2017/03/11
「IoT と セキュリティ」ワークショップ
株式会社ソラコム シニアエンジニア 松井基勝
• 名前:松井 基勝
• 所属:株式会社ソラコム シニアエンジニア
• 経歴:ゲーム開発→インフラエンジニア
→クラウドエンジニア→IoTエンジニア
• 著書(共著): NEW 4/12発売
自己紹介
今日お伝えしたいこと
IoT の セキュリティなら
SORACOM にお任せ!
モバイルとクラウドが融合した
IoT向け通信プラットフォーム
SORACOM
2015年9月30日発表
1日 10円〜、1MB 0.2円〜
モノ向け通信サービス
SORACOM Air
一つのSIMで世界中でつながる
複数の通信キャリアと契約し
現時点で、120を超える国と地域に対応
グローバル用SIM
IoTの課題
インターネット クラウドモノ
接続方法 セキュリティ
接続方法
インターネットモノ ・有線LAN
場所の制約
・無線LAN
事前設定が難あり
・3G/LTEの通信は便利
初期費用、通信費高い
長期固定契約
ソラコムでの解決策
インターネット クラウドモノ
専用線
基地局
モノ インターネット
パケット交換
帯域制御
顧客管理
課金
AWS
クラウド
3G/LTE
SORACOM Air
SIMカード
API
SORACOM Airはモノをクラウドに直接繋げる
Internet of Things (IoT)
インターネット クラウドThings
解析技術
可視化
インターネット クラウドThings
セキュリティ?
インターネット
接続?
IoTシステム構築時の課題
•通信内容が盗み見られてしまうの
では?
•デバイスに外部からアクセスされて
しまうのでは?
•デバイスの認証情報が漏れてし
まったら
よく聞かれるセキュリティ上の懸念
https://www.flickr.com/photos/notionscapital/16828864532
https://www.amazon.com/dp/B013UIQB9W
次々にハッキングされる IoT デバイス
さらに他のデバイスをハッキングしてしまう
ハッキングされてしまったら…
Malware Mirai
SORACOMまではセキュア
SIMで認証された通信は、
SORACOMまで閉域網で到達
専用線
モノ
インターネット
3G/LTE
専用線
• データの暗号化
• SIMのIDを使った認証
• 通信先サーバの動的な変更
• プロトコル変換
SORACOM Beam
3G/LTE
インターネット
Beam
モノ
デバイスごとの設定が最小限に
デバイスごとに
ID/パスワード
証明書
接続先 etc..
の設定
一般的な構成
専用線
3G/LTE
Beam
デバイスごとの設定が最小限に
SIMをセット
接続先を一括設定
暗号化/プロトコル変換
証明書などの付与
SORACOMを活用したIoTシステムの場合
専用線
Beamで暗号化&
認証情報付加デバイスはSIMで認証
(サーバへの認証情報は
持たせない)
State-full Firewallが
デバイスへの直接通信
は遮断
AirでSORACOMと
安全な通信路SIMの耐タンパ性
デバイスの認証
情報を盗もう
間で通信を
盗み見よう
デバイスにリモート
アクセスしてやろう
IoT
バックエンド
The Internet
• IoTバックエンドのエンドポイントを公開するリスク
• デバイス側にマルウェア等が仕込まれることのリスク
残るセキュリティ上の課題
IoT
バックエンド
IoTバックエンドを
攻撃しよう
デバイスにマルウェ
アを仕込もう
情報漏えい
第3者への攻撃加担
サービス妨害
システム侵入
The Internet
The Internet に出ない
閉じたIoTシステムは作れないのか?
IoT
バックエンド
SORACOM CanalC
プライベート接続サービス
SORACOM Canal
AWS
お客様
システム
直結
専用線
NTTドコモ
の交換局
お客様のクラウド上のシステムとSORACOMの間で
プライベートピアリング
• SORACOM Virtual Private Gateway (VPG)と
お客様のVPCをPeering接続
SORACOM Canalによる接続詳細
SORACOM
Virtual Private Gateway
(VPG)
お客様のVPC
AWS Tokyo region
IoTバックエンドがAWS外に
ある場合はどうすればよいのか?
SORACOM DirectD
専用線接続サービス
SORACOM Direct
AWS
専用線
NTTドコモ
の交換局
AWS外の
お客様システム専用線
お客様の任意のシステムと専用線による直接接続
• SORACOM Virtual Private Gateway (VPG)と
お客様のシステムをAWS Direct Connectで接続
SORACOM Directによる接続詳細
AWS Tokyo region
SORACOM
Virtual Private Gateway
(VPG)
お客様の
IoTバックエンド
SORACOM Direct
AWS
Direct Connect
(専用線)
専用線ではなく
手軽なインターネットVPNで
閉域網接続出来ないか?
SORACOM DoorD
仮想専用線接続サービス
SORACOM Door
AWS
専用線
NTTドコモ
の交換局
AWS外の
お客様システムInternet
お客様の任意のシステムと
インターネットVPNによる閉域網接続
VPN
• SORACOM Virtual Private Gateway (VPG)と
お客様のシステムをAWSのVPN Connectionで接続
SORACOM Doorによる接続詳細
AWS Tokyo region
SORACOM
Virtual Private Gateway
(VPG)
お客様の
IoTバックエンド
SORACOM Door
AWS VPN
Connection
(インターネットVPN)
SORACOM Airで繋いだデバイスに外
からアクセスするにはどうしたらいいで
すか?
固定グローバルIPアドレスを付けても
らえませんか?
リリース以来よく聞かれた質問
デバイスへの直接通信を実現するには?
SORACOMのネットワークポリシー
外部ネットワークからデバイスへの
直接通信は遮断
お客様サーバ
悪意ある攻撃者
お客様のデバイスとサーバだけが
自由に通信できるネットワークを作れないか?
お客様
のシステム
SORACOM GateG
デバイスLAN接続
星の数ほどのヒトとモノを自由に繋いで
思い想いの星座を描いて欲しい
お客様のシステム
SORACOM Gate
Internet
1つのLANに繋がっているかのように自由に双方向通信
- サーバからデバイス
- デバイスからデバイス
デバイスとクラウドを1つの大きな仮想サブネットに
SORACOM Gate
デバイスとクラウドを1つの大きな仮想サブネットに
Internet
お客様のシステム
Gate Virtual Subnet
SORACOM Gate 構成図
デモ
SORACOM 閉域系サービスまとめ
Gate
デバイスへの
直接アクセス
Canal
AWS VPCへの
閉域網接続
Direct
専用線接続
オンプレミス環境等
Door
仮想専用線接続
AWS以外のクラウド等
《 株式会社ソラコムのビジョン 》
世界中のヒトとモノをつなげ
共鳴する社会へ
JAWS DAYS 2017「IoTとセキュリティ」ワークショップ

JAWS DAYS 2017「IoTとセキュリティ」ワークショップ

Editor's Notes

  • #20 S
  • #43 空画像はCC0。商用利用OK https://pixabay.com/ja/%E3%82%AF%E3%83%A9%E3%82%A6%E3%83%89-%E9%9B%B2-%E7%A9%BA-%E9%9D%92%E3%81%84%E7%A9%BA-%E3%82%B9%E3%83%9A%E3%83%BC%E3%82%B9-%E5%A4%AA%E9%99%BD%E3%81%AE%E5%85%89-%E5%85%89%E3%81%AE%E7%B7%9A-97453/ Warp GateはKenta購入済み http://www.shutterstock.com/ja/pic.mhtml?utm_medium=Affiliate&id=309206798&utm_source=44814&&tpl=44814-43068&irgwc=1&utm_campaign=Pixabay