Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
現場に置かれた IoT デバイスの
セキュリティをどうするの?
― SORACOM で実現する IoT のエンドツーエンド・セキュリティ ―
JAWS-UG IoT 専門支部 2018-09 「IoT セキュリティ」
Sep. 11, 2018...
自己紹介
株式会社ソラコム / テクノロジー・エバンジェリスト
松下 享平 (まつした こうへい) “max”
静岡県民 🗻 新幹線通勤族 🚅
前職: 東証二部ハードウェア・メーカーで
IoT事業のコーディネート
好きな AWS サービス
• ...
`Greengrass` タグもあるんだけど
どっちがいいんだろうね
今日紹介する事、しないこと
する事
• "不正利用" を防ぐためには
• IoT デバイス内の
「価値ある情報」とは
• デバイス上の情報保護方法
や実装
• SORACOM の
IoT デバイスに対する
セキュリティアプローチ
しない事
• ...
お客様事例:協同ファーム様
各豚舎の水の流量や温度管理な
どを実施。各設備(浄化槽や直配
合施設)とも連携し、先進的な豚
舎運営を目指す。
豚舎モニタリングシステ
ムの通信プラットフォーム
にSORACOM
(協力パートナー:システムフォレスト...
サンポート高松トライアスロン2017
温度、湿度、UV、水温を
LoRaWANデバイスで収集、可視化
クラウドネットワーク
センサー/デバイス
“モノ”
「IoT」とは?
モノやコトをデジタル化
クラウドネットワーク
センサー/デバイス
“モノ”
IoT におけるセキュリティリスクと考え方
影響範囲を局所化していく
クラウドリソースの
不正利用
ネットワークリソースの
不正利用
デバイスから得られた情報を基に
他のデバイスの不正利用
デ...
クラウドネットワーク
センサー/デバイス
“モノ”
IoT デバイス 2+1の攻撃経路
現場での
直接攻撃
インターネットからの
リモート攻撃
インターネットへの
リモート攻撃
クラウドネットワーク
センサー/デバイス
“モノ”
インターネットからの脅威に備える
現場での
直接攻撃
インターネットからの
リモート攻撃• アドレス隠蔽化 (NAPT 等)
• 閉域網化
インターネットへの
リモート攻撃
SORACOM Air for セルラー
― 標準のネットワークセキュリティ
10.128.0.0/9
デバイスのIPアドレス
インターネット
3G/LTE(GTP) NAT
侵入経路が無く
デバイスは保護される
SORACOM の閉域網とセキュリティ
― IoT 時代のイントラネット
専用線
基地局
交換局 インターネット
セルラー通信網によるセキュア通信区間
モノ
Amazon VPC ピアリング、
専用線、VPN で直接接続
閉域網を構築
EC2
...
参考: リモート制御のアンチパターン
グローバルIPアドレスによるリモート保守
デバイスにサーバ並みの
セキュリティを施す必要あり
• フィルタリング
• DDoS アタック対策
• 防御できたとしても
トラフィック料金が発生
グローバルIP割...
クラウドネットワーク
センサー/デバイス
“モノ”
他に迷惑をかけない
現場での
直接攻撃
インターネットからの
リモート攻撃
通信監視による早期検知
通信制限
• アドレス隠蔽化 (NAPT 等)
• 閉域網化
インターネットへの
リモート攻撃
通信監視による早期検知
アウトバウンドトラフィックのトラフィックスパイクは、
デバイスが DDoS 攻撃に関与している可能性を示しています。
AWS Greengrass と Amazon FreeRTOS は自動的に AWS IoT Device Defender ...
SORACOM Junction:
VPGに追加される3つのトラフィック処理機能
Inspection Redirection
パケットフローの
統計情報を出力
パケットを指定の
ゲートウェイ経由で転送
VPG VPG
パケットのコピーを指定の...
SORACOM Junction: Inspection
トラフィック可視化例
Elastic
Cloud
SORACOM Junction
― Inspection
通信制限
SORACOM Junction:
VPGに追加される3つのトラフィック処理機能
Inspection Redirection
パケットフローの
統計情報を出力
パケットを指定の
ゲートウェイ経由で転送
VPG VPG
パケットのコピーを指定の...
Private Garden 機能
インターネット
SORACOM Beam
beam.soracom.io
SORACOM Funnel
funnel.soracom.io
SORACOM harvest
harvest.soracom.io...
SORACOM Air for セルラー
― IMEI ロック
IMSI (SIM) と IMEI (モデム) が一致した時のみ、通信可能
→ 他の端末 (= モデム) に差し替えた場合、通信不能とできる
IMSI: A
IMEI: ア
IME...
クラウドネットワーク
センサー/デバイス
“モノ”
現場での直接攻撃に備える
現場での
直接攻撃
インターネットからの
リモート攻撃
情報そのものを
デバイスから排除
通信監視による早期検知
通信制限
• アドレス隠蔽化 (NAPT 等)
• ...
クラウドネットワーク
センサー/デバイス
“モノ”
IoT デバイスが保有する情報
出荷時設定の情報
• ソフトウェア本体や、設定情報
運用で得られる情報
• データそのもの
• ログ
• ネットワークへ接続するための認証情報
• クラウドへ接...
カジュアルに配置される(されてしまう)
直接攻撃されることを前提としたデバイス設計
情報の無意味化、難読化
情報そのものを
デバイスから排除
セキュア・エレメント
情報を安全に格納するメモリや、暗号化を補助するロ
ジックや乱数生成が実行可能なモジュール
ハードウェア的な特性 《耐タンパー性》
• 物理的な破壊によって、内部情報が消滅
ソフトウェア的な特性 《厳重なアクセス制御》
• ...
SORACOM Beam / Funnel による
デバイス開発の工数削減
デバイス
セキュア&クラウドネイティブな
プロトコル
• メガクラウド
PaaS / SaaS
• パートナー
ソリューション
SORACOM Beam
SORACOM...
実装の比較
1 from AWSIoTPythonSDK.MQTTLib import AWSIoTMQTTClient
2 c = AWSIoTMQTTClient(CLIENT_ID)
3 c.configureEndpoint("data...
SORACOM Krypton
― SIMで認証、接続情報をセキュアにプロビジョニング
1. SIMで認証 2. デバイス登録処理代行
認証には強化された SORACOM Endorse を活用した2つの方法
- Option 1: セルラー回...
DEMO
AWS_ACCESS_KEY_ID=XXX
AWS_SECRET_ACCESS_KEY=XXX
AWS_SESSION_TOKEN=XXX
Amazon Cognito
Amazon S3
SIM 固有情報
IdentityPoolI...
クラウドネットワーク
センサー/デバイス
“モノ”
まとめ: 攻撃経路とセキュリティ戦略
現場での
直接攻撃
インターネットからの
リモート攻撃
情報そのものを
デバイスから排除
通信監視による早期検知
通信制限
• アドレス隠蔽化 (NAPT...
IoT通信プラットフォーム SORACOM
SORACOM のグローバルなインフラ
世界中の国・地域で利用可能
ライブラリ & SDKs
CLI(Go), Ruby, Swift
Web インターフェース
User Console
データ転送支...
9/17 全国規模のユーザーグループイベント開催
IoTに携わるエンジニア/企画担当の方が集まり
IoTに関する学び、交流、体験できるイベント
世界中のヒトとモノをつなげ
共鳴する社会へ
JAWS-UG IoT 専門支部 | 現場に置かれた IoT デバイスのセキュリティをどうするの? SORACOM で実現する IoT のエンドツーエンド・セキュリティ
JAWS-UG IoT 専門支部 | 現場に置かれた IoT デバイスのセキュリティをどうするの? SORACOM で実現する IoT のエンドツーエンド・セキュリティ
JAWS-UG IoT 専門支部 | 現場に置かれた IoT デバイスのセキュリティをどうするの? SORACOM で実現する IoT のエンドツーエンド・セキュリティ
JAWS-UG IoT 専門支部 | 現場に置かれた IoT デバイスのセキュリティをどうするの? SORACOM で実現する IoT のエンドツーエンド・セキュリティ
JAWS-UG IoT 専門支部 | 現場に置かれた IoT デバイスのセキュリティをどうするの? SORACOM で実現する IoT のエンドツーエンド・セキュリティ
Upcoming SlideShare
Loading in …5
×

JAWS-UG IoT 専門支部 | 現場に置かれた IoT デバイスのセキュリティをどうするの? SORACOM で実現する IoT のエンドツーエンド・セキュリティ

407 views

Published on

JAWS-UG IoT 専門支部
現場に置かれた IoT デバイスのセキュリティをどうするの? SORACOM で実現する IoT のエンドツーエンド・セキュリティ

株式会社ソラコム
テクノロジー・エバンジェリスト
松下享平

Published in: Technology
  • Be the first to comment

JAWS-UG IoT 専門支部 | 現場に置かれた IoT デバイスのセキュリティをどうするの? SORACOM で実現する IoT のエンドツーエンド・セキュリティ

  1. 1. 現場に置かれた IoT デバイスの セキュリティをどうするの? ― SORACOM で実現する IoT のエンドツーエンド・セキュリティ ― JAWS-UG IoT 専門支部 2018-09 「IoT セキュリティ」 Sep. 11, 2018 / AWS (アルコタワー 19F) 株式会社ソラコム テクノロジー・エバンジェリスト 松下 享平 (max)
  2. 2. 自己紹介 株式会社ソラコム / テクノロジー・エバンジェリスト 松下 享平 (まつした こうへい) “max” 静岡県民 🗻 新幹線通勤族 🚅 前職: 東証二部ハードウェア・メーカーで IoT事業のコーディネート 好きな AWS サービス • AWS IoT Core • AWS Greengrass Facebook, Twitter: ma2shita
  3. 3. `Greengrass` タグもあるんだけど どっちがいいんだろうね
  4. 4. 今日紹介する事、しないこと する事 • "不正利用" を防ぐためには • IoT デバイス内の 「価値ある情報」とは • デバイス上の情報保護方法 や実装 • SORACOM の IoT デバイスに対する セキュリティアプローチ しない事 • セキュリティと セーフティーの違い • 物理セキュリティ • クラウド側のセキュリティ • 3G/LTE のセキュリティ • 情報漏えいについて • システム停止を目的とした破壊 に対する対策 • 組み込みシステム開発における セキュリティ実装
  5. 5. お客様事例:協同ファーム様 各豚舎の水の流量や温度管理な どを実施。各設備(浄化槽や直配 合施設)とも連携し、先進的な豚 舎運営を目指す。 豚舎モニタリングシステ ムの通信プラットフォーム にSORACOM (協力パートナー:システムフォレスト様)
  6. 6. サンポート高松トライアスロン2017 温度、湿度、UV、水温を LoRaWANデバイスで収集、可視化
  7. 7. クラウドネットワーク センサー/デバイス “モノ” 「IoT」とは? モノやコトをデジタル化
  8. 8. クラウドネットワーク センサー/デバイス “モノ” IoT におけるセキュリティリスクと考え方 影響範囲を局所化していく クラウドリソースの 不正利用 ネットワークリソースの 不正利用 デバイスから得られた情報を基に 他のデバイスの不正利用 デバイス自体の 不正利用
  9. 9. クラウドネットワーク センサー/デバイス “モノ” IoT デバイス 2+1の攻撃経路 現場での 直接攻撃 インターネットからの リモート攻撃 インターネットへの リモート攻撃
  10. 10. クラウドネットワーク センサー/デバイス “モノ” インターネットからの脅威に備える 現場での 直接攻撃 インターネットからの リモート攻撃• アドレス隠蔽化 (NAPT 等) • 閉域網化 インターネットへの リモート攻撃
  11. 11. SORACOM Air for セルラー ― 標準のネットワークセキュリティ 10.128.0.0/9 デバイスのIPアドレス インターネット 3G/LTE(GTP) NAT 侵入経路が無く デバイスは保護される
  12. 12. SORACOM の閉域網とセキュリティ ― IoT 時代のイントラネット 専用線 基地局 交換局 インターネット セルラー通信網によるセキュア通信区間 モノ Amazon VPC ピアリング、 専用線、VPN で直接接続 閉域網を構築 EC2 SORACOM Canal Amazon VPC ピアリング プライベートクラウド データセンタ SORACOM Direct SORACOM Door 専用線 RDS 攻撃者 VPN
  13. 13. 参考: リモート制御のアンチパターン グローバルIPアドレスによるリモート保守 デバイスにサーバ並みの セキュリティを施す必要あり • フィルタリング • DDoS アタック対策 • 防御できたとしても トラフィック料金が発生 グローバルIP割り当て可能な回線契約 • グローバルIP≠固定IP • IP確認に外部サービスが必要なケース • オプション料金の場合も 容易ではあるが 運用コストが高い クラウド グローバルIP
  14. 14. クラウドネットワーク センサー/デバイス “モノ” 他に迷惑をかけない 現場での 直接攻撃 インターネットからの リモート攻撃 通信監視による早期検知 通信制限 • アドレス隠蔽化 (NAPT 等) • 閉域網化 インターネットへの リモート攻撃
  15. 15. 通信監視による早期検知
  16. 16. アウトバウンドトラフィックのトラフィックスパイクは、 デバイスが DDoS 攻撃に関与している可能性を示しています。 AWS Greengrass と Amazon FreeRTOS は自動的に AWS IoT Device Defender を統合し、 評価のためにデバイスのセキュリティメトリクスを提供します。 https://aws.amazon.com/jp/iot-device-defender/
  17. 17. SORACOM Junction: VPGに追加される3つのトラフィック処理機能 Inspection Redirection パケットフローの 統計情報を出力 パケットを指定の ゲートウェイ経由で転送 VPG VPG パケットのコピーを指定の 宛先に転送 Mirroring VPG ※ SORACOM Funnel
  18. 18. SORACOM Junction: Inspection トラフィック可視化例 Elastic Cloud SORACOM Junction ― Inspection
  19. 19. 通信制限
  20. 20. SORACOM Junction: VPGに追加される3つのトラフィック処理機能 Inspection Redirection パケットフローの 統計情報を出力 パケットを指定の ゲートウェイ経由で転送 VPG VPG パケットのコピーを指定の 宛先に転送 Mirroring D VPG ※ SORACOM Funnel
  21. 21. Private Garden 機能 インターネット SORACOM Beam beam.soracom.io SORACOM Funnel funnel.soracom.io SORACOM harvest harvest.soracom.io Private Garden VPG 通常はインターネットに出られる Private Garden VPG に所属する SIM は SORACOM Beam / Funnel / Harvest にのみ、アクセスできる ※インターネットへ直接出られなくなる 設定ミスなど 想定外の通信を防止
  22. 22. SORACOM Air for セルラー ― IMEI ロック IMSI (SIM) と IMEI (モデム) が一致した時のみ、通信可能 → 他の端末 (= モデム) に差し替えた場合、通信不能とできる IMSI: A IMEI: ア IMEI: イ IMSI: A IMEI ロック A ⇔ ア A:イ A:ア
  23. 23. クラウドネットワーク センサー/デバイス “モノ” 現場での直接攻撃に備える 現場での 直接攻撃 インターネットからの リモート攻撃 情報そのものを デバイスから排除 通信監視による早期検知 通信制限 • アドレス隠蔽化 (NAPT 等) • 閉域網化 インターネットへの リモート攻撃 情報の無意味化、難読化
  24. 24. クラウドネットワーク センサー/デバイス “モノ” IoT デバイスが保有する情報 出荷時設定の情報 • ソフトウェア本体や、設定情報 運用で得られる情報 • データそのもの • ログ • ネットワークへ接続するための認証情報 • クラウドへ接続するための認証情報 「設定情報」の価値が 高まってきている
  25. 25. カジュアルに配置される(されてしまう) 直接攻撃されることを前提としたデバイス設計
  26. 26. 情報の無意味化、難読化
  27. 27. 情報そのものを デバイスから排除
  28. 28. セキュア・エレメント 情報を安全に格納するメモリや、暗号化を補助するロ ジックや乱数生成が実行可能なモジュール ハードウェア的な特性 《耐タンパー性》 • 物理的な破壊によって、内部情報が消滅 ソフトウェア的な特性 《厳重なアクセス制御》 • 決められた手続きでのみ内部情報にアクセス可能 SIM もセキュア・エレメント 別途、セキュア・エレメントを デバイス実装する必要がなくなる SIM の固有情報を「鍵」として 利用できる
  29. 29. SORACOM Beam / Funnel による デバイス開発の工数削減 デバイス セキュア&クラウドネイティブな プロトコル • メガクラウド PaaS / SaaS • パートナー ソリューション SORACOM Beam SORACOM Funnel SDK や認証情報をデバイスから排除 プリミティブな プロトコル • SIM を鍵としてクラウドの認証情報との紐づけ • クラウド向けプロトコルへ変換 HTTP, MQTT, TCP, UDP HTTPS(+JSON), MQTTS, TCPS
  30. 30. 実装の比較 1 from AWSIoTPythonSDK.MQTTLib import AWSIoTMQTTClient 2 c = AWSIoTMQTTClient(CLIENT_ID) 3 c.configureEndpoint("data.iot.REGION.amazonaws.com", 8883) 4 c.configureCredentials(rootCAPath, privPath, certPath) 5 c.connect() 6 c.publish(TOPIC, MSG_JSON, 1) 1 import requests 2 requests.post('http://funnel.soracom.io', 3 data=MSG_JSON, 4 headers={'Content-Type': 'application/json'}) AWS IoT SDK 利用.py SORACOM Funnel 利用.py SORACOM Funnel 設定画面 AWS IoT Core AWS IoT Core endpoint URL やクレデンシャルを ローカルに保管、読み出しする必要がある → 保管をセキュアにする必要もある endpoint URL やクレデンシャルは SORACOM 上に保管 → デバイス上には何も保管する必要が無い
  31. 31. SORACOM Krypton ― SIMで認証、接続情報をセキュアにプロビジョニング 1. SIMで認証 2. デバイス登録処理代行 認証には強化された SORACOM Endorse を活用した2つの方法 - Option 1: セルラー回線経由で専用エンドポイントに接続 - Option 2: WiFi, 有線を含む任意のアクセス回線上でSIM AKA認証 (plan01s のみ) クラウドサービスデバイス 4. セキュアな接続を確立 3. 鍵・接続情報
  32. 32. DEMO AWS_ACCESS_KEY_ID=XXX AWS_SECRET_ACCESS_KEY=XXX AWS_SESSION_TOKEN=XXX Amazon Cognito Amazon S3 SIM 固有情報 IdentityPoolID IAM セルラー Wi-Fi (インターネット)
  33. 33. クラウドネットワーク センサー/デバイス “モノ” まとめ: 攻撃経路とセキュリティ戦略 現場での 直接攻撃 インターネットからの リモート攻撃 情報そのものを デバイスから排除 通信監視による早期検知 通信制限 • アドレス隠蔽化 (NAPT 等) • 閉域網化 インターネットへの リモート攻撃 情報の無意味化、難読化
  34. 34. IoT通信プラットフォーム SORACOM SORACOM のグローバルなインフラ 世界中の国・地域で利用可能 ライブラリ & SDKs CLI(Go), Ruby, Swift Web インターフェース User Console データ転送支援 SORACOM Beam クラウドアダプタ SORACOM Funnel データ収集・蓄積 SORACOM Harvest プライベート接続 SORACOM Canal デバイスLAN SORACOM Gate IoT 向けデータ通信 SORACOM Air Cellular (2G, 3G, LTE) / LPWA (LoRaWAN, Sigfox, LTE-M) 専用線接続 SORACOM Direct 仮想専用線 SORACOM Door API Web API, Sandbox データ通信 ネットワーク データ転送 インタフェース SIM 認証・証明 SORACOM Endorse デバイス管理 SORACOM Inventory 透過型 トラフィック処理 SORACOM Junction ダッシュボード作成・共有 SORACOM Lagoon セキュアプロビジョニング SORACOM Krypton デバイス支援 アクセス権限管理 SORACOM Access Management アプリケーション データ活用
  35. 35. 9/17 全国規模のユーザーグループイベント開催 IoTに携わるエンジニア/企画担当の方が集まり IoTに関する学び、交流、体験できるイベント
  36. 36. 世界中のヒトとモノをつなげ 共鳴する社会へ

×