http://jawsdays2017.jaws-ug.jp/session/1622/

1. 2017/03/11
「IoT と セキュリティ」ワークショップ
株式会社ソラコム シニアエンジニア 松井基勝

2. • 名前：松井 基勝
• 所属：株式会社ソラコム シニアエンジニア
• 経歴：ゲーム開発→インフラエンジニア
→クラウドエンジニア→IoTエンジニア
• 著書(共著)： NEW 4/12発売
自己紹介

3. 今日お伝えしたいこと

4. IoT の セキュリティなら
SORACOM にお任せ!

5. モバイルとクラウドが融合した
IoT向け通信プラットフォーム
SORACOM

6. 2015年9月30日発表
1日 10円〜、1MB 0.2円〜
モノ向け通信サービス
SORACOM Air

7. 一つのSIMで世界中でつながる
複数の通信キャリアと契約し
現時点で、120を超える国と地域に対応
グローバル用SIM

8. IoTの課題
インターネット クラウドモノ
接続方法 セキュリティ

9. 接続方法
インターネットモノ ・有線LAN
場所の制約
・無線LAN
事前設定が難あり
・3G/LTEの通信は便利
初期費用、通信費高い
長期固定契約

10. ソラコムでの解決策
インターネット クラウドモノ

11. 専用線
基地局
モノ インターネット
パケット交換
帯域制御
顧客管理
課金
AWS
クラウド
３G/LTE
SORACOM Air
SIMカード
API

12. SORACOM Airはモノをクラウドに直接繋げる

13. Internet of Things (IoT)
インターネット クラウドThings
解析技術
可視化

14. インターネット クラウドThings
セキュリティ?
インターネット
接続？
IoTシステム構築時の課題

15. •通信内容が盗み見られてしまうの
では？
•デバイスに外部からアクセスされて
しまうのでは？
•デバイスの認証情報が漏れてし
まったら
よく聞かれるセキュリティ上の懸念

16. https://www.flickr.com/photos/notionscapital/16828864532
https://www.amazon.com/dp/B013UIQB9W
次々にハッキングされる IoT デバイス

17. さらに他のデバイスをハッキングしてしまう
ハッキングされてしまったら…
Malware Mirai

18. SORACOMまではセキュア
SIMで認証された通信は、
SORACOMまで閉域網で到達
専用線
モノ
インターネット
３G/LTE

19. 専用線
• データの暗号化
• SIMのIDを使った認証
• 通信先サーバの動的な変更
• プロトコル変換
SORACOM Beam
３G/LTE
インターネット
Beam
モノ

20. デバイスごとの設定が最小限に
デバイスごとに
ID/パスワード
証明書
接続先 etc..
の設定
一般的な構成

21. 専用線
３G/LTE
Beam
デバイスごとの設定が最小限に
SIMをセット
接続先を一括設定
暗号化/プロトコル変換
証明書などの付与

22. SORACOMを活用したIoTシステムの場合
専用線
Beamで暗号化＆
認証情報付加デバイスはSIMで認証
（サーバへの認証情報は
持たせない）
State-full Firewallが
デバイスへの直接通信
は遮断
AirでSORACOMと
安全な通信路SIMの耐タンパ性
デバイスの認証
情報を盗もう
間で通信を
盗み見よう
デバイスにリモート
アクセスしてやろう
IoT
バックエンド
The Internet

23. • IoTバックエンドのエンドポイントを公開するリスク
• デバイス側にマルウェア等が仕込まれることのリスク
残るセキュリティ上の課題
IoT
バックエンド
IoTバックエンドを
攻撃しよう
デバイスにマルウェ
アを仕込もう
情報漏えい
第3者への攻撃加担
サービス妨害
システム侵入
The Internet

24. The Internet に出ない
閉じたIoTシステムは作れないのか？
IoT
バックエンド

25. SORACOM CanalC
プライベート接続サービス

26. SORACOM Canal
AWS
お客様
システム
直結
専用線
NTTドコモ
の交換局
お客様のクラウド上のシステムとSORACOMの間で
プライベートピアリング

27. • SORACOM Virtual Private Gateway (VPG)と
お客様のVPCをPeering接続
SORACOM Canalによる接続詳細
SORACOM
Virtual Private Gateway
(VPG)
お客様のVPC
AWS Tokyo region

28. IoTバックエンドがAWS外に
ある場合はどうすればよいのか？

29. SORACOM DirectD
専用線接続サービス

30. SORACOM Direct
AWS
専用線
NTTドコモ
の交換局
AWS外の
お客様システム専用線
お客様の任意のシステムと専用線による直接接続

31. • SORACOM Virtual Private Gateway (VPG)と
お客様のシステムをAWS Direct Connectで接続
SORACOM Directによる接続詳細
AWS Tokyo region
SORACOM
Virtual Private Gateway
(VPG)
お客様の
IoTバックエンド
SORACOM Direct
AWS
Direct Connect
(専用線)

32. 専用線ではなく
手軽なインターネットVPNで
閉域網接続出来ないか？

33. SORACOM DoorD
仮想専用線接続サービス

34. SORACOM Door
AWS
専用線
NTTドコモ
の交換局
AWS外の
お客様システムInternet
お客様の任意のシステムと
インターネットVPNによる閉域網接続
VPN

35. • SORACOM Virtual Private Gateway (VPG)と
お客様のシステムをAWSのVPN Connectionで接続
SORACOM Doorによる接続詳細
AWS Tokyo region
SORACOM
Virtual Private Gateway
(VPG)
お客様の
IoTバックエンド
SORACOM Door
AWS VPN
Connection
(インターネットVPN)

36. SORACOM Airで繋いだデバイスに外
からアクセスするにはどうしたらいいで
すか？
固定グローバルIPアドレスを付けても
らえませんか？
リリース以来よく聞かれた質問

37. デバイスへの直接通信を実現するには？

38. SORACOMのネットワークポリシー
外部ネットワークからデバイスへの
直接通信は遮断
お客様サーバ
悪意ある攻撃者

39. お客様のデバイスとサーバだけが
自由に通信できるネットワークを作れないか？
お客様
のシステム

40. SORACOM GateG
デバイスLAN接続

41. 星の数ほどのヒトとモノを自由に繋いで
思い想いの星座を描いて欲しい

43. お客様のシステム
SORACOM Gate
Internet
1つのLANに繋がっているかのように自由に双方向通信
- サーバからデバイス
- デバイスからデバイス
デバイスとクラウドを１つの大きな仮想サブネットに

44. SORACOM Gate
デバイスとクラウドを１つの大きな仮想サブネットに
Internet
お客様のシステム
Gate Virtual Subnet

45. SORACOM Gate 構成図

46. デモ

47. SORACOM 閉域系サービスまとめ
Gate
デバイスへの
直接アクセス
Canal
AWS VPCへの
閉域網接続
Direct
専用線接続
オンプレミス環境等
Door
仮想専用線接続
AWS以外のクラウド等

48. 《 株式会社ソラコムのビジョン 》
世界中のヒトとモノをつなげ
共鳴する社会へ