現実的なIoTのセキュリティ 〜 IoT製品の課題〜

Transcript

1. 現実的なIoTのセキュリティ 〜 IoT製品の課題〜 2017/1/21@江戸前セキュリティ勉強会 2017/5/16 さくらインターネット株式 会社 ◦◦◦◦◦部 桜葉 愛

   (C) Copyright 1996-2016 SAKURA Internet Inc さくらインターネット 技術本部執⾏役員 江草 陽太

2. ⾃⼰紹介 2 さくらインターネット 執⾏役員 技術本部 副本部⻑ 江草 陽太 ソフトウエア・インフラ・組み込み /84$%#εϖγϟϦετ

   2014年10⽉新卒⼊社 2016年7⽉より執⾏役員 @chibiegg

3. ⾃⼰紹介 3 【経歴】 ロボカップジュニア (中学・⾼校) ⼤阪⼤学⼯学部電⼦情報⼯学科情報通信⼯学専攻 個⼈事業主 NHK⼤学ロボコン ⼤阪⼤学⼤学院⼯学研究科中退 SECCON

   CTF 2014 国内4位 【専⾨】 システム設計/コーディング Webアプリケーション NW/SC/DBスペシャリスト 回路設計/組み込み開発

4. ⾃⼰紹介 4 http://japan.zdnet.com/article/35090276/

5. ⾃⼰紹介 5

6. ⾃⼰紹介 6

7. さくらインターネット 7

8. さくらインターネット 8

9. さくらインターネット 9

10. さくらインターネット 10 仮想サーバ さくらのVPS さくらのクラウド 専⽤サーバ さくらの専⽤サーバ ハウジング ハウジング リモートハウジング

    レンタルサーバ さくらのレンタルサーバ さくらのマネージドサー バ コロケーション ホスティング データセンターにまつわるサービスのすべてを提供 顧客が所有する機器類を設 置するスペースと回線、電 源などを貸与するサービス 顧客が物理サーバ1台を丸 ごと占有するサービス 1台のサーバを仮想的に分 割し、分割された領域を占 有できるサービス 1台のサーバを複数の契約 者で共有して利⽤するサー ビス さくらのサービス上で稼働 NEW

11. IoTのイメージ 11 技術的 組み込み 得られるもの ⽣活が豊かになる？ × = IoT

12. 組み込みのイメージ 12 ミニPC

13. 組み込みのイメージ 13 組み込みLinux

14. 組み込みのイメージ 14 ワンチップマイコン

15. IoTのイメージ 15 PC 組み込みLinux ワンチップマイコン メリット 開発の知識が一般的 OSSが利用できる 高性能 ネットワーク対応が簡単

    回路設計が簡素 安価 低消費電力 安定稼働しやすい デメリット 高価 回路設計が複雑 アップデート時のサイズが大きい セキュリティホールに対するリスクが大きい ソフトウエアが特殊 メモリが少ない アップデートする仕組 みが難しい ※全て「⽐較的」が省略されています

16. IoTをサービス化する時の問題点 16 量産可能かどうか 持続可能かどうか 開発コスト・部品原価・⽣産コスト・歩留まり サポート・トラブル対応・アップデート

17. 通信⽅法どうするか 17 TCP/IP どこでも繋がるTCP/IP どこでも繋がるnotIP 近くと繋がるnotIP

18. さくらの答え • 環境視点 • WiFiがあるとは限らない • スマホがあるとは限らない • どこでもつなぎたい •

    サブギガは万能ではない • 製造者視点 • “IoT” でLinuxなんか使わない • 組み込みの⼈はTCP/IPなんか触りたくない • いちいちセキュリティ対策なんかできない • ユーザー視点 • いちいち設定なんかできない • 「何もしてないのに動かなくなった」 18

19. さくらの IoT Platform 19 通信モジュール LTE閉域網 データ保存/連携サービス 統合型プラットフォーム

20. すべてを⾃社でやるのは現実的か？ 20 ネ ッ ト ワ ー ク と デ

    ー タ を や り 取 り し た い だ け な の に … や ら な け れ ば な ら な い こ と が 多 す ぎ る 通 信 ネ ッ ト ワ ー ク D B ミ ド ル A P I

21. すべてを⾃社でやるのは現実的か？ 21 既存の事業領域/スキルセットの⼤幅な変更なく モノ/サービスづくり、連携に注⼒可能 通 信 ネ ッ ト ワ

    ー ク D B ミ ド ル A P I 通信⇔データ連携 さ く ら イ ン タ ー ネ ッ ト に お 任 せ

22. さくらの IoT Platform 22 認証 蓄積 連携 収集 基地局 インターネット

    （外部サービス） モノ （マイコン） 専⽤SIM LTE 閉域網 さくらインターネットデータセンター 専⽤線 SSL/TLS 通信 管理UI さくらのIoT Platformβ 提供範囲 Relation Point モノに組み込む「さくらの通信モジュール」から データを取り出す「連携サービス」までを統合して提供 さくらの 通信モジュール

23. 量産を考慮した設計、機能 23 34mm 46mm LTEモデムチップ 通信制御用MCU SIMカードコネクタ “SDカードほぼ2枚分”に収まるコンパクトサイズ “さくらの通信モジュール”にモノ側の通信に必要なすべてを凝縮

24. 量産を考慮した設計、機能 24 モデムコマンド制御 省電⼒制御 TCP/IPスタック コマンドI/F実装 アプリケーション UART制御 要開発項⽬ さくらの

    通信モジュール アンテナ 削減⼯数 複数の無線規格に対応 従来の通信⼿法 I2C/SPI 「作らなければならないもの」より「作りたいもの」に注⼒が可能 上位プロトコル実装 IoTデバイス、サービスの“開発⼯数削減”が可能

25. 量産を考慮した設計、機能 25 LTE 920MHz(LoRa) 2.4GHz 方式 GW 特徴 通信可能 レンジ

    伝送 速度 消費 電力 LTE 不要 単独 使用可 キャリア網内 どこでも 速い 大きい 2.4GHz帯 必要 短距離 大容量 数百メートル （最大1Km程度） 速い 小さい 920MHz帯 必要 長距離 小容量 数キロメートル （最大10km程度） 遅い 小さい 量産性に配慮した “基板間コネクタ”を採⽤ IoTデバイス、サービスの“開発⼯数削減”が可能 共通I/Fおよび⼨法のため複数規格のモジュールの対応が容易

26. 量産を考慮した設計、機能 26 IoTデバイス、サービスの“開発⼯数削減”が可能 データ活⽤は暗号化された経路から扱いやすいJSONフォーマットで { "module": "XXXXXXXXX", "type": "channels", "datetime":

    "2016-06-01T12:21:11.628907163Z", "payload": { "channels": [ { "channel": 1, "type": "i", "value": 1, “datetime": "2016-06-01T10:21:11.628907163Z" }, { "channel": 2, "type": "b", "value": "0f1e2d3c4b5c6b7a" “datetime": "2016-06-01T11:21:11.628907163Z" } ] } }

27. 量産を考慮した設計、機能 27 ファイルのアップロード モジュールへの配信 管理者 さくらの IoT Platform さくらの 通信モジュール

    マイコンへの適⽤ “ファイル配信機能”でマイコン側のアップデートも実現 ソフトウェア的な問題はアップデートで対応可能 ※マイコン側でのファームウェア書換制御が必要です

28. 量産を考慮した設計、機能 28 閉域網を利⽤した”Secure＆Safety”なネットワーク設計 通信モジュール+SIMカードをセットで提供することで安全性を確保

29. 共創を実現するパートナーサービス 29 1. IBM Bluemix 2. Yahoo! myThings 3. Amazon

    AWS IoT (MQTT) 4. Uhuru Milkcocoa (MQTT) 5. ZEALS BOT TREE for IoT 6. Microsoft Windows10 IoT Core & Azure IoT Hub

30. 共創を実現するパートナーサービス 30 他社クラウドサービスや⾃社環境にも⽤途に応じて連携可能

31. 量産を考慮した設計、機能 31 1. IoTデバイス、サービスの“開発⼯数削減”が可能 2. “SDカードほぼ2枚分”に収まるコンパクトサイズ 3. 閉域網を利⽤した”Secure＆Safety”なネットワーク設計 4. プラットフォームサービスだから“設計や運⽤は考慮不要”

    5. “時刻提供機能”でマイコンに現在時刻を提供 6. “ファイル配信機能”でマイコン側のアップデートも実現

32. 現実的なセキュリティ • インターネット上のサーバ間はSSL使いましょう • サーバは継続的にアップデート可能 • 組み込み機器との通信は構造上安全にしましょう • 閉域網 •

    基本的に通信の暗号化と認証はLTEを利⽤ • その上で簡易な暗号化と認証をソフトウエアで実装 • 開発者にTCP/IPを触らせない • SSLなんか無理！！ 32 IoTはインターネットに繋いだら負け

33. 技術構成

34. さくらの通信モジュール 34 • 3G/LTEモデム • ARMマイコン (STM32) • RTOS (FreeRTOS)

    • TCP/IPプロトコルスタック (LwIP) • HTTP・MQTT等(独⾃実装)

35. データセンター側 35 • GSLB • DNS権威・キャッシュ • データベース • RabbittMQ

    • Dockerクラスタ • Webロードバランサ • Elasticsearch • Redis • memcached • BGPルータ • サービス収容ルータ • ⾃社アプリケーション

36. 全てさくらのクラウドで構築されています 36 試験環境のマップ

37. アプリケーション構成 37 全体の認証・連携管理API 独自プロトコル サーバ HTTP WebSocket MQTT DataStore API

    API

38. アプリケーションのデプロイ 38 必要なコンテナを必要な数だけ 必要な場所にデプロイすることが可能

39. (参考) Marathon UI 39

40. さくらのクラウドで構築するハンズオン資料もあります 40 さくらのクラウドで作るMesos+Marathon+Dockerクラスタ環境 IUUQTXXXHJUCPPLDPNCPPLDIJCJFHHTBLVSBNFTPTNBSBUIPOEFUBJMT https://speakerdeck.com/chibiegg/sakurafalsekuraudodegou-zhu-suru-mesos-plus-marathon-plus-docker-kurasutahuan-jing

41. MarathonによるBlue-Greenデプロイ 41 MarathonのAPIと連携するロードバランサを開発 http://qiita.com/chibiegg/items/5f61790bbada71fcf3c3 • API経由でバージョンの切り替えが可能 • イメージの作成からデプロイ、切り替えが⾃動化可能に GitHub:e →

    ビルド/デプロイ → テスト → 切り替え

42. LTEへの取り組み 42 報道関係各位 2017 年 1 月 5 日 さくらインターネット株式会社

    さくらインターネット 「さくらのIoT Platform」のグローバル展開に向けて香港に子会社を設立 ～海外対応の「さくらの通信モジュール」を2017 年度中に提供～ ΠϯλʔωοτΠϯϑϥαʔϏεΛఏڙ͢Δ͘͞ΒΠϯλʔωοτגࣜձࣾʢຊ ࣾɿେࡕ෎େࡕࢢɺ୅දऔక໾ࣾ௕ɿాத
    ๜༟ʣ͸ɺ ʮ͘͞Βͷ
    *P5
    1MBUGPSNʯ˞ͷ άϩʔόϧల։ͷͨΊɺ߳ߓʹࢠձࣾʮᓎՖҠಈి৴༗ݶެ࢘ʯΛઃཱ͠·ͨ͠ɻ ͞Βʹɺ ʮ͘͞Βͷ
    *P5
    1MBUGPSNʯʹւ֎Ͱ΋઀ଓՄೳͳʮ͘͞Βͷ௨৴Ϟδϡ
    ʔ ϧʯΛ
    
    ೥౓தʹఏڙ͠·͢ɻ ʮᓎՖҠಈి৴༗ݶެ࢘ʯ͸ɺੈքதͷ*P5ε λʔτΞοϓ΍*P5ࣄۀΛల։͢ΔϝʔΧʔʹ޲͚ͨʮ͘͞Βͷ*P5
    1MBUGPSNʯͷ֦ ൢͷαϙʔτΛߦ͍ɺ͘͞ΒΠϯλʔωοτͱڠྗͯ͠ɺւ֎઀ଓʹඞཁͳن֨΍ ϥΠηϯεͷऔಘΛ࣮ࢪ͠·͢ɻ
    ʮ͘͞Βͷ
    *P5
    1MBUGPSNʯ͸ɺσʔλΛૹड৴͢ΔͨΊͷ௨৴؀ڥ΍ɺσʔλͷ อଘɾॲཧʹඞཁͳγεςϜΛҰମܕͰར༻Ͱ͖ΔαʔϏεͰ͢ɻ͓٬͞·ͷ੡඼ ʹʮ͘͞Βͷ௨৴Ϟδϡʔϧʯ ʢෳ਺ͷ௨৴ํ͔ࣜΒબ୒ՄೳʣΛ૊ΈࠐΉ͜ͱͰɺ ౰ࣾͷσʔληϯλʔʹ҆શੑ͕֬อ͞ΕΔดҬ໢Ͱ઀ଓ͠·͢ɻ͜ΕΒ͸ڞ௨ͷ ܗঢ়ɾΠϯλʔϑΣʔε࢓༷ͷͨΊɺ͓٬͞·ͷ༻్ʹԠͯ͡ަ׵͢Δ͜ͱͰɺ੡ ඼։ൃͷ޻਺Λ࡟ݮͰ͖·͢ɻ
    ·ͨɺւ֎ରԠͷʮ͘͞Βͷ௨৴ϞδϡʔϧʯΛར༻͢Δ͜ͱͰɺւ֎޲͚ͷ৽ͨ ͳγεςϜ΍੡඼ͷ։ൃ΋ෆཁͱͳΓɺ͓٬͞·ͷ
    *P5
    αʔϏεʗ੡඼ͷར༻ൣғ Λ؆୯ʹւ֎΁֦େͰ͖ΔΑ͏ʹͳΓ·͢ɻ
    ͘͞ΒΠϯλʔωοτ͸ɺ ʮ͘͞Βͷ
    *P5
    1MBUGPSNʯͷάϩʔόϧల։ΛਐΊɺੈ

43. LTEへの取り組み 43

44. そこに、さくら