Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢

1,702 views

Published on

SORACOM Conference Discovery 2017
A1. IoTセキュリティの選択肢

ゲストスピーカー
東京大学 大学院情報学環 大学院学際情報学府 教授 中尾 彰宏氏
トレンドマイクロ株式会社 IoT事業推進本部ソリューション推進部 津金 英行氏

スピーカー
株式会社ソラコム 最高技術責任者 安川 健太
株式会社ソラコム ソフトウェアエンジニア 福島 拓

セッション概要
IoTシステム導入の課題のひとつであるセキュリティ。本セッションでは、IoTシステムにおけるセキュリティリスクと、SORACOMサービスによる解決方法をご紹介します。

Published in: Technology

SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢

  1. 1. 2017 July 5th IoT通信の監視・制御・セキュリティの選択肢 トレンドマイクロ株式会社 IoT 事業推進本部 ソリューション推進部 津金 英行 様 東京大学 大学院情報学環 大学院学際情報学府 教授 中尾 彰宏 様 株式会社ソラコム ソフトウェアエンジニア 福島 拓 株式会社ソラコム CTO 安川 健太 ~SORACOM Junctionの活用~
  2. 2. Platinum Gold Silver Thanks to our Sponsors LPWA
  3. 3. 本日のハッシュタグ #discovery2017 @SORACOM_PR https://www.facebook.com/soracom.jp/
  4. 4. SORACOMのネットワークサービス The Internet VPG IoTバックエンド お客様のシステム • Amazon VPCとプライベート接続  SORACOM Canal • プライベートクラウドと専用線/VPN接続  SORACOM Direct/Door • デバイスとサーバを単一の仮想L2サブネットに接続  SORACOM Gate Virtual Private Gateway (VPG)を通してお客様のシステムと接続
  5. 5. •デバイスの通信の概況を把握したり 異常を検知する方法はないか? •デバイス自体のセキュリティは? マルウェアの脅威への対処は? •アプリケーションごとに異なる通信 制御を適用することはできないか? お客様の声に耳を傾けると
  6. 6. お客様が自分のデバイスの通信だけを 自由に監視・制御できる仕組みは作れないか? IoT バックエンド
  7. 7. SORACOM JunctionJ 透過型トラフィック処理サービス
  8. 8. パケットのコピーを指定の 宛先に転送 SORACOM Junction: VPGに追加される3つのトラフィック処理機能 Inspection Mirroring Redirection パケットフローを解析して 統計情報を出力 パケットを指定の ゲートウェイ経由で転送 VPG D VPG VPG
  9. 9. •デバイスの通信の概況を把握したり 異常を検知する方法はないか? •デバイス自体のセキュリティは? マルウェアの脅威への対処は? •アプリケーションごとに異なる通信 制御を適用することはできないか? SORACOM Junctionでお客様の声にお応え
  10. 10. パケットのコピーを指定の 宛先に転送 SORACOM Junction: VPGに追加される3つのトラフィック処理機能 Inspection Mirroring Redirection VPG パケットフローを解析して 統計情報を出力 D VPG VPG パケットを指定の ゲートウェイ経由で転送
  11. 11. • VPGを通過するトラフィックの統計情報をレポート SORACOM Junction: Inspection The Internet VPG 13 2 IoTバックエンド お客様のシステム 各種クラウドサービス 可視化 トラフィックの 統計情報 プロトコル解析& アプリケーション分類
  12. 12. • パケットのコピーをお客様のパケット解析エンジンに転送 SORACOM Junction: Mirroring The Internet VPG Mirroring 13 2 13 2 トラフィックの本線 異常検知 侵入検知 IoTバックエンド お客様のクラウド パケットを コピー&転送
  13. 13. 実際にSORACOM Junctionで トラフィックの可視化や異常検知をする様子
  14. 14. 株式会社 ソラコム ソフトウェアエンジニア 福島 拓
  15. 15. •Junction: Inspection • Elastic様 • Elastic Cloud, ElasticsearchおよびKibanaによる可 視化 •Junction: Mirroring • Acroquest様 • TorrentioFlowの機械学習による異常検知、通知 Junctionパートナーソリューション例
  16. 16. SORACOM Junction: Inspection The Internet VPG 13 2 トラフィックの本線 IoTバックエンド お客様のシステム プロトコル解析& アプリケーション分類Junction: Inspection Amazon Kinesis Stream AWS Lambda
  17. 17. SORACOM Junction: Mirroring The Internet VPG パケットをコピー コピー転送 13 2 13 2 トラフィックの本線 IoTバックエンド • 個別フローのリアルタイム分析・可視化 • 機械学習による異常検知・リスク分析 • 異常の通知 TorrentioFlow Junction: Mirroring
  18. 18. Junction: Mirroring SORACOM Junction: Mirroring The Internet VPG パケットをコピー コピー転送 13 2 13 2 トラフィックの本線 IoTバックエンド • 個別フローのリアルタイム分析・可視化 • 機械学習による異常検知・リスク分析 • 異常の通知 TorrentioFlow 異常検知の結果を 分かりやすく可視化 異常な通信データ SIMごとの通信状況を 一目で確認できる
  19. 19. パートナーソリューションと組み合わせることで、 自由な分析や可視化が可能になります。 Junctionを利用したパケット解析 The Internet VPG パケットをコピー コピー転送 13 2 13 2 トラフィックの本線 IoTバックエンド • 個別フローのリアルタイム分析・可視化 • 機械学習による異常検知・リスク分析 • 異常の通知 TorrentioFlow The Internet VPG 13 2 トラフィックの本線 IoTバックエンド お客様のシステム プロトコル解析& アプリケーション分類Junction: Inspection Amazon Kinesis Stream AWS Lambda
  20. 20. •デバイスの通信の概況を把握したり 異常を検知する方法はないか? •デバイス自体のセキュリティは? マルウェアの脅威への対処は? •アプリケーションごとに異なる通信 制御を適用することはできないか? SORACOM Junctionでお客様の声にお応え
  21. 21. •デバイスの通信の概況を把握したり 異常を検知する方法はないか? •デバイス自体のセキュリティは? マルウェアの脅威への対処は? •アプリケーションごとに異なる通信 制御を適用することはできないか? SORACOM Junctionでお客様の声にお応え
  22. 22. SORACOMを活用したIoTシステムの場合 専用線 デバイスはSIMで認証 (サーバへの認証情報は 持たせない) State-full Firewallが デバイスへの直接通信 は遮断AirでSORACOMと 安全な通信路SIMの耐タンパ性 IMEIロックの活用 デバイスの認証 情報を盗もう 間で通信を 盗み見よう デバイスにリモート アクセスしてやろう The Internet IoTバックエンド お客様のシステム IoTバックエンドを攻 撃してやろう 閉域接続のため アクセス不可
  23. 23. • デバイスに物理的にアクセスして悪用されるリスク • デバイス側にマルウェア等が仕込まれることのリスク 残るセキュリティ上の課題 デバイスにマルウェア を仕込もう 情報漏えい 第3者への攻撃加担 閉域網への侵入 IoTバックエンド お客様のシステム
  24. 24. トレンドマイクロ株式会社 IoT 事業推進本部 ソリューション推進部 津金 英行 様
  25. 25. SORACOM Conference “Discovery” 2017 トレンドマイクロ IoTセキュリティ 2017年7月5日 トレンドマイクロ株式会社 IoT事業推進本部 ソリューション推進部 津金 英行
  26. 26. Copyright © 2017 Trend Micro Incorporated. All rights reserved.26 デジタルインフォメーションを 安全に交換できる世界の実現 トレンドマイクロのビジョン
  27. 27. 27 Copyright © 2017 Trend Micro Incorporated. All rights reserved. IoTのセキュリティ脅威事例 https://www.wired.com/2016/08/jeep- hackers-return-high-speed-steering- acceleration-hacks/ 高速で走る自動車へ遠隔 からの攻撃で、ハンドル やブレーキシステムを制 御することが可能なこと を実験で証明 市販されている建物の リモート管理システムの 脆弱性をつき、警報やドア ロックのすべての機能が 遠隔から制御可能なことを 実験で証明 http://blog.trendmicro.com/let-get-door- remote-root-vulnerability-hid-door- controllers/ 米国でネットにつないだ ベビーモニターから 見知らぬ人の声で突然 幼児に話しかける http://kdvr.com/2015/04/21/couple- whose-baby-monitor-was-hacked-has- message-for-other-families/ http://thehackernews.com/2017/01/r ansomware-hotel-smart-lock.html オーストリアのホテルで客 室の電子カードキー シス テムがランサム ウェア に感染、宿泊客 を部屋か ら閉め出し ホテルの電子カードキーシステム 建物のドア開閉&防犯システム ベビーモニター&監視カメラ 自動車のハッキング
  28. 28. 28 Copyright © 2017 Trend Micro Incorporated. All rights reserved. 1Tbps -14.5万台のIoT機器- 5万/秒 HTTPリクエスト -2.5万台監視カメラ- 10月21日 Dyn 9月20日 KrebsOnSecurity 2016年 6月 8月 IoT機器を悪用するDDoS攻撃 75万通 スパムメール -冷蔵庫など- Mirai ソースコード 公開9月21日 OVH 2014年 12万/秒 HTTPSリクエスト -4.7万台の監視カメラ, ホームルータ, サーバなど- 620Gbps DDoS攻撃 -18万台のIoT機器- 1.2Tbps -約10万台のIoT機器- 感染デバイスがボット化し サイバー攻撃に悪用されるケースも 利用企業が、被害者から 加害者になるビジネスリスク
  29. 29. 29 Copyright © 2017 Trend Micro Incorporated. All rights reserved. なぜIoT機器が狙われるのか 常時接続 • 365日24時間接続可能 脆弱性 • 複数の攻撃ポイント • 侵入が比較的容易 • セキュリティ対策が 不 十分な機器が多い 管理者不在 • 未アップデート機器が多 い • アフターサービスが未熟 な製品が存在 24/7 365 低コスト $ • IoT機器のボット化は PCよりも攻撃の 費用対効果が高い
  30. 30. 30 Copyright © 2017 Trend Micro Incorporated. All rights reserved. 閉域接続なら安全? 閉域でも内部からの脅威発生リスクあり • デバイス製造段階でのセキュティ脅威の混入 • オフラインでの侵入(外部メディア接続、持ち込み端末等) しかし、個々のデバイスでの対策には限界あり • 多種多様 • 大量、広域に展開 • 限られたリソース(プロセッサ、メモリ等)
  31. 31. 31 Copyright © 2017 Trend Micro Incorporated. All rights reserved. ソラコム x トレンドマイクロ セキュアIoTプラットフォーム • プライベート接続 • デバイス認証、暗号化 等 X ネットワークセキュリティ技術 • セキュリティ脅威検出 • 不正サイトアクセス検知 等 より高度で効果的なIoTセキュリティの実現
  32. 32. 32 Copyright © 2017 Trend Micro Incorporated. All rights reserved. VPG Junction トレンドマイクロ セキュリティVNF ソラコムユーザ様の通信トラフィックに潜む セキュリティ脅威の可視化・制御が可能に! 交換局基地局 IoTデバイス お客さまの システムパケットの ミラーリング SORACOM Junction x トレンドマイクロ セキュリティVNF *VNF :Virtual Network Function (仮想化ネットワーク機能)
  33. 33. 33 Copyright © 2017 Trend Micro Incorporated. All rights reserved. Telecom Network / Cloud Virtualization Layer Intrusion Prevention URL Filtering Application Control セキュリティVNF* Hardware Resource ... ServicesEnd-Users *VNF : Virtual Network Function NFVおよびクラウド環境向け仮想化ネットワークセキュリティ機能 トレンドマイクロ セキュリティVNF
  34. 34. 34 Copyright © 2017 Trend Micro Incorporated. All rights reserved. 侵入防御 • 侵入防止システム (IPS) により、脆弱 性を狙った通信を検知/ブロック Web脅威対策 • 不正Webサイトへのアクセスをブロッ ク、不正プログラムの感染、詐欺サイ トや改ざんサイトへのアクセスを防止 アプリケーション制御 • アプリの利用状況を可視化、許可され ていないアプリの実行を防止 トレンドマイクロ セキュリティVNF 提供機能
  35. 35. 35 Copyright © 2017 Trend Micro Incorporated. All rights reserved. トレンドマイクロ セキュリティVNF デモ トラフィック中のセキュリティ脅威検出をトリガーにした自動通信遮断 VPG Junction トレンドマイクロ セキュリティVNF 交換局基地局カメラデバイス Internet 1. SORACOM SIMの入った カメラデバイスが定期的に 画像撮影、アップロード 2. Internetを介して 画像をモニタ 3. デバイスが不正サイト にアクセス、マルウェ アをダウンロード 4. セキュリティVNFが 不正アクセスを検出 SORACOM API 5. SORACOM APIを通じて 不正アクセスを受けたデバ イスのSIMを休止指示 6. 当該SIMの休止 を実行 7. 回線断、 画像アップロード停止 No Image
  36. 36. 36 Copyright © 2017 Trend Micro Incorporated. All rights reserved. 新しいIoTセキュリティサービスを お試しいただけます! SORACOM Junction X トレンドマイクロ セキュリティVNF ぜひお問い合わせください!
  37. 37. 37 Copyright © 2017 Trend Micro Incorporated. All rights reserved. デバイス組み込み型 セキュリティSDK トレンドマイクロ IoTセキュリティソリューション セキュリティVNF SORACOM Discovery: トレンドマイクロ ブース展示
  38. 38. Copyright © 2017 Trend Micro Incorporated. All rights reserved.38 Thank you X TRENDMICRO、TREND MICRO、ウイルスバスター、InterScan、INTERSCAN VIRUSWALL、InterScanWebManager、InterScan Web Security Suite、PortalProtect、Trend Micro Control Manager、Trend Micro MobileSecurity、VSAPI、 Trend Park、Trend Labs、Network VirusWall Enforcer、Trend Micro USB Security、InterScan Web Security Virtual Appliance、InterScan Messaging Security Virtual Appliance、Trend Micro Reliable Security License、TRSL、Trend Micro Smart Protection Network、SPN、SMARTSCAN、Trend Micro Kids Safety、Trend Micro Web Security、Trend Micro Portable Security、Trend Micro Standard Web Security、Trend Micro Hosted Email Security、Trend Micro Deep Security 、ウイルスバスタークラウド、スマートスキャン、Trend Micro Enterprise Security for Gateways、Enterprise Security for Gateways、Smart Protection Server、Deep Security、ウイルスバスター ビジネスセキュリティサービス、SafeSync、 Trend Micro InterScan WebManager SCC、Trend Micro NAS Security、Trend Micro Data Loss Prevention、Securing Your Journey to the Cloud、Trend Micro オンラインスキャン、Trend Micro Deep Security Anti Virus for VDI、Trend Micro Deep Security Virtual Patch、SECURE CLOUD、Trend Micro VDIオプション、おまかせ不正請求クリーンナップサービス、Deep Discovery、TCSE、おまかせインストール・バージョンアップ、Trend Micro Safe Lock、Deep Discovery Inspector、Trend Micro Mobile App Reputation、Jewelry Box、InterScan Messaging Security Suite Plus、おもいでバックアップサービス、おまかせ!スマホお探しサポート、保険&デジタルライフサポート、おまかせ!迷惑ソフトクリーンナップ サービス、InterScan Web Security as a Service、Client/Server Suite Premium、Cloud Edge、Trend Micro Remote Manager、Threat Defense Expert、Next Generation Threat Defense、Trend Micro Smart Home Network、Retro Scan、 is702、デジタルライフサポート プレミアム、Airサポート、Connected Threat Defense、ライトクリーナー、Trend Micro Policy Manager、フォルダシールド、トレンドマイクロ認定プロフェッショナルトレーニング、Trend Micro Certified Professional、およびTMCP​は、トレンドマイクロ株式会社の登録商標です。
  39. 39. •デバイスの通信の概況を把握したり 異常を検知する方法はないか? •デバイス自体のセキュリティは? マルウェアの脅威への対処は? •アプリケーションごとに異なる通信 制御を適用することはできないか? SORACOM Junctionでお客様の声にお応え
  40. 40. •デバイスの通信の概況を把握したり 異常を検知する方法はないか? •デバイス自体のセキュリティは? マルウェアの脅威への対処は? •アプリケーションごとに異なる通信 制御を適用することはできないか? SORACOM Junctionでお客様の声にお応え
  41. 41. パケットのコピーを指定の 宛先に転送 SORACOM Junction: VPGに追加される3つのトラフィック処理機能 Inspection Mirroring Redirection VPG パケットフローを解析して 統計情報を出力 D VPG VPG パケットを指定の ゲートウェイ経由で転送
  42. 42. • パケットを指定のゲートウェイ経由で転送 SORACOM Junction: Redirection The Internet VPG トラフィックの本線 13 2 IoT バックエンド お客様のクラウド フィルタ・解析 ・帯域制御 パケットの 経路を変更
  43. 43. 東京大学 大学院情報学環 大学院学際情報学府 教授 中尾 彰宏 様
  44. 44. IoT Dynamics 東京大学大学院情報学環 中尾彰宏 X
  45. 45. IoT MVNO における課題 • トラフィック計測・解析はフローで識別するのが従来 • 今後は、より詳細にアプリ・サービス毎で識別することが重要 • 通信コストの削減 • セキュリティ トラフィックの詳細解析による通信利用の最適化
  46. 46. FLARE x Soracom Junction Programmabl IoT Gateway (bands) (watch) (glasses) (Smart phones) VPG VPC
  47. 47. Programmable IoT Gateway 3G/LTE/WiFi/BLE/GPS/ジャイロ/加速度 LoRa WAN対応予定(2017/8) Raspberry Pi Zero W 対応予定(2017/8)
  48. 48. AI/機械学習によるトラフィック制御 AI/機械学習によるトラフィック制御・最適化(考えるネットワーク) データ出力データ入力 高度トラフィック分類(アプリ同定) 異常検知(Anomaly Detection) 異常予測 トラフィック量予測
  49. 49. トラフィックの異常検知 TIME Bandwidth TCP Global Synchronization
  50. 50. アプリ毎のトラフィック統計を取得可能 TIME Bandwidth
  51. 51. 網内アプリケーション同定の実験
  52. 52. 従来のデータ収集・解析 受動的データ収集 データ解析 投機的データ収集・解析 投機的データ収集 教師データ生成 リアルタイムで教師データを生成するため 有用なサンプルが発するデータにアノテーション付加 投機的サンプリング 機械学習 母集団 データ解析 データソース データソース データソース 投機的データ収集の必要性 Speculative Data Collection
  53. 53. IoT MVNO の今後 • アプリケーション毎のトラフィック制御 • セキュリティ • 通信コスト削減・最適化 • アプリケーション同定(機械学習・AI) • 網内機械学習によるトラフィック最適化と制御自動化 • 「考えるネットワーク」(In-Network Deep Learning) • MVNOのためのエッジコンピューティング
  54. 54. • 一定間隔でトラフィックを収集・分類し て統計情報を計算 • 出力はJSONフォーマット • SORACOM Funnelが対応するサービス に出力 • サービス • リソースID • クレデンシャル Inspectionの動作詳細 Inspection VPG これらをFunnel同様に 設定すれば出力開始 各種クラウドサービス
  55. 55. • Canal / Direct / Door接続された ホストをMirroring Peerとして追加 • 2ホストまで登録可 • コピーされたパケットはGREでカプセル化さ れて届く • Mirroring PeerはGREを受信できるように設定 することでトラフィックをモニタリング可 Mirroringの動作詳細 Mirroring D VPG Mirroring Peer 1 Mirroring Peer 2 1 G R E 3 G R E 2 G R E 13 2 元のパケット Mirroring Peerが受け取るパケット
  56. 56. • 仮想L2サブネット上のPeerをGatewayとし てパケットを転送 • vxlanに対応 • 指定できるGateway Peerは1つ • トラフィック制御点を1つに • 障害対応はスタンバイノードへの アドレス付け替えで可 Redirectionの動作詳細 Redirection VPG Gateway VPG Gateway = 10.0.0.1 10.0.0.1 VPG
  57. 57. SORACOM Junctionの料金
  58. 58. •SORACOM Junctionの3つの機能を紹介 • Inspection: 統計情報のレポート • Mirroring: トラフィックのコピーを転送 • Redirection: トラフィックの向き先を変更 おわりに SORACOM上のシステムのOperatorである皆様 トラフィックを自由自在に操って新たな世界を
  59. 59. 《 株式会社ソラコムのビジョン 》 世界中のヒトとモノをつなげ 共鳴する社会へ

×