メインメニュー

検索
購読する

  • 製品セキュリテ

セキュリティ

Espressif では、製品のセキュリティを常に最優先事項としています。進化し続けるセキュリティ脅威に対応するため、自社開発のソフトウェアおよびハードウェア革新技術を活かし、継続的な技術強化に取り組んでいます。製品開発のあらゆる段階において堅牢なセキュリティ機構を組み込むことで、IoT ソリューションの安全性・安定性・高効率性を確保しています。

  • ハードウェアセキュリティ
  • ネットワークセキュリティ
  • デバイスセキュリティ
  • 信頼された実行
  • セキュア製造プロセス
  • ライフサイクルセキュリティ

最先端のハードウェアセキュリティ

Espressif の SoC は、Xtensa® および RISC-V コアを搭載し、各デバイスに信頼できる基盤を提供する複数の先進的なセキュリティ機能を統合しています。 プラットフォームは、セキュアブート、外部ストレージ暗号化、デジタル署名用ペリフェラル、暗号アクセラレータ、メモリ保護およびハードウェア分離をサポートし、物理攻撃やリモート攻撃を効果的に防御します。 これらの機能は、業界標準の暗号アルゴリズムに基づいて構築されており、厳格なコンプライアンスおよび信頼性要件の達成を支援します。

すべての無線プロトコルにおけるセキュア通信

Espressif の SDK は、Wi-Fi、Bluetooth、Thread において暗号化および認証通信を実現します。 トランスポート層セキュリティ (TLS) や安全なプロビジョニング機構をサポートすることで、デバイスはクラウドサービスや他のネットワークノードと安全に通信できます。この包括的なネットワークセキュリティモデルは、盗聴、なりすまし、データ改ざんといった攻撃を効果的に防ぎ、すべての対応プロトコルにわたり通信を保護します。

デバイスセキュリティ

Espressif は、デバイスのライフサイクル全体を通じてセキュリティを確保するための、完全なソフトウェアコンポーネントを提供します。これには、安全な OTA アップデート、安全なネットワークプロビジョニング、暗号化ストレージ、セキュアコントロール API などが含まれます。これらの機能は ESP-IDF と緊密に統合されており、接続製品のセキュリティ確保、認証・コンプライアンス取得、ゼロトラストアーキテクチャ導入までの開発プロセスを大幅に簡素化します。

ESP-TEE: 信頼できる実行環境

Espressif が RISC-V アーキテクチャ向けに独自サポートする信頼実行環境 (ESP-TEE は、暗号処理、鍵管理、セキュア API などの重要な操作を、ハードウェアによって隔離された独立領域で実行します。これにより、これらの処理はメインアプリケーションから完全に分離され、アプリケーションレベルのコードが侵害された場合でも、機密性の高いタスクは保護され、安全設計を前提とした AIoT 製品の開発に堅牢な基盤を提供します。

顧客鍵による信頼できる工場プロビジョニング

Espressif は、安全な製造フローを提供し、各デバイスに固有の暗号化 ID を付与することで、主要な IoT クラウドプラットフォームへの証明書ベースのシームレスなオンボーディングを実現します。

お客様は、Espressif が署名済みの X.509 証明書をインジェクトする CA ベースのプロビジョニング方式、または HSM やセキュアトークンなどのセキュアハードウェアを用いてデバイス証明書を生成・署名する 自主管理型プロビジョニング方式 のいずれかを選択できます。署名済み証明書は、秘密鍵を露出させることなく安全に Espressif へ転送され、フラッシュ書き込みが行われます。

この柔軟な方式により、お客様は ルート・オブ・トラスト を完全に管理しつつ、Espressif の 安全かつ高効率な大規模製造インフラを最大限に活用できます。

製品セキュリティライフサイクル

Espressif は、SBOM (ソフトウェア部品表) の生成、脆弱性分析、CVEの追跡といったツールやプロセスを通じて、製品の長期的なセキュリティ確保を支援しています。報告されたセキュリティ課題に迅速に対応するため、専任のインシデント対応プロセスも整備されています。これらの仕組みにより、製品開発企業は製品ライフサイクル全体にわたって堅牢なセキュリティ体制を維持しつつ、進化するグローバルなセキュリティ規制への継続的な準拠が可能となります。

業界標準への準拠

Espressif の MCU (Xtensa® および RISC -V アーキテクチャに基づく) および各種ソリューションは、世界的に認知されている複数のセキュリティ認証および規制への準拠に関して、正式な認証を取得しています。

セキュリティ関連ニュースと技術ドキュメント

セキュリティ関連ブログ

開発者ポータルでは、Espressif チップの最新のセキュリティ機能、ESP-IDFにおけるセキュリティフレームワーク、およびセキュリティ認証に関する知識をご覧いただけます。

もっと詳しく >

セキュリティ入門ガイド

本ガイドでは、プラットフォームセキュリティ、ネットワークセキュリティ、製品セキュリティ、セキュリティポリシーを含む、Espressif の各種ソリューションにおける包括的なセキュリティ機能の概要を紹介します。

もっと詳しく >

ESP32 セキュリティバグ報奨金プログラム

プログラム概要

進化し続けるセキュリティ環境により適切に対応し、最適化されたセキュリティ対応プロセスと連携するため、Espressif Security Bug Bounty Program を更新し、2026 年 5 月 20 日より正式に有効とします。本プログラムは、製品セキュリティへの継続的な取り組みと、グローバルなセキュリティ研究コミュニティへの深い感謝を示すものです。

  • 報奨金: バグ報奨金は通常、深刻度および影響範囲に応じて 200 米ドルから 3,600 米ドル の範囲で支払われます。最終的な報奨金額は Espressif の裁量により決定されます。
  • 受領確認: Espressif は、報告の受領後 7 営業日以内を目安に確認を行い、提出された問題に対する追跡番号(Tracking ID)を発行します。
  • 対応スケジュール: ESIRP に基づき、評価は約 4 週間、修正対応は約 8 週間、公開開示は報告から約 12 週間を目安とします。実際の期間は、問題の深刻度や複雑さによって変動する場合があります。
  • 開示ポリシー: Espressif は、協調的な脆弱性開示プロセス(約 90 日)に従います。報告者は、Espressif がセキュリティアドバイザリや修正を公開する前に、当該内容を公に開示しないことに同意するものとします。
  • セーフハーバー: 本プログラムの条件を遵守し、協調的な開示プロセスに従って誠実に脆弱性を報告するセキュリティ研究者に対して、Espressif は法的措置を講じません。
  • 対象外: 第三者ライブラリの脆弱性、Espressif が運営していない第三者サービスの問題、サンプルコードにのみ存在する問題(同一の問題が正式な SDK に存在する場合を除く)、およびソフトウェアの提供期間を超えた問題は対象外です。

セキュリティ脆弱性の報告方法

以下のフォームをダウンロードし、必要事項を記入してください。
Espressif_Security_Vulnerability_Report_Form_v1.1.pdf

記入済みのフォームに加え、技術分析資料、ログ、または Proof of Concept(PoC)を添付し、以下のメールアドレスへ送付してください。

注意事項: 不完全、不明確、または虚偽の報告は受理されません。再現・確認の過程で、Espressif から追加の説明や証拠の提出をお願いする場合があります。本プログラムの有効性を確保するため、Espressif に事前通知なく問題を公開しないでください。また、Espressif が修正パッチまたはセキュリティアドバイザリを正式に公開するまで、すべての脆弱性情報は厳格に機密として扱う必要があります。

報奨金の支払い

報奨金は通常、銀行振込により支払われます。

受領者は、適用される税金および所在地の法令・規制の遵守について責任を負うものとします。

権利の留保

Espressif は、バグ報告の有効性を判断する権利を留保します。Espressif によるすべての判断は最終的かつ拘束力を有します。

皆さまのご参加をお待ちしております。

キュリティインシデント対応プロセス

Espressif は、自社の製品およびソフトウェアソリューションのセキュリティ確保に全力で取り組んでいます。セキュリティインシデントは常に発生し得る脅威であると認識しており、れに対して迅速かつ効果的に対応し、必要な緩和策を講じることを重視しています。 本ドキュメントでは、Espressif のハードウェア製品およびソフトウェアソリューションにおけるセキュリティインシデントの対応プロセスについて説明します。本プロセスは、業界のベストプラクティスに準拠するとともに 、定期的な見直しと継続的な改善を行っています。

ダウンロード

最新のセキュリティ公告をご確認ください Security Advisories