です。これらの「誕生」証明書により、デバイスは Device Trust Manager とセキュアに通信できるようになります。ブートストラップ証明書は、運用証明書を要求する際やデバイスのオンボーディングの際にも使用されます。重要不正アクセスや改ざんを防止できるように、秘密鍵は必ず TPM、セキュアエレメント、または TEE（Trusted Execution Environment）に保管してください。	産業機器、スマートメーター、医療機器など、堅固なセキュリティと長期的な ID 管理が必要なデバイス。
パスコード	使用制限付きまたは無制限で使用できる英数字のパスコード。SCEP や EST などのプロトコルを使用して証明書を認証し、要求する際に使用され、IoT デバイスのセキュアな証明書の申請と管理が容易になります。注記パスコードは柔軟性を確保する反面、証明書ベースの認証に比べるとセキュリティは劣ります。	レガシーデバイス、リソースに制約のあるデバイス、または個々の証明書をプロビジョニングすることが現実的でない環境。セキュリティの低い環境でのみ使用することを推奨します。

このセクションの内容:

これは役に立ちましたか？