Aws IoT Security101（初歩の初歩）

1. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights
reserved.
アマゾン ウェブ サービス ジャパン株式会社
セキュリティコンサルタント 松本 照吾
2017/6/21
IoTセキュリティの不安と期待
-なぜ、AmazonがIoT？-

2. 松本 照吾(Shogo Matsumoto)
AWS Professional Services / Security Consultant
得意分野
・セキュリティポリシー策定支援
・各種コンプライアンス認証への適合支援
好きなAWSサービス
・プロフェッショナルサービス
主な保有資格、活動
・AWS認定資格5資格★★★★★
・ CISA、CISSP、MBA（University of Massachusetts Lowell)
・ 公認情報セキュリティ主任監査人（JASA CAIS-lead auditor)

3. AGENDA：本日お伝えしたいこと
AmazonってECサイトでしょ？なぜIoTの話を？
→クラウドって何かを知っておこう
IoTってそもそも何なの？
→モノのインターネットという概念がよくわからない
IoTで考えるべきセキュリティって何なの？
→じゃあ、私たちが気を付けることはなんだろう

4. AmazonってECサイトでしょ？なぜIoTの話を？
→クラウドって何かを知っておこう

5. アマゾンのビジネスの本質
アマゾンのビジネスの本質とは
モノを売ることではない
私たちのビジネスの本質は
お客さまの購買決断を助ける
ことにある
Jeff Bezos

6. アマゾンの成長の源泉はイノベーション

7. IoTの世界では、先進企業

8. アマゾンのビジネスモデル
• 徹底的なお客様重視
• フィードバックを重視した
ビジネスの拡充
• お客様規模の拡大による利
益を次の投資に還元
創業者ジェフ・ベゾスが起業時に
レストランのナプキンに書いたオリジナルのコンセプト図

9. アマゾンが持つ３つのビジネス

10. なぜ、クラウドが必要だったのか？
オンとオフ 急成長やM&A
予測可能なピーク予測できないピーク
余剰キャパシティ
キャパシティ不足：機会損失
余剰キャパシティ
余剰キャパシティ
余剰キャパシティ
10

11. クラウドコンピューティングとは？
スケールアップ・
ダウンが容易
初期投資が不要
実際の使用分
のみ支払い
セルフサービス
迅速展開インフラ
ビジネススピードの
改善
低額な利用価格
Deploy
11

13. 規模の経済：AWSの持続的な改善、提供
• スタートアップもエンタープ
ライズも等しくセキュアなイ
ンフラを利用可能
516
1,017
160
2012 2014 2016
722
2015
280
2013

14. 90を超えるサービス

15. セキュリティの考え方：責任共有モデル
AWSが
管理する
セキュリティ
お客様が
管理する
セキュリティ
+ =
お客様
求めるべき
セキュリティ
レベル

16. AWSによって非常にセキュアなインフラを提供
• AWSが管理するインフラは米国政府
や金融機関も採用するセキュアなイ
ンフラ
• 利用者はその上にセキュアなサービ
スを構築する必要がある
• AWSが提供するマネージドサービス
（管理をAWSが行うもの）を活用す
ることで、よりビジネスに集中する
ことが可能
https://d0.awsstatic.com/events/jp/2017/summit/slide/D4T3-4.pdf
https://www.youtube.com/watch?v=YpxAgExPXzs

17. AWSのクラウドがお客様にもたらした価値
• 従来であれば高価な分析基
盤の構築なども使いたい時
だけ利用が出来るように。
• インフラ面の管理をAWSが
提供することでお客様は自
分の本来業務に集中。
• サービスを一から作るので
はなく、組み合わせること
で迅速なビジネス要件の実
現と柔軟な変更を。

18. IoTってそもそも何なの？
→モノのインターネットという概念がよくわからない

19. IoTとは？ Internet of Things
“IoT とは、センサーやデバイスといった「モノ」がイン
ターネットを通じてクラウドやサーバーに接続され、情報
交換することにより相互に制御する仕組みです。IoT によ
り、様々な用途でビジネスやカスタマーエクスペリエンス
を改善・拡張することができる可能性を秘めています。”
https://soracom.jp/iot/

20. IoTの広がり
様々な産業で利用が加速、身
近になっていく。
2020年までに250億台との予
測も※
http://www.jnsa.org/result/iot/data/IoTSecurityWG_Report_Ver1.pdf

21. IoTをめぐる疑問
ドローンとラジコ
ンって何が違うの？
同じような言葉で
M2M（Machine to
Machine）というのも
あるけど
インターネットであ
る必要はあるの？

22. IoT を構成する３要素
センシングデバイス ネットワークコネクティビティ 処理・分析を実行するサーバー

23. デバイスの発達(組み込み技術の発達）がもたらし
たもの
ある程度の処理が出来る
様々なデータが取得できる
データを集める五感としての価値

24. インターネットの普及がもたらしたもの
どこでも使える
“つながる”ことの当たり前化
誰でも使える
ネットワークコネクティビティ

25. クラウドの普及がもたらしたもの
処理・分析を実行するサーバー
データを集められる
デバイスを制御できる
集めたデータを価値のある情報に
データを分析できる
（AIなど）

26. IoT を構成する３要素
誰もがすぐに調達可能で
アイデアと実行能力があれば市場参入が容易
イノベーションにより市場に破壊が起きる
センシングデバイス ネットワークコネクティビティ 処理・分析を実行するサーバー

27. やりたいことができるようになってきた。
デバイスだけでは十分な機能を提供できない
→デバイス外で必要な処理を行うことで役割を分担
データを集めて、価値のある情報にしたい
→データを集めて分析すれば役に立つ
集めた情報をもとにデバイスにフィードバックする
→デバイスの性能向上や自動制御

28. アラート
業務支援
システム
Report/Dashboard
(故障予知・予測)
デバイス管理
デバイス制御
データ収集 データ処理・分析
データ保存
デバイス管理
データ活用
IoT
IoT
S3
Kinesis
IoT
S3 RDS DynamoDBElasticache
Redshift
EMR Machine Learning QuickSight
ElasticSearch
Kinesis
Analytics
API GW
Lambda
SNS
AWS IoT Solution
Lambda
エッジ
Greengrass
AI関連
Athena
例えばAWSでは・・・・・・
セキュアかつ簡単に組み合わせでやることを実現するためのサービス群を提供

29. 事例：SmartDrive IoT 時代の新たなコネクテッドカー・サービス
を創造
• さまざまなデバイスを通して自動車
のビッグデータを収集・解析し、テ
レマティクス保険や車両管理といっ
たサービスを創造
• 車に外付けのデバイスを付けること
でデータ収集できることが特徴。
メーカーによらず、新車/中古車に
限らずデータ取得が可能
• 収集したデータはAWS上に格納し、
クラウド上でサービスを提供

30. スマートドライブ 自動車の運転状況を可視化し、運行管理の最適
化を実現
• 自動車の運行データを取得すること
で、ドライバーの運転状況の可視化
が可能
• エンジントラブルもデバイスが検知
し、ドライバーに通知
• コンシューマー(ドライバー)向けの
サービスに加えて、運送会社等にも
展開を開始

31. IoTで考えるべきセキュリティって何なの？
→じゃあ、私たちが気を付けることはなんだろう

32. これは何をあらわしているでしょうか
https://icsmap.shodan.io/

33. これは何をあらわしているでしょうか？違いは？
https://icsmap.shodan.io/

34. 近年危惧されるIoTデバイスへの攻撃
株式会社シマンテックは26日、IoT機器のセキュリ
ティの不十分さが悪用され、マルウェアによって
DDoS攻撃の踏み台にされているとの調査結果を発表
した。
IoT機器についてシマンテックは公式ブログで「電
源を接続して基本設定を終えればそのまま放置できる
ように作られている」とし、脆弱性に対するファーム
ウェア更新がない製品がある一方で、更新を忘れるこ
とも多い上、寿命まで買い換えもなされず、デバイス
への侵害や感染が見過ごされがちで、攻撃者を寄せつ
ける原因になっていると指摘。ウェブサーバー、ルー
ター、モデム、NAS、CCTV（閉回路テレビ）システ
ム、ICS（産業用制御）システムなどを標的候補のデ
バイスとして挙げている。
（後略）
デフォルトやよくあるユーザ名
とパスワードの組み合わせを総
当たりで確認
まだ、IoTデバイスの脆弱性を
悪用するマルウェアは限られて
いる
TelnetやSSH（インターネット
機器の管理に使われるサービ
ス）をランダムにスキャン
IoTへの攻撃の手口
http://internet.watch.impress.co.jp/docs/news/1021847.html

35. こんなところにも攻撃が
“LIXILの商品ブランドINAXが出している
シャワートイレ「サティス(SATIS)」は、
Bluetooth接続したスマートフォンをリモ
コンとして使うことができる機能がついて
います。現在、このスマートフォンで使用
するアプリ「My SATIS」に、フタの開閉
やシャワー機能、温風機能を遠隔操作され
る恐れがある脆弱性が指摘されています。”
Gigazine（2013年8月）
http://gigazine.net/news/20130805-
lixil-satis/

36. 例えば、こんなリスクも（近い未来の想定）
あなたが乗っていた自動運転車が寝ている
間に交通事故を起こしました。
• ハッカーが車を誤操作させたかもしれま
せん。
• 単にプログラムのバグがあったかもしれ
ません。
• サポート切れの車にのっていたかもしれ
ません。
• もしかしたらあなたが誤ってハンドルを
触ってしまったかもしれません。
さて、責任はだれにあるでしょう？

37. だれが、IoTのセキュリティを
守っていくべきか

38. 政府や業界として考えるべき視点
• 業界、事業者や利用者に対する
適切な啓発
• 産業育成の立場で考えればIoT
の発展は不可避であり、イノ
ベーションの源泉となる
• 経済産業省もIoTに関するセ
キュリティガイドラインを展開
• 一方、製品や技術はグローバル
に展開されていることから国際
的な標準化の動きも。

39. 事業者が考えるべき視点
正しいデータの収集、
保護
データの利用目的、
利用者への理解促進
データの通り道、集積基盤に対するセキュリティの確保
（安全なプラットフォームの構築
デバイスに対する適切な認証・認可
（成りすまし、改ざん）
サービスの発展とデバイスの管理
（アップデート）
プライバシーの管理

40. 利用者が考えるべき視点
• コンシューマー向けのIoT製
品/サービスは今後も拡大
• 知らないうちに使っている
• 利用者の責任の範疇もある
• テクノロジーを正しく使う

41. まとめにかえて

42. https://icsmap.shodan.io/
IoTサービスはすでに始まりを見せている
セキュリティリスクは当然のように存在する
IoTとはどのようなものかを理解し、事業者、利用者、政
府などがそれぞれの責任を果たすことが求められている。

43. ご清聴、ありがとうございました！