Weitere ähnliche Inhalte
Ähnlich wie JAWS-UG IoT 専門支部 | 現場に置かれた IoT デバイスのセキュリティをどうするの? SORACOM で実現する IoT のエンドツーエンド・セキュリティ (20)
Mehr von SORACOM,INC (20)
JAWS-UG IoT 専門支部 | 現場に置かれた IoT デバイスのセキュリティをどうするの? SORACOM で実現する IoT のエンドツーエンド・セキュリティ
- 1. 現場に置かれた IoT デバイスの
セキュリティをどうするの?
― SORACOM で実現する IoT のエンドツーエンド・セキュリティ ―
JAWS-UG IoT 専門支部 2018-09 「IoT セキュリティ」
Sep. 11, 2018 / AWS (アルコタワー 19F)
株式会社ソラコム
テクノロジー・エバンジェリスト
松下 享平 (max)
- 2. 自己紹介
株式会社ソラコム / テクノロジー・エバンジェリスト
松下 享平 (まつした こうへい) “max”
静岡県民 🗻 新幹線通勤族 🚅
前職: 東証二部ハードウェア・メーカーで
IoT事業のコーディネート
好きな AWS サービス
• AWS IoT Core
• AWS Greengrass
Facebook, Twitter: ma2shita
- 4. 今日紹介する事、しないこと
する事
• "不正利用" を防ぐためには
• IoT デバイス内の
「価値ある情報」とは
• デバイス上の情報保護方法
や実装
• SORACOM の
IoT デバイスに対する
セキュリティアプローチ
しない事
• セキュリティと
セーフティーの違い
• 物理セキュリティ
• クラウド側のセキュリティ
• 3G/LTE のセキュリティ
• 情報漏えいについて
• システム停止を目的とした破壊
に対する対策
• 組み込みシステム開発における
セキュリティ実装
- 16. SORACOM Air for セルラー
― 標準のネットワークセキュリティ
10.128.0.0/9
デバイスのIPアドレス
インターネット
3G/LTE(GTP) NAT
侵入経路が無く
デバイスは保護される
- 17. SORACOM の閉域網とセキュリティ
― IoT 時代のイントラネット
専用線
基地局
交換局 インターネット
セルラー通信網によるセキュア通信区間
モノ
Amazon VPC ピアリング、
専用線、VPN で直接接続
閉域網を構築
EC2
SORACOM Canal
Amazon VPC ピアリング
プライベートクラウド
データセンタ
SORACOM Direct
SORACOM Door
専用線
RDS
攻撃者
VPN
- 26. Private Garden 機能
インターネット
SORACOM Beam
beam.soracom.io
SORACOM Funnel
funnel.soracom.io
SORACOM harvest
harvest.soracom.io
Private Garden VPG
通常はインターネットに出られる
Private Garden VPG に所属する SIM は
SORACOM Beam / Funnel / Harvest にのみ、アクセスできる
※インターネットへ直接出られなくなる
設定ミスなど
想定外の通信を防止
- 27. SORACOM Air for セルラー
― IMEI ロック
IMSI (SIM) と IMEI (モデム) が一致した時のみ、通信可能
→ 他の端末 (= モデム) に差し替えた場合、通信不能とできる
IMSI: A
IMEI: ア
IMEI: イ
IMSI: A
IMEI ロック
A ⇔ ア
A:イ
A:ア
- 34. SORACOM Beam / Funnel による
デバイス開発の工数削減
デバイス
セキュア&クラウドネイティブな
プロトコル
• メガクラウド
PaaS / SaaS
• パートナー
ソリューション
SORACOM Beam
SORACOM Funnel
SDK や認証情報をデバイスから排除
プリミティブな
プロトコル
• SIM を鍵としてクラウドの認証情報との紐づけ
• クラウド向けプロトコルへ変換
HTTP, MQTT,
TCP, UDP
HTTPS(+JSON), MQTTS,
TCPS
- 35. 実装の比較
1 from AWSIoTPythonSDK.MQTTLib import AWSIoTMQTTClient
2 c = AWSIoTMQTTClient(CLIENT_ID)
3 c.configureEndpoint("data.iot.REGION.amazonaws.com", 8883)
4 c.configureCredentials(rootCAPath, privPath, certPath)
5 c.connect()
6 c.publish(TOPIC, MSG_JSON, 1)
1 import requests
2 requests.post('http://funnel.soracom.io',
3 data=MSG_JSON,
4 headers={'Content-Type': 'application/json'})
AWS IoT SDK 利用.py
SORACOM Funnel 利用.py
SORACOM Funnel
設定画面
AWS IoT Core
AWS IoT Core
endpoint URL やクレデンシャルを
ローカルに保管、読み出しする必要がある
→ 保管をセキュアにする必要もある
endpoint URL やクレデンシャルは
SORACOM 上に保管
→ デバイス上には何も保管する必要が無い
- 36. SORACOM Krypton
― SIMで認証、接続情報をセキュアにプロビジョニング
1. SIMで認証 2. デバイス登録処理代行
認証には強化された SORACOM Endorse を活用した2つの方法
- Option 1: セルラー回線経由で専用エンドポイントに接続
- Option 2: WiFi, 有線を含む任意のアクセス回線上でSIM AKA認証 (plan01s のみ)
クラウドサービスデバイス 4. セキュアな接続を確立
3. 鍵・接続情報
- 39. IoT通信プラットフォーム SORACOM
SORACOM のグローバルなインフラ
世界中の国・地域で利用可能
ライブラリ & SDKs
CLI(Go), Ruby, Swift
Web インターフェース
User Console
データ転送支援
SORACOM Beam
クラウドアダプタ
SORACOM Funnel
データ収集・蓄積
SORACOM Harvest
プライベート接続
SORACOM
Canal
デバイスLAN
SORACOM
Gate
IoT 向けデータ通信
SORACOM Air
Cellular (2G, 3G, LTE) / LPWA (LoRaWAN, Sigfox, LTE-M)
専用線接続
SORACOM
Direct
仮想専用線
SORACOM
Door
API
Web API, Sandbox
データ通信
ネットワーク
データ転送
インタフェース
SIM 認証・証明
SORACOM Endorse
デバイス管理
SORACOM Inventory
透過型
トラフィック処理
SORACOM
Junction
ダッシュボード作成・共有
SORACOM Lagoon
セキュアプロビジョニング
SORACOM Krypton
デバイス支援
アクセス権限管理
SORACOM Access
Management
アプリケーション
データ活用