M2MコミュニケーションにおけるDID/DIDCommの実装と技術優位性 @DIF Japan Monthly Call #2

M2MコミュニケーションにおけるDID/DIDCommの実装と技術優位性
三井正義（CollaboGate）

DIF JAPAN MONTHLY CALL #2

2023-02-24
CollaboGate Japan, Inc.

View Slide

Agenda
aS 会社のご紹5
FS なぜIoT/M2Mに注目しているのか)
(S M2MCommにおけるDID/DIDCommの実装と技術優位性

View Slide

01. 会社のご紹介

View Slide

会社名 CollaboGate Japan 株式会社
設立 2019年5月7日
オフィス
〒105-6415 東京都港区虎ノ門 1-17-1 
虎ノ門ヒルズビジネスタワー 15階
事業 IoTデータセキュリティプラットフォーム事業
代表者三井正義
About CG
データインフラの革新に挑戦する、サイバーセキュリティスタートアップ
参画投資家
過去の支援・共同プロジェクト・パートナーシップ実績抜粋

View Slide

Simplify data infrastructure,

transform industries
データインフラをシンプルにし、産業の変革を支える
Mission
CGが果たす使命

View Slide

View Slide

国プロ Trusted Web: MFPにNodeXを統合、オフィス業務のデジタル化を推進
Case
東芝テック社のデジタル複合機とクラウドストレージをつなぐデータイ
ンフラを提供。財務書類などの監査証跡の担保が求められるオフィス業
務のデジタル化を実現。

View Slide

02. なぜIoT/M2MCommに注目しているのか？

View Slide

IoTがMobileを超える
300億台突破
IoTソリューション市場は大きなポテンシャルがあり需要は急増し続ける
2,750億台
総務省情報通信白書データ集令和4年 IoTデバイス
7.1bn

4.6bn

1.7bn
Mobile - 13.5bn
2025
PC - 2.1bn
IoTデバイスの急速な普及 IoTは今後のインターネットの中心に
モバイルシフトを遥かに超えるIoTシフトの波
PC Mobile IoT
Market

View Slide

Market
各産業でIoTデータを活用したDXニーズ

多様で信頼性の高いデータに誰もが簡単にアクセスできる仕組みを作りたい
お客様
A P I A P I A P I
ソリューションパートナービジネスパートナー
マイクロサービスマイクロサービスマイクロサービス
他社のデバイスを含めた拡大
安全で拡張性の高いデータインフラ
データプラットフォーム

View Slide

脅威の多様化と常態化によりIoTデータセキュリティの要求が変化
Market Issue
重要性を認識

対処療法の時代
重要性が低い

対策なし
脅威の常態化

保護の時代

View Slide

製品ごとのテーラーメイドな自社インフラ構築の限界
1. PF構想・設計段階 2. PF立ち上げ期 3. PFグロース期
Customer Pain
経営リスク
接続台数
10機種

数百万台
1機種

数十万台
製品ごと

インフラ構築コスト
インフラ構築＋運用コスト

が積み重なる
100機種

数千万台

View Slide

極めて複雑なIoTデータインフラ構築の課題
Customer Pain
ハードウェアセキュリティモジュー
ルでデバイス暗号鍵を保護し、信頼
の起点を担保する仕組み
暗号鍵管理
デバイス証明書の作成、製造段階で
のインジェクション、市場投入後の
証明書管理の仕組み
プロビジョニング
不正アクセス
デジタル署名に基づく相互認証、デ
バイスの真正性担保、動的なアクセ
ス制御の仕組み
認証・認可
なりすまし
多種多様な伝送方法ごとの検証可能
な暗号化通信の仕組み
コネクティビティ
データ漏洩・改竄
暗号鍵・証明書・ポリシーなど長期
でのインフラ運用管理の仕組み
インフラ運用
脆弱性放置
検討すべきデータインフラ構成要素
物理・論理攻撃
組込み・ネットワーク・データ・クラウドまで多岐にわたる専門性が求められる

View Slide

インフラ領域においても、国内外でパートナーシップがマスト戦略に
自社インフラ構築には限界がある

すでに多くの企業がデータインフラ構築にパートナーを選択
“作る”から”使う”へ＝専門サービスの併用により人的リソース確保と集中

”個社”から”複数社”へ=知恵を集めてサービスの進化の恩恵を享受
Customer Pain
PCなどWebアクセス・リモートアクセスの

セキュリティを一元提供するセキュリティプラットフォーム
複数のアプリやサービスをつなぐSSO認証プラットフォーム
クラウド提供されるDWHサービス。

各社が持つデータを利用できるマーケットプレイスも提供

View Slide

IoT事業成長を支えるデータインフラソリューション
ノード・クロス
IoT Device IoT Device IoT Device
SaaS Public Cloud Data Center
あらゆるデバイス、あらゆる場所からの検証可能なデータ流通をセキュアに実現
デバイスなりすまし防止、高度な認証・認可、暗号化データのルーティング
AGENT
AGENT
NodeX HUB LONDON
LONDON
SF TOKYO PARIS
AGENT
AGENT AGENT AGENT

View Slide

03. M2MCommにおけるDID/DIDCommの実装と技術優位性

View Slide

達成したいこと
Technology
正確に送信元を検証し、トランスポートとルートに依存せず、データの完全性を保証しながら、許可された受信者以外からは内容
を隠し、その受信者にデータを届けたい。
プロビジョニングを自動化したい
RoTを確立したい
トランスポートとルートに依存せず、検証可能なデータをE2EE通信したい
Listening Portを露出させたくない
公開鍵認証＋ポリシーベースのアクセス制御
デバイスの真正性を保証したい

View Slide

DID/DID Documents/Sidetreeについて
Technology
NodeX AGENT
IAM, Encryption, Signature,
Key Management with RoT
OS
DIDComm on MQTT
NodeX Network (Sidetree Protocol atop of DLT)
OS
IPC
|w Device
DIDs Operations

(create, update, resolve, revoke)
Application
DIDs Operations

2. Control Plane 3. Cloud
NodeX HUB
Message Routing, 
Dynamic Access Control
OS
IPC
Application
NodeX AGENT
IAM, Encryption, Signature,
Key Management with RoT
DIDComm on MQTT
#
DIDs Operations

AuthCrypt Data AuthCrypt Data

View Slide

$A DID/Sidetreeによるプロビジョニングの自動化
認証局から公開鍵証明書を取り寄せこれを各デバイスに挿入する方法と、今回提案するDID Registryに識別子と公開鍵情報を登録する方法が
ある。大量デバイスを扱うIoTシステムの場合、後者のアプローチがセキュリティとコストの観点において優れている。NodeX AgentのDID
Methodを活用し、Bitcoin上に構築するSidetree Nodeを経由して、DID Operationを実現する。これにより、従来手法と比べて大幅なコス
ト削減およびプロセスの脆弱性を排除を実現できる。
2. 公開鍵登録
3. DIDとDID Document生成
$A 鍵ペア生成
4. DID取得
6. DIDから公開鍵を取得
5. 分散型IDを送信
Sidetree as DPKI
CG社の提供するDIDエージェント
クラウド 
（通信相手）
CG社の自動化プロビジョニング
2. 証明書署名要求(CSR) 3. 証明書取得
証明書に署名するCAか確認
6. 証明書を検証+共通鍵生成
7. 共通鍵を秘密鍵で復号し、暗号化通信を開始
5. 証明書を送信
7. 暗号化して共通鍵を送付
作業者
$A 鍵ペア・CSR生成
製造工場
認証局CA
クラウド 
（通信相手）
4. 秘密鍵+証明書挿入
従来のプロビジョニング
NodeX Features

View Slide

NodeX Features
2. DIDとルートオブトラスト確立（暗号鍵管理）
デバイスのルートオブトラスト確立には、各種CPUやOS
がサポートするRoTモジュール（例えばArm TrustZone
やTPMチップなど）を利用する。

NodeX AgentのRoT Extensions機能と、Linux OS
TPM2.0機能を活用し、CPUが生成する真正乱数から複
数の暗号鍵ペアを生成し、生成した秘密鍵をTPM2.0で
安全に保管する。

DIDとRoT Extensionsで、デバイス識別子＆暗号鍵管理
を汎用的に実装できる。NodeX AgentのExtensionsを活
用することで、LinuxOSで稼動するリテールや医療機器
などのIoTデバイスのルートオブトラスト確立も同様に
実現できる。
TPM2.0
TPM デバイスドライバ
Linux Kernel
TSS (TCG Software Stack)
CG社 Agent
IoT Application
RoT Extensions (Agent)
カーネル
ミドルウェア
アプリケーション
内部または外部バス

View Slide

3. DIDComm + 検証可能なデータ
IoT機器で生成するデータの検証可能範囲を拡大し、信頼できるデータとして自由に流通させることができる。アプリからNodeX AGENTに、操作する
ユーザー名などのメタデータを渡すことで、「いつ・誰が・どのデバイスから」といったデータ検証が可能になり、より信頼性の高いデータ流通を実
現することができる。
DID/VCによる検証可能なデータ流通

Verifiable Credential Data Model では、デジタル署名を施したクレデンシャルの共通データ
フォーマットとシンタックスを定義している。データをコンテナ化（署名付き暗号化）すること
で、通信プロトコルに依存せずノード間で安全に検証可能なデータ通信ができる仕組みが構築で
きる。
Source: https://www.infraexpert.com/study/tcpip1.html
NodeX Features
データ (VC)

View Slide

4. IoT向けの軽量E2EEメッセージングプロトコル (DIDComm on MQTT)
IoT機器の場合、デバイスからデータをsimplexに非同期に最終目的地に届けたいニーズが存在する。またシステム構成により複数のTCP Connection
Hopsを跨ぐことや、ノード間で利用される通信プロトコルが多岐にわたるなどのIoT特有の特徴が存在する。本実証では、NodeX AgentのDIDComm
メッセージングプロトコルとMQTTを活用し、ノード間での検証可能なE2EE通信を実現している。またNodeX HUBとデバイスがセキュアな相互認証
チャネルを構築（HUB側でDIDとMQTT topic pathとのテーブルを保有）することで、プライベートネットワーク側のListening Portをインターネット
上に露出させない構成を実現、Port Scanning Attack などのセキュリティ脅威から防ぐことができる。
TCP Connection
Application Data NodeX E2E Secure Channel
Local Private Network
高度なデバイスの認証、

ポリシーベースのアクセス制御、
メッセージルーティング
安全なセキュリティ更新
検証可能な電子化文書検証可能な電子化文書
HTTP Client
HTTP-based API HTTP-based API
Cloud Private Network
HTTP Server
Message Routing Node

(DID, Topic Path)
NodeX Agent
NodeX Agent
NodeX HUB
限りなく小さな攻撃サーフェイスを実現
NodeX Features

View Slide

NodeX Features
HTTP Client
HTTP-based API
NodeX Agent
NodeX Official Documentation

View Slide

NodeX Features
HTTP Client
HTTP-based API
NodeX Agent

View Slide

DIDComm Message Formats
DIDComm Plaintext Message (.dcpm) DIDComm Encrypted Message (.dcem)
Technology
{

"id" : "543db1d5-e921-4538-9c58-41a4782e03aa",

"type" : "JWM",

"from" : "did:unid:device",

"to" : [ "did:unid:cloud" ],

"typ" : "application/didcomm-plain+json",

“body” : { verifiable credential },

“attachments” : [

{

"data" : {

"json" : "{\"location\":\"Jupiter\",\"serial\":\"SERIAL0000\",\"user\":\"USER0000\"}",

"links" : [ "https://did.getunid.io" ]

},

"format" : "metadata",

"id" : "clegvat4u0000ehq3d78bh2md",

"lastmod_time" : "2023-02-23 08:53:49.950270 UTC"

}

]

}
{

　"ciphertext" : "1USvve5YjPq....",

　"iv" : "QXtoOcsCfTn408epoKXzuZrJ4saKaAGr",

　"protected" : "eyJ0eXAiOiJh....",
　"recipients" : [

　　{

　　　"encrypted_key" : "ehgyo813uvz4iRq50BLdESxiLQl0ak2tlpSwazajhsQ",

　　　"header" : {

　　　　"alg" : "ECDH-1PU+XC20PKW",

　　　　"epk" : {

　　　　　"crv" : "X25519",

　　　　　"kty" : "OKP",

　　　　　"x" : "-KUZm2DJNvSD5I-gSE_z6l1jmYefW70jNHjYg3Bum2Y"

　　　　},

　　　　"iv" : "NnmvFYJ3ravTjFNcLD7HSLZOTnns8Ojf",

　　　　"key_ops" : [],

　　　　"kid" : "did:unid:cloud",
　　　　"tag" : "uDN-lHOT8zZMvyzaxSKE1w"

　　　}

　　}

　],

　"tag" : "6IbsAW9CenSDIZBWaeF2xw"

}
//base64 decode、”skid”が送信元デバイスのDIDに該当

//受信先クラウドのDIDに該当

View Slide

5. デバイスの高度な認証・認可
デバイスに「ユーザー名」や「パスワード」などを設定し、クラウド側でデバイスの認証・認可を行う手法と、公開鍵認証およびポリシーベースでの
アクセス制御を行う選択肢が存在する。現在IoTセキュリティの国際標準規格においても、IoT機器のパスワード認証は推奨されない。NodeX Agentと
HUBを活用し、公開鍵認証によるデバイスの認証に加えて、デバイスの真正性を担保できる事前認証の仕組み、およびProxy Serverでのポリシーによ
るアクセス制御を行い、不正な振る舞いやトラフィックを早期に検知、対応、復旧する仕組みを検証した。
TCP Connection
Application Data NodeX E2E Secure Channel
高度なデバイスの認証、

ポリシーベースのアクセス制御、
メッセージルーティング
安全なセキュリティ更新
検証可能な電子化文書検証可能な電子化文書
HTTP Client
HTTP-based API HTTP-based API
Cloud Private Network
HTTP Server
Message Routing Node

(DID, Topic Path)
NodeX Agent
NodeX Agent
NodeX HUB
限りなく小さな攻撃サーフェイスを実現
NodeX Features

View Slide

今後の課題
NodeX Features
HTTP(S), MQTT(S), WebSocket, Bluetoothなどの通信プロトコル対P
TCP Connections Multi-hops 対P
Windows OS, RTOS(FreeRTOS, AzureRTOS, etc...), CPU 300MHz~ 対応

View Slide

IoT device, Virtual Machine, Server に統合する汎用エージェントです。分散
型ID技術を活用しオープンソースでの開発を行っています。
NodeX Agentとは？
主にRust言語での開発を行っています。
開発言語＆環境は？
e
Policy Management
,
Credential Management
e
Overlay Routing
r
Device Identiﬁcation
Authentication/
Authorization
Enrollment
e
and Instance on UNiD Studio
E2E Secure Socket
TLS1.3 Handshake Protocol
o
Publish and Subscribe
Queues Workers
Cloud Add-Ons
Extensions for various cloud
through UNiD HUB
Decentralized PKI
Blockchain-agnostic layer 2
protocol to support a globally
scalable, immutable append-
only log with no central
provider or authorities to be
censorship and tamper proof.
r
Extensions for various TEEs,
TPMs, HSMs, Secure Enclave
Ar
R
N
MT
I
+
Data Processing
Encryption, Hashing, Encoding
r
Extensions for various IoT
transport protocols
UNiD HUB API
UNiD NETWORK
r
TCP UDP WebSocket Bluetooth HTTP
T ZigBee - NBIoT Build your own
AW
G
A
K
I
+
高度なデバイス認証、メッセージルーティング、ポリシーベースのアクセス制
御、インベントリ管理を行うプロキシサーバーです。
NodeX HUBとは？
NodeX HUB (NodeJS, Container, K8s, Autoscale)
開発言語＆環境は？

View Slide

Product
NodeX プロダクト開発の魅力
まだ正解のないデータインフラのあるべき姿を01で設計し、自らの手で創れる人生に一度あるかないかの貴重な機会です。

インターネットをアップデートするだけでなく、目の前のお客様のデータインフラに関する技術課題を解決するチャレンジをしています。
01. まだ世の中にないもの
DID, DIDCommなどの国際標準規格の策定段階から関わり（W3C、DIF）、オープンソースで開発を進めます。あなたのコミットが世界で参照されます。
02. OSS+国際標準化
数年後にはDIDエコシステムが成熟し、グローバルに広く普及していくことになります。今がまさに未来のデータインフラを01で設計・実装するタイミ
ングであり、この先に生み出されるインパクトは計り知れません。
03. 最高のタイミング

View Slide

積極採用中

産業の革新を支える

インフラ事業を一緒につくりませんか？

採用特設サイト

View Slide

M2MコミュニケーションにおけるDID/DIDCommの実装と技術優位性 @DIF Japan Monthly Call #2

M2MコミュニケーションにおけるDID/DIDCommの実装と技術優位性 @DIF Japan Monthly Call #2

Masayoshi Mitsui

More Decks by Masayoshi Mitsui

Other Decks in Technology

Featured

Transcript