Azure Percept セキュリティの概要Azure Percept security overview

Azure Percept デバイスはハードウェア Root of Trust (信頼の基点) に基づいて設計されています。Azure Percept devices are designed with a hardware root of trust. この組み込みセキュリティは、推論データと機密性の高いセンサー (カメラやマイクなど) との保護に役立つほか、Azure Percept Studio サービスでのデバイスの認証と認可を可能にします。This built-in security helps protect inference data and privacy-sensitive sensors like cameras and microphones and enables device authentication and authorization for Azure Percept Studio services.

注意

Azure Percept DK は、開発およびテスト環境での使用向けにライセンスされています。The Azure Percept DK is licensed for use in development and test environments only.

デバイスDevices

Azure Percept DKAzure Percept DK

Azure Percept DK にはトラステッド プラットフォーム モジュール (TPM) バージョン 2.0 が搭載されています。これを使用して、セキュリティが強化された Azure デバイス プロビジョニング サービス (DPS) にデバイスを接続できます。Azure Percept DK includes a Trusted Platform Module (TPM) version 2.0, which can be utilized to connect the device to Azure Device Provisioning Services (DPS) with additional security. TPM は、業界で広く採用されている Trusted Computing Group の ISO 標準です。TPM is an industry-wide, ISO standard from the Trusted Computing Group. TPM 2.0 の完全な詳細または ISO/IEC 11889 仕様については、Trusted Computing Group の Web サイトを参照してください。DPS でデバイスを安全にプロビジョニングする方法の詳細については、Azure IoT Hub Device Provisioning Service - TPM の構成証明に関するページを参照してください。Check out the Trusted Computing Group website for more information about the complete TPM 2.0 spec or the ISO/IEC 11889 spec. For more information on how DPS can provision devices in a secure manner, see Azure IoT Hub Device Provisioning Service - TPM Attestation.

Azure Percept システム オン モジュール (SoM)Azure Percept system-on-modules (SoMs)

Azure Percept Vision システム オン モジュール (SoM) と Azure Percept Audio SoM のどちらにも、埋め込み AI センサーへのアクセスを保護するためのマイクロコントローラー ユニット (MCU) が搭載されています。The Azure Percept Vision system-on-module (SoM) and the Azure Percept Audio SoM both include a microcontroller unit (MCU) for protecting access to the embedded AI sensors. ブートのたびに、MCU ファームウェアによって Azure Percept Studio サービスに対する AI アクセレータの認証と承認が行われます。その際、デバイス識別子コンポジション エンジン (DICE) アーキテクチャが使用されます。At every boot, the MCU firmware authenticates and authorizes the AI accelerator with Azure Percept Studio services using the Device Identifier Composition Engine (DICE) architecture. DICE は、ブートをレイヤーに分割し、レイヤーおよび構成ごとに一意のデバイス シークレット (UDS) を作成することによって動作します。DICE works by breaking up boot into layers and creating Unique Device Secrets (UDS) for each layer and configuration. チェーン内のいずれかの時点で異なるコードまたは構成がブートされると、シークレットが異なります。If different code or configuration is booted at any point in the chain, the secrets will be different. DICE の詳細については、DICE ワークグループの仕様を参照してください。Azure Percept Studio と必須サービスへのアクセスを構成するには、Azure Percept DK のファイアウォールの構成に関する記事を参照してください。You can read more about DICE at the DICE workgroup spec. For configuring access to Azure Percept Studio and required services see the article on configuring firewalls for Azure Percept DK.

Azure Percept デバイスでは、ハードウェア Root of Trust (信頼の基点) を使用してファームウェアが保護されます。Azure Percept devices use the hardware root of trust to secure firmware. ブート ROM によって ROM とオペレーティング システム (OS) 読み込みプログラムの間でファームウェアの整合性が確保されます。それにより、その他のソフトウェア コンポーネントの整合性が確保され、信頼チェーンが実現します。The boot ROM ensures integrity of firmware between ROM and operating system (OS) loader, which in turn ensures integrity of the other software components, creating a chain of trust.

サービスServices

IoT EdgeIoT Edge

Azure Percept DK では、トランスポート層セキュリティ (TLS) プロトコルを使用して、セキュリティが強化された Azure Percept Studio と、その他の Azure サービスに接続します。Azure Percept DK connects to Azure Percept Studio with additional security and other Azure services utilizing Transport Layer Security (TLS) protocol. Azure Percept DK は Azure IoT Edge に対応したデバイスです。Azure Percept DK is an Azure IoT Edge-enabled device. IoT Edge ランタイムは、デバイスを IoT Edge デバイスに変えるプログラムのコレクションです。IoT Edge runtime is a collection of programs that turn a device into an IoT Edge device. これらの IoT Edge ランタイム コンポーネントを使用することにより、IoT Edge デバイスは、エッジで実行するコードを受信し、結果を通信できます。Collectively, the IoT Edge runtime components enable IoT Edge devices to receive code to run at the edge and communicate the results. Azure Percept DK では、Docker コンテナーを利用してホスト オペレーティング システムとエッジ対応アプリケーションから IoT Edge ワークロードを分離します。Azure Percept DK utilizes Docker containers for isolating IoT Edge workloads from the host operating system and edge-enabled applications. Azure IoT Edge セキュリティ フレームワークについて詳しくは、IoT Edge セキュリティ マネージャーに関する記事をご覧ください。For more information about the Azure IoT Edge security framework, read about the IoT Edge security manager.

Device Update for IoT HubDevice Update for IoT Hub

Device Update for IoT Hub を使用すると、Azure Percept デバイスでの再生可能なセキュリティを実現する無線更新をさらに安全、スケーラブル、確実に行うことができます。Device Update for IoT Hub enables more secure, scalable, and reliable over-the-air updating that brings renewable security to Azure Percept devices. 分析情報を通じて豊富な管理コントロールを実施し、更新プログラムのコンプライアンスを確保できます。It provides rich management controls and update compliance through insights. Azure Percept DK にはデバイス更新ソリューションがあらかじめ統合されていて、回復性がある方法でファームウェアから OS のレイヤーに更新 (A/B) できます。Azure Percept DK includes a pre-integrated device update solution providing resilient update (A/B) from firmware to OS layers.

次のステップNext steps