SAS認証とは?eSIMのセキュリティを支えるGSMA監査制度(SAS-UP・SAS-SM)を解説

こんにちは、コモン・クリエーションでIoT・SIMエンジニアリングサービスの事業責任者をしている山本です。本記事では、eSIMエコシステムのセキュリティを下支えするGSMAのSAS(Security Accreditation Scheme)について解説します。
はじめに
eSIMは、ネットワーク認証鍵や契約情報という、漏えいすれば即座に不正利用につながるセンシティブなデータを扱います。eSIMの調達やeSIM基盤の委託先を検討していると、「その事業者は本当に安全にデータを扱える現場を持っているのか」という疑問に必ず突き当たります。この「現場の安全性」を第三者が審査する仕組みが、GSMAのSASです。
SASは「製品そのものの機能評価」ではなく、現場(サイト)のセキュリティ監査である点がポイントです。製造工場やデータセンターが、適切な管理下で運用されていることを認定します。いくら暗号仕様が強固でも、鍵を生成する工場や保管するデータセンターの運用がずさんであれば情報は漏れます。仕様の正しさと現場運用の正しさは別問題であり、SASは後者を担保する制度です。
2つのSAS
SASには、対象とする現場に応じて2つのスキームがあります。
スキーム | 正式名 | 対象 | 規格文書 |
|---|---|---|---|
SAS-UP | SAS for UICC Production | eUICC(SIM)の生産現場 | GSMA FS.04 |
SAS-SM | SAS for Subscription Manager Roles | SM-DP+・SM-DSなどのサービス現場 | GSMA FS.08 |
SAS-UPはSIMそのものを作る工場を、SAS-SMはeSIMを配信・管理するサーバー運用の拠点を対象にします。監査の視点も、準拠する標準文書(FS.04とFS.08)も異なります。
どの製品に何が必要か
GSMA SGP.24(RSP Compliance Process)では、製品タイプごとに必要なSASの区分と審査範囲が整理されています。
製品 | 必要なSAS | 主なスコープ |
|---|---|---|
SAS-UP | PKI証明書の管理、個人化データの生成、個人化 | |
SAS-SM | データセンター運用・管理、Data Preparation+ | |
SM-DS | SAS-SM | データセンター運用・管理、Discovery Service |

eUICCを作る側はSAS-UP、プロファイルを配信・管理するサーバーを運用する側はSAS-SM、と役割ごとに求められる認定が決まっているのがポイントです。
なぜSASが重要なのか
SASが単なる「あれば望ましい認証」でない理由は、eSIMのPKIと直結している点にあります。
eSIMの信頼は、GSMA CI(Certificate Issuer)を頂点とするX.509 PKI証明書に支えられています。eUICCもSM-DP+も、このCIを起点とする証明書チェーンで身元を証明し合うことで、はじめて安全にプロファイルをやりとりできます。そして、この証明書を発行してもらうための前提条件がSAS認証です。SGP.24では、SASを含むeSIMコンプライアンスが、eUICCメーカーやサブスクリプション管理事業者へのPKI証明書発行の要件とされています。
つまり、SASがなければGSMA CIの証明書をもらえず、証明書がなければeUICCやSM-DP+としてRSPエコシステムに参加できません。SASはRSPエコシステム参加のパスポートに相当します。
維持と失効
SASは一度取れば終わりではなく、現場を使い続ける限り定期的なサイトセキュリティ監査の更新が必要です。もしSAS-UPやSAS-SMが失効すれば、そのサイトを使うeSIM製品のコンプライアンスにも影響が及び、証明書の発行資格を失うおそれがあります。なお、eUICCの機能認証・セキュリティ認証(Common Criteriaなど)とSASは別の枠組みで、それぞれ独立に管理されます。前者は製品そのものの評価、後者は製品を扱う現場の評価、という住み分けです。
認定サイトの確認
ある事業者がSAS認証を保持しているかどうかは、GSMAが公開しているSAS Accredited Sites(認定サイト一覧)で確認できます。SAS-UP(UICC生産)の認定サイトと、SAS-SM(サブスクリプション管理)の認定サービス拠点・クラウドリージョンが、それぞれ企業名・サイト単位で一覧化されています。
eUICCの調達先や、SM-DP+・SM-DSの委託先を選ぶ際は、まずこのページで該当サイトが現時点で有効な認定を持っているかを確認するのが、実務上の出発点になります。
まとめ
SASは、eSIMエコシステムの現場のセキュリティを第三者が監査するGSMAの認定スキーム。
eUICCの生産はSAS-UP(FS.04)、SM-DP+・SM-DSなどのサービスはSAS-SM(FS.08)。
SASはX.509 PKI証明書発行の前提条件であり、RSPエコシステムへの参加パスポートにあたる。
認定は定期更新が必要で、失効すれば製品のコンプライアンスにも波及する。
参考規格
GSMA FS.04「Security Accreditation Scheme for UICC Production – Standard (SAS-UP)」
GSMA FS.08「GSMA SAS Standard for Subscription Manager Roles (SAS-SM)」
GSMA SGP.24「RSP Compliance Process」
GSMA SGP.25「eUICC for Consumer Devices Protection Profile」
おわりに
弊社では「LibeSIM」として、SM-DP+ や MVNO 回線、eIM(eSIM IoT Remote Manager)、eUICC、IPA/LPA のご提供を行っております。ご興味がございましたら、デモや PoC 等行っておりますので、ぜひお問い合わせください。

山本 真基
コモン・クリエーション株式会社
執行役員 LibeSIM事業責任者
当社にて、eSIM Tech Partner「LibeSIM」の立ち上げ・事業推進を主導。SM-DP+・eIM・MVNOをワンストップで提供し、eSIMの運用に必要なすべてをオープンに選択できる環境の実現を目指す。国内唯一のeIMプロバイダーとして、SGP.32時代のIoT接続管理の最前線に立つ。
