JAWS-UG IoT 専門支部 | 現場に置かれた IoT デバイスのセキュリティをどうするの? SORACOM で実現する IoT のエンドツーエンド・セキュリティ
•
1 like•445 views
JAWS-UG IoT 専門支部 現場に置かれた IoT デバイスのセキュリティをどうするの? SORACOM で実現する IoT のエンドツーエンド・セキュリティ 株式会社ソラコム テクノロジー・エバンジェリスト 松下享平
Recommended
Recommended
More Related Content
What's hot
What's hot (18)
Similar to JAWS-UG IoT 専門支部 | 現場に置かれた IoT デバイスのセキュリティをどうするの? SORACOM で実現する IoT のエンドツーエンド・セキュリティ
Similar to JAWS-UG IoT 専門支部 | 現場に置かれた IoT デバイスのセキュリティをどうするの? SORACOM で実現する IoT のエンドツーエンド・セキュリティ (20)
More from SORACOM,INC
More from SORACOM,INC (20)
Recently uploaded
Recently uploaded (10)
JAWS-UG IoT 専門支部 | 現場に置かれた IoT デバイスのセキュリティをどうするの? SORACOM で実現する IoT のエンドツーエンド・セキュリティ
- 1. 現場に置かれた IoT デバイスの セキュリティをどうするの? ― SORACOM で実現する IoT のエンドツーエンド・セキュリティ ― JAWS-UG IoT 専門支部 2018-09 「IoT セキュリティ」 Sep. 11, 2018 / AWS (アルコタワー 19F) 株式会社ソラコム テクノロジー・エバンジェリスト 松下 享平 (max)
- 2. 自己紹介 株式会社ソラコム / テクノロジー・エバンジェリスト 松下 享平 (まつした こうへい) “max” 静岡県民 🗻 新幹線通勤族 🚅 前職: 東証二部ハードウェア・メーカーで IoT事業のコーディネート 好きな AWS サービス • AWS IoT Core • AWS Greengrass Facebook, Twitter: ma2shita
- 4. 今日紹介する事、しないこと する事 • "不正利用" を防ぐためには • IoT デバイス内の 「価値ある情報」とは • デバイス上の情報保護方法 や実装 • SORACOM の IoT デバイスに対する セキュリティアプローチ しない事 • セキュリティと セーフティーの違い • 物理セキュリティ • クラウド側のセキュリティ • 3G/LTE のセキュリティ • 情報漏えいについて • システム停止を目的とした破壊 に対する対策 • 組み込みシステム開発における セキュリティ実装
- 15. クラウドネットワーク センサー/デバイス “モノ” インターネットからの脅威に備える 現場での 直接攻撃 インターネットからの リモート攻撃• アドレス隠蔽化 (NAPT 等) • 閉域網化 インターネットへの リモート攻撃
- 16. SORACOM Air for セルラー ― 標準のネットワークセキュリティ 10.128.0.0/9 デバイスのIPアドレス インターネット 3G/LTE(GTP) NAT 侵入経路が無く デバイスは保護される
- 17. SORACOM の閉域網とセキュリティ ― IoT 時代のイントラネット 専用線 基地局 交換局 インターネット セルラー通信網によるセキュア通信区間 モノ Amazon VPC ピアリング、 専用線、VPN で直接接続 閉域網を構築 EC2 SORACOM Canal Amazon VPC ピアリング プライベートクラウド データセンタ SORACOM Direct SORACOM Door 専用線 RDS 攻撃者 VPN
- 18. 参考: リモート制御のアンチパターン グローバルIPアドレスによるリモート保守 デバイスにサーバ並みの セキュリティを施す必要あり • フィルタリング • DDoS アタック対策 • 防御できたとしても トラフィック料金が発生 グローバルIP割り当て可能な回線契約 • グローバルIP≠固定IP • IP確認に外部サービスが必要なケース • オプション料金の場合も 容易ではあるが 運用コストが高い クラウド グローバルIP
- 19. クラウドネットワーク センサー/デバイス “モノ” 他に迷惑をかけない 現場での 直接攻撃 インターネットからの リモート攻撃 通信監視による早期検知 通信制限 • アドレス隠蔽化 (NAPT 等) • 閉域網化 インターネットへの リモート攻撃
- 20. 通信監視による早期検知
- 21. アウトバウンドトラフィックのトラフィックスパイクは、 デバイスが DDoS 攻撃に関与している可能性を示しています。 AWS Greengrass と Amazon FreeRTOS は自動的に AWS IoT Device Defender を統合し、 評価のためにデバイスのセキュリティメトリクスを提供します。 https://aws.amazon.com/jp/iot-device-defender/
- 22. SORACOM Junction: VPGに追加される3つのトラフィック処理機能 Inspection Redirection パケットフローの 統計情報を出力 パケットを指定の ゲートウェイ経由で転送 VPG VPG パケットのコピーを指定の 宛先に転送 Mirroring VPG ※ SORACOM Funnel
- 23. SORACOM Junction: Inspection トラフィック可視化例 Elastic Cloud SORACOM Junction ― Inspection
- 24. 通信制限
- 25. SORACOM Junction: VPGに追加される3つのトラフィック処理機能 Inspection Redirection パケットフローの 統計情報を出力 パケットを指定の ゲートウェイ経由で転送 VPG VPG パケットのコピーを指定の 宛先に転送 Mirroring D VPG ※ SORACOM Funnel
- 26. Private Garden 機能 インターネット SORACOM Beam beam.soracom.io SORACOM Funnel funnel.soracom.io SORACOM harvest harvest.soracom.io Private Garden VPG 通常はインターネットに出られる Private Garden VPG に所属する SIM は SORACOM Beam / Funnel / Harvest にのみ、アクセスできる ※インターネットへ直接出られなくなる 設定ミスなど 想定外の通信を防止
- 27. SORACOM Air for セルラー ― IMEI ロック IMSI (SIM) と IMEI (モデム) が一致した時のみ、通信可能 → 他の端末 (= モデム) に差し替えた場合、通信不能とできる IMSI: A IMEI: ア IMEI: イ IMSI: A IMEI ロック A ⇔ ア A:イ A:ア
- 28. クラウドネットワーク センサー/デバイス “モノ” 現場での直接攻撃に備える 現場での 直接攻撃 インターネットからの リモート攻撃 情報そのものを デバイスから排除 通信監視による早期検知 通信制限 • アドレス隠蔽化 (NAPT 等) • 閉域網化 インターネットへの リモート攻撃 情報の無意味化、難読化
- 29. クラウドネットワーク センサー/デバイス “モノ” IoT デバイスが保有する情報 出荷時設定の情報 • ソフトウェア本体や、設定情報 運用で得られる情報 • データそのもの • ログ • ネットワークへ接続するための認証情報 • クラウドへ接続するための認証情報 「設定情報」の価値が 高まってきている
- 31. 情報の無意味化、難読化
- 32. 情報そのものを デバイスから排除
- 33. セキュア・エレメント 情報を安全に格納するメモリや、暗号化を補助するロ ジックや乱数生成が実行可能なモジュール ハードウェア的な特性 《耐タンパー性》 • 物理的な破壊によって、内部情報が消滅 ソフトウェア的な特性 《厳重なアクセス制御》 • 決められた手続きでのみ内部情報にアクセス可能 SIM もセキュア・エレメント 別途、セキュア・エレメントを デバイス実装する必要がなくなる SIM の固有情報を「鍵」として 利用できる
- 34. SORACOM Beam / Funnel による デバイス開発の工数削減 デバイス セキュア&クラウドネイティブな プロトコル • メガクラウド PaaS / SaaS • パートナー ソリューション SORACOM Beam SORACOM Funnel SDK や認証情報をデバイスから排除 プリミティブな プロトコル • SIM を鍵としてクラウドの認証情報との紐づけ • クラウド向けプロトコルへ変換 HTTP, MQTT, TCP, UDP HTTPS(+JSON), MQTTS, TCPS
- 35. 実装の比較 1 from AWSIoTPythonSDK.MQTTLib import AWSIoTMQTTClient 2 c = AWSIoTMQTTClient(CLIENT_ID) 3 c.configureEndpoint("data.iot.REGION.amazonaws.com", 8883) 4 c.configureCredentials(rootCAPath, privPath, certPath) 5 c.connect() 6 c.publish(TOPIC, MSG_JSON, 1) 1 import requests 2 requests.post('http://funnel.soracom.io', 3 data=MSG_JSON, 4 headers={'Content-Type': 'application/json'}) AWS IoT SDK 利用.py SORACOM Funnel 利用.py SORACOM Funnel 設定画面 AWS IoT Core AWS IoT Core endpoint URL やクレデンシャルを ローカルに保管、読み出しする必要がある → 保管をセキュアにする必要もある endpoint URL やクレデンシャルは SORACOM 上に保管 → デバイス上には何も保管する必要が無い
- 36. SORACOM Krypton ― SIMで認証、接続情報をセキュアにプロビジョニング 1. SIMで認証 2. デバイス登録処理代行 認証には強化された SORACOM Endorse を活用した2つの方法 - Option 1: セルラー回線経由で専用エンドポイントに接続 - Option 2: WiFi, 有線を含む任意のアクセス回線上でSIM AKA認証 (plan01s のみ) クラウドサービスデバイス 4. セキュアな接続を確立 3. 鍵・接続情報
- 37. DEMO AWS_ACCESS_KEY_ID=XXX AWS_SECRET_ACCESS_KEY=XXX AWS_SESSION_TOKEN=XXX Amazon Cognito Amazon S3 SIM 固有情報 IdentityPoolID IAM セルラー Wi-Fi (インターネット)
- 38. クラウドネットワーク センサー/デバイス “モノ” まとめ: 攻撃経路とセキュリティ戦略 現場での 直接攻撃 インターネットからの リモート攻撃 情報そのものを デバイスから排除 通信監視による早期検知 通信制限 • アドレス隠蔽化 (NAPT 等) • 閉域網化 インターネットへの リモート攻撃 情報の無意味化、難読化
- 39. IoT通信プラットフォーム SORACOM SORACOM のグローバルなインフラ 世界中の国・地域で利用可能 ライブラリ & SDKs CLI(Go), Ruby, Swift Web インターフェース User Console データ転送支援 SORACOM Beam クラウドアダプタ SORACOM Funnel データ収集・蓄積 SORACOM Harvest プライベート接続 SORACOM Canal デバイスLAN SORACOM Gate IoT 向けデータ通信 SORACOM Air Cellular (2G, 3G, LTE) / LPWA (LoRaWAN, Sigfox, LTE-M) 専用線接続 SORACOM Direct 仮想専用線 SORACOM Door API Web API, Sandbox データ通信 ネットワーク データ転送 インタフェース SIM 認証・証明 SORACOM Endorse デバイス管理 SORACOM Inventory 透過型 トラフィック処理 SORACOM Junction ダッシュボード作成・共有 SORACOM Lagoon セキュアプロビジョニング SORACOM Krypton デバイス支援 アクセス権限管理 SORACOM Access Management アプリケーション データ活用