M2MコミュニケーションにおけるDID/DIDCommの実装と技術優位性 @DIF Japan Monthly Call #2

Transcript

1. M2MコミュニケーションにおけるDID/DIDCommの実装と技術優位性 三井正義（CollaboGate） DIF JAPAN MONTHLY CALL #2 2023-02-24 CollaboGate Japan,

   Inc.

2. CollaboGate Japan, Inc. Agenda aS 会社のご紹5 FS なぜIoT/M2Mに注目しているのか) (S M2MCommにおけるDID/DIDCommの実装と技術優位性

3. 01. 会社のご紹介 CollaboGate Japan, Inc.

4. CollaboGate Japan, Inc. 会社名 CollaboGate Japan 株式会社 設立 2019年5月7日 オフィス

   〒105-6415 東京都港区虎ノ門 1-17-1
 虎ノ門ヒルズビジネスタワー 15階 事業 IoTデータセキュリティプラットフォーム事業 代表者 三井 正義 About CG データインフラの革新に挑戦する、サイバーセキュリティスタートアップ 参画投資家 過去の支援・共同プロジェクト・パートナーシップ実績抜粋

5. CollaboGate Japan, Inc. Simplify data infrastructure, transform industries データインフラをシンプルにし、産業の変革を支える Mission

   CGが果たす使命
6. None

7. CollaboGate Japan, Inc. 国プロ Trusted Web: MFPにNodeXを統合、オフィス業務のデジタル化を推進 Case 東芝テック社のデジタル複合機とクラウドストレージをつなぐデータイ ンフラを提供。財務書類などの監査証跡の担保が求められるオフィス業

   務のデジタル化を実現。

8. 02. なぜIoT/M2MCommに注目しているのか？ CollaboGate Japan, Inc.

9. IoTがMobileを超える 300億台突破 CollaboGate Japan, Inc. IoTソリューション市場は大きなポテンシャルがあり需要は急増し続ける 2,750億台 総務省 情報通信白書 データ集

   令和4年 IoTデバイス 7.1bn 4.6bn 1.7bn Mobile - 13.5bn 2025 PC - 2.1bn IoTデバイスの急速な普及 IoTは今後のインターネットの中心に モバイルシフトを遥かに超えるIoTシフトの波 PC Mobile IoT Market

10. CollaboGate Japan, Inc. Market 各産業でIoTデータを活用したDXニーズ 多様で信頼性の高いデータに誰もが簡単にアクセスできる仕組みを作りたい お 客 様 A

    P I A P I A P I ソリューションパートナー ビジネスパートナー マイクロサービス マイクロサービス マイクロサービス 他社のデバイスを含めた拡大 安全で拡張性の高いデータインフラ データプラットフォーム

11. CollaboGate Japan, Inc. 脅威の多様化と常態化によりIoTデータセキュリティの要求が変化 Market Issue 重要性を認識 対処療法の時代 重要性が低い 対策なし

    脅威の常態化 保護の時代

12. CollaboGate Japan, Inc. 製品ごとのテーラーメイドな自社インフラ構築の限界 1. PF構想・設計段階 2. PF立ち上げ期 3. PFグロース期

    Customer Pain 経営リスク 接続台数 10機種 数百万台 1機種 数十万台 製品ごと インフラ構築コスト インフラ構築＋運用コスト が積み重なる 100機種 数千万台

13. CollaboGate Japan, Inc. 極めて複雑なIoTデータインフラ構築の課題 Customer Pain ハードウェアセキュリティモジュー ルでデバイス暗号鍵を保護し、信頼 の起点を担保する仕組み 暗号鍵管理

    デバイス証明書の作成、製造段階で のインジェクション、市場投入後の 証明書管理の仕組み プロビジョニング 不正アクセス デジタル署名に基づく相互認証、デ バイスの真正性担保、動的なアクセ ス制御の仕組み 認証・認可 なりすまし 多種多様な伝送方法ごとの検証可能 な暗号化通信の仕組み コネクティビティ データ漏洩・改竄 暗号鍵・証明書・ポリシーなど長期 でのインフラ運用管理の仕組み インフラ運用 脆弱性放置 検討すべきデータインフラ構成要素 物理・論理攻撃 組込み・ネットワーク・データ・クラウドまで多岐にわたる専門性が求められる

14. CollaboGate Japan, Inc. インフラ領域においても、国内外でパートナーシップがマスト戦略に 自社インフラ構築には限界がある すでに多くの企業がデータインフラ構築にパートナーを選択 “作る”から”使う”へ＝専門サービスの併用により人的リソース確保と集中 ”個社”から”複数社”へ=知恵を集めてサービスの進化の恩恵を享受 Customer Pain

    PCなどWebアクセス・リモートアクセスの セキュリティを一元提供するセキュリティプラットフォーム 複数のアプリやサービスをつなぐSSO認証プラットフォーム クラウド提供されるDWHサービス。 各社が持つデータを利用できるマーケットプレイスも提供

15. CollaboGate Japan, Inc. IoT事業成長を支えるデータインフラソリューション ノード・クロス IoT Device IoT Device IoT

    Device SaaS Public Cloud Data Center あらゆるデバイス、あらゆる場所からの検証可能なデータ流通をセキュアに実現 デバイスなりすまし防止、高度な認証・認可、暗号化データのルーティング AGENT AGENT NodeX HUB LONDON LONDON SF TOKYO PARIS AGENT AGENT AGENT AGENT

16. 03. M2MCommにおけるDID/DIDCommの実装と技術優位性 CollaboGate Japan, Inc.

17. CollaboGate Japan, Inc. 達成したいこと Technology 正確に送信元を検証し、トランスポートとルートに依存せず、データの完全性を保証しながら、許可された受信者以外からは内容 を隠し、その受信者にデータを届けたい。 プロビジョニングを自動化したい RoTを確立したい トランスポートとルートに依存せず、検証可能なデータをE2EE通信したい

    Listening Portを露出させたくない 公開鍵認証＋ポリシーベースのアクセス制御 デバイスの真正性を保証したい

18. CollaboGate Japan, Inc. DID/DID Documents/Sidetreeについて Technology NodeX AGENT IAM, Encryption,

    Signature, Key Management with RoT OS DIDComm on MQTT NodeX Network (Sidetree Protocol atop of DLT) OS IPC |w Device DIDs Operations (create, update, resolve, revoke) Application DIDs Operations (create, update, resolve, revoke) 2. Control Plane 3. Cloud NodeX HUB Message Routing,
 Dynamic Access Control OS IPC Application NodeX AGENT IAM, Encryption, Signature, Key Management with RoT DIDComm on MQTT # DIDs Operations (create, update, resolve, revoke) AuthCrypt Data AuthCrypt Data

19. CollaboGate Japan, Inc. $A DID/Sidetreeによるプロビジョニングの自動化 認証局から公開鍵証明書を取り寄せこれを各デバイスに挿入する方法と、今回提案するDID Registryに識別子と公開鍵情報を登録する方法が ある。大量デバイスを扱うIoTシステムの場合、後者のアプローチがセキュリティとコストの観点において優れている。NodeX AgentのDID Methodを活用し、Bitcoin上に構築するSidetree

    Nodeを経由して、DID Operationを実現する。これにより、従来手法と比べて大幅なコス ト削減およびプロセスの脆弱性を排除を実現できる。 2. 公開鍵登録 3. DIDとDID Document生成 $A 鍵ペア生成 4. DID取得 6. DIDから公開鍵を取得 5. 分散型IDを送信 Sidetree as DPKI CG社の提供するDIDエージェント クラウド
 （通信相手） CG社の自動化プロビジョニング 2. 証明書署名要求(CSR) 3. 証明書取得 証明書に署名するCAか確認 6. 証明書を検証+共通鍵生成 7. 共通鍵を秘密鍵で復号し、暗号化通信を開始 5. 証明書を送信 7. 暗号化して共通鍵を送付 作業者 $A 鍵ペア・CSR生成 製造工場 認証局CA クラウド
 （通信相手） 4. 秘密鍵+証明書挿入 従来のプロビジョニング NodeX Features

20. CollaboGate Japan, Inc. NodeX Features 2. DIDとルートオブトラスト確立（暗号鍵管理） デバイスのルートオブトラスト確立には、各種CPUやOS がサポートするRoTモジュール（例えばArm TrustZone

    やTPMチップなど）を利用する。 NodeX AgentのRoT Extensions機能と、Linux OS TPM2.0機能を活用し、CPUが生成する真正乱数から複 数の暗号鍵ペアを生成し、生成した秘密鍵をTPM2.0で 安全に保管する。 DIDとRoT Extensionsで、デバイス識別子＆暗号鍵管理 を汎用的に実装できる。NodeX AgentのExtensionsを活 用することで、LinuxOSで稼動するリテールや医療機器 などのIoTデバイスのルートオブトラスト確立も同様に 実現できる。 TPM2.0 TPM デバイスドライバ Linux Kernel TSS (TCG Software Stack) CG社 Agent IoT Application RoT Extensions (Agent) カーネル ミドルウェア アプリケーション 内部または外部バス

21. CollaboGate Japan, Inc. 3. DIDComm + 検証可能なデータ IoT機器で生成するデータの検証可能範囲を拡大し、信頼できるデータとして自由に流通させることができる。アプリからNodeX AGENTに、操作する ユーザー名などのメタデータを渡すことで、「いつ・誰が・どのデバイスから」といったデータ検証が可能になり、より信頼性の高いデータ流通を実

    現することができる。 DID/VCによる検証可能なデータ流通 Verifiable Credential Data Model では、デジタル署名を施したクレデンシャルの共通データ フォーマットとシンタックスを定義している。データをコンテナ化（署名付き暗号化）すること で、通信プロトコルに依存せずノード間で安全に検証可能なデータ通信ができる仕組みが構築で きる。 Source: https://www.infraexpert.com/study/tcpip1.html NodeX Features データ (VC)

22. CollaboGate Japan, Inc. 4. IoT向けの軽量E2EEメッセージングプロトコル (DIDComm on MQTT) IoT機器の場合、デバイスからデータをsimplexに非同期に最終目的地に届けたいニーズが存在する。またシステム構成により複数のTCP Connection

    Hopsを跨ぐことや、ノード間で利用される通信プロトコルが多岐にわたるなどのIoT特有の特徴が存在する。本実証では、NodeX AgentのDIDComm メッセージングプロトコルとMQTTを活用し、ノード間での検証可能なE2EE通信を実現している。またNodeX HUBとデバイスがセキュアな相互認証 チャネルを構築（HUB側でDIDとMQTT topic pathとのテーブルを保有）することで、プライベートネットワーク側のListening Portをインターネット 上に露出させない構成を実現、Port Scanning Attack などのセキュリティ脅威から防ぐことができる。 TCP Connection Application Data NodeX E2E Secure Channel Local Private Network 高度なデバイスの認証、 ポリシーベースのアクセス制御、 メッセージルーティング 安全なセキュリティ更新 検証可能な電子化文書 検証可能な電子化文書 HTTP Client HTTP-based API HTTP-based API Cloud Private Network HTTP Server Message Routing Node (DID, Topic Path) NodeX Agent NodeX Agent NodeX HUB 限りなく小さな攻撃サーフェイスを実現 NodeX Features

23. CollaboGate Japan, Inc. NodeX Features Local Private Network HTTP Client

    HTTP-based API NodeX Agent NodeX Official Documentation

24. CollaboGate Japan, Inc. NodeX Features Local Private Network HTTP Client

    HTTP-based API NodeX Agent

25. CollaboGate Japan, Inc. DIDComm Message Formats DIDComm Plaintext Message (.dcpm)

    DIDComm Encrypted Message (.dcem) Technology { "id" : "543db1d5-e921-4538-9c58-41a4782e03aa", "type" : "JWM", "from" : "did:unid:device", "to" : [ "did:unid:cloud" ], "typ" : "application/didcomm-plain+json", “body” : { verifiable credential }, “attachments” : [ { "data" : { "json" : "{\"location\":\"Jupiter\",\"serial\":\"SERIAL0000\",\"user\":\"USER0000\"}", "links" : [ "https://did.getunid.io" ] }, "format" : "metadata", "id" : "clegvat4u0000ehq3d78bh2md", "lastmod_time" : "2023-02-23 08:53:49.950270 UTC" } ] } { 　"ciphertext" : "1USvve5YjPq....", 　"iv" : "QXtoOcsCfTn408epoKXzuZrJ4saKaAGr", 　"protected" : "eyJ0eXAiOiJh....", 　"recipients" : [ 　　{ 　　　"encrypted_key" : "ehgyo813uvz4iRq50BLdESxiLQl0ak2tlpSwazajhsQ", 　　　"header" : { 　　　　"alg" : "ECDH-1PU+XC20PKW", 　　　　"epk" : { 　　　　　"crv" : "X25519", 　　　　　"kty" : "OKP", 　　　　　"x" : "-KUZm2DJNvSD5I-gSE_z6l1jmYefW70jNHjYg3Bum2Y" 　　　　}, 　　　　"iv" : "NnmvFYJ3ravTjFNcLD7HSLZOTnns8Ojf", 　　　　"key_ops" : [], 　　　　"kid" : "did:unid:cloud", 　　　　"tag" : "uDN-lHOT8zZMvyzaxSKE1w" 　　　} 　　} 　], 　"tag" : "6IbsAW9CenSDIZBWaeF2xw" } //base64 decode、”skid”が送信元デバイスのDIDに該当 //受信先クラウドのDIDに該当

26. CollaboGate Japan, Inc. 5. デバイスの高度な認証・認可 デバイスに「ユーザー名」や「パスワード」などを設定し、クラウド側でデバイスの認証・認可を行う手法と、公開鍵認証およびポリシーベースでの アクセス制御を行う選択肢が存在する。現在IoTセキュリティの国際標準規格においても、IoT機器のパスワード認証は推奨されない。NodeX Agentと HUBを活用し、公開鍵認証によるデバイスの認証に加えて、デバイスの真正性を担保できる事前認証の仕組み、およびProxy Serverでのポリシーによ

    るアクセス制御を行い、不正な振る舞いやトラフィックを早期に検知、対応、復旧する仕組みを検証した。 TCP Connection Application Data NodeX E2E Secure Channel Local Private Network 高度なデバイスの認証、 ポリシーベースのアクセス制御、 メッセージルーティング 安全なセキュリティ更新 検証可能な電子化文書 検証可能な電子化文書 HTTP Client HTTP-based API HTTP-based API Cloud Private Network HTTP Server Message Routing Node (DID, Topic Path) NodeX Agent NodeX Agent NodeX HUB 限りなく小さな攻撃サーフェイスを実現 NodeX Features

27. CollaboGate Japan, Inc. 今後の課題 NodeX Features † HTTP(S), MQTT(S), WebSocket,

    Bluetoothなどの通信プロトコル対P † TCP Connections Multi-hops 対P † Windows OS, RTOS(FreeRTOS, AzureRTOS, etc...), CPU 300MHz~ 対応

28. CollaboGate Japan, Inc. IoT device, Virtual Machine, Server に統合する汎用エージェントです。分散 型ID技術を活用しオープンソースでの開発を行っています。

    NodeX Agentとは？ 主にRust言語での開発を行っています。 開発言語＆環境は？ e Policy Management , Credential Management e Overlay Routing r Device Identification Authentication/ Authorization Enrollment e and Instance on UNiD Studio E2E Secure Socket TLS1.3 Handshake Protocol o Publish and Subscribe Queues Workers Cloud Add-Ons Extensions for various cloud through UNiD HUB Decentralized PKI Blockchain-agnostic layer 2 protocol to support a globally scalable, immutable append- only log with no central provider or authorities to be censorship and tamper proof. r Extensions for various TEEs, TPMs, HSMs, Secure Enclave Ar R N MT I + Data Processing Encryption, Hashing, Encoding r Extensions for various IoT transport protocols UNiD HUB API UNiD NETWORK r TCP UDP WebSocket Bluetooth HTTP T ZigBee - NBIoT Build your own AW G A K I + 高度なデバイス認証、メッセージルーティング、ポリシーベースのアクセス制 御、インベントリ管理を行うプロキシサーバーです。 NodeX HUBとは？ NodeX HUB (NodeJS, Container, K8s, Autoscale) 開発言語＆環境は？

29. CollaboGate Japan, Inc. Product NodeX プロダクト開発の魅力 まだ正解のないデータインフラのあるべき姿を01で設計し、自らの手で創れる人生に一度あるかないかの貴重な機会です。 インターネットをアップデートするだけでなく、目の前のお客様のデータインフラに関する技術課題を解決するチャレンジをしています。 01. まだ世の中にないもの

    DID, DIDCommなどの国際標準規格の策定段階から関わり（W3C、DIF）、オープンソースで開発を進めます。あなたのコミットが世界で参照されます。 02. OSS+国際標準化 数年後にはDIDエコシステムが成熟し、グローバルに広く普及していくことになります。今がまさに未来のデータインフラを01で設計・実装するタイミ ングであり、この先に生み出されるインパクトは計り知れません。 03. 最高のタイミング

30. CollaboGate Japan, Inc. 積極採用中 産業の革新を支える インフラ事業を一緒につくりませんか？ 採用特設サイト