Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSを活用したIoTにおけるセキュリティ対策のご紹介

Kawasaki Yuki
February 25, 2025

 AWSを活用したIoTにおけるセキュリティ対策のご紹介

2025年2月25日に実施したJAWS IoT専門支部の「20:25 - 20:45 AWSを活用したIoTにおけるセキュリティ対策のご紹介」で資料した資料です。イベント詳細は以下を確認ください。
https://jawsug-iot.connpass.com/event/340508/
youtubeはこちら(https://www.youtube.com/watch?v=GxKlwaFJQ3o&list=PLYMeJaIBczfrOUlMQuuzYsN0SkT4V1Iua&index=8

Kawasaki Yuki

February 25, 2025
Tweet

Other Decks in Technology

Transcript

  1. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. AWSを活用した IoT における セキュリティ対策のご紹介 川崎 裕希 ( Kawasaki Yuki ) ソリューションアーキテクト アマゾン ウェブ サービス ジャパン 合同会社
  2. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. はじめに 本資料では2025年01月時点のサービス内容および価格について ご説明しています。 最新の情報はAWS公式ウェブサイト(http://aws.amazon.com)を ご確認ください。 資料作成には十分注意しておりますが、資料内の価格とAWS公式 ウェブサイト記載の価格に相違があった場合、 AWS公式ウェブサイトの価格を優先とさせていただきます。 価格は税抜表記となっています。 日本居住者のお客様には別途消費税をご請求させていただきます。 2
  3. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 自己紹介 ▪名前 川崎 裕希 (Kawasaki Yuki) ▪所属 アマゾン ウェブ サービス ジャパン 合同会社 エンダープライズ技術統括本部 自動車・製造グループ ソリューションアーキテクト ▪一言 お客様専任のエンジニアです。 IoT以外でもペーパーレス、OCR、バーコードなど何でもご相談ください!
  4. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 4 出典: JVNTA#95530271 Mirai 等のマルウェアで構築されたボットネットによる DDoS 攻撃の脅威 https://jvn.jp/ta/JVNTA95530271/ 出典: 日経クロステックトレンドマイクロが大規模DDoS攻撃を実行するIoTボットネット発見、 日本向けも観測 https://xtech.nikkei.com/atcl/nxt/news/24/02024/
  5. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. IoT デバイスと扱うデータの特徴 • 無線ネットワークで接続 • 大量の IoT デバイスが様々な場所に配置 • 機器出荷後の改修 ( 回収 ) 難易度 • 単一データと連続データのデータ特性差異 5 Device A yyyy/MM/dd 12:00 気温10℃ Device A yyyy/MM/dd 13:00 気温13℃ Device A yyyy/MM/dd 14:00 気温18℃ Device A yyyy/MM/dd 15:00 気温22℃ Device A yyyy/MM/dd 16:00 気温22℃ Device A yyyy/MM/dd 17:00 気温18℃ Device A yyyy/MM/dd 18:00 気温16℃ ・・・ ・・・ ・・・ Device A yyyy/MM/dd 23:00 気温01℃
  6. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. IoTで考慮すべきセキュリティのレイヤ データ ソフトウェア 通信 デバイス 物理
  7. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. IoTにおけるセキュリティ考慮事項 データ データの保護 ソフトウェア デバイスソフトウェア更新 通信 データの保護 デバイス デバイスの安全な認証・認可 デバイスの監視・監査 物理 ハードウェアの保護
  8. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. IoTにおけるセキュリティ考慮事項 データ データの保護 ソフトウェア デバイスソフトウェア更新 通信 データの保護 デバイス デバイスの安全な認証・認可 デバイスの監視・監査 物理 ハードウェアの保護 すべてに対応することが理想だが、 限られた資源 ( 人、モノ、カネ ) を考慮し優先 順位をつけて対応する必要がある。
  9. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. JC-STAR の★1で対応すべき対策 9 出典:IPA セキュリティ要件適合評価及びラベリング制度(JC-STAR) https://www.ipa.go.jp/security/jc-star/index.html 参照: セキュリティ要件適合評価及びラベリング制度(JC-STAR)★1 レベル適合基準・評価手法 令和 6 年12月 ・・・
  10. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. IoTシステムの全体イメージ IoT デバイス IoT エンドポイント ストレージ サーバ サーバ環境 ルーター <プログラム> ・・・ # ユーザー名とパスワードの設定 client.username_pw_set(username="your_username", password="your_password") # ブローカーへの接続 broker_address = "mqtt.example.com" port = 1883 client.connect(broker_address, port) ・・・ MQTT
  11. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. IoTシステムの全体イメージ IoT デバイス IoT エンドポイント ストレージ サーバ サーバ環境 ルーター MQTT <プログラム> ・・・ # ユーザー名とパスワードの設定 client.username_pw_set(username="your_username", password="your_password") # ブローカーへの接続 broker_address = "mqtt.example.com" port = 1883 client.connect(broker_address, port) ・・・
  12. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. IoTシステムの全体イメージ IoT デバイス IoT エンドポイント ストレージ サーバ サーバ環境 ルーター <プログラム例> ・・・ mqtt_connection = mqtt_connection_builder.mtls_from_path( endpoint=args.endpoint, cert_filepath=args.cert, pri_key_filepath=args.key, ・・・ MQTT デバイス 証明書 秘密鍵
  13. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. IoTシステムの全体イメージ IoT デバイス IoT エンドポイント ストレージ サーバ サーバ環境 ルーター <プログラム例> ・・・ mqtt_connection = mqtt_connection_builder.mtls_from_path( endpoint=args.endpoint, cert_filepath=args.cert, pri_key_filepath=args.key, ・・・ MQTT デバイス 証明書 秘密鍵
  14. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. IoTシステムの全体イメージ IoT デバイス IoT エンドポイント サーバ環境 ルーター デバイス 証明書 秘密鍵 AWS IoT Core で解決できます! AWS IoT Core
  15. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. AWS IoT Core では証明書の管理が可能 • デバイス証明書を無制限に発行・登録 • デバイス毎に個別の証明書を発行・登録 • クラウドから証明書を無効化 AWS IoT Coreにおけるデバイス証明書 https://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/x509-client-certs.html AWS IoT Coreでのデバイス証明書の発行および登録方法 https://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/device-certs-create.html AWS IoT Core
  16. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 証明書をリモートで無効化する場合 攻撃者 攻撃者 無効化
  17. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 17
  18. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 証明書の配布について • ( 開発フェーズ ) 証明書と秘密鍵を直接 IoT デバイスへ書き込み • ジャストインタイムプロビジョニング ( JITP ) • ジャストインタイム登録 ( JITR ) • フリートプロビジョニング ( クレーム利用 ) 18 IoT デバイスのセキュアな通信を実現。X.509 証明書のプロビジョニング方法とは ? https://aws.amazon.com/jp/builders-flash/202204/x509-certificates-iot-core/
  19. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. ジャストインタイムプロビジョニング ( JITP ) 19
  20. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. フリートプロビジョニング ( クレーム利用 ) 20 5. Thing、Policyがテ ンプレートに合わせて 作成、証明書が有効に 3. デバイスに個別の証 明書・秘密鍵を保存 プロビジョニング後は この情報を用いて接続 4. クレーム証明書・秘密鍵 とトークンを使って、プロ ビジョニングをリクエスト 1. クレーム証明書・秘密鍵 を使って証明書・秘密鍵の 発行をリクエスト 6. クレーム証明書を用い た接続を切断し、個別証 明書を用いた接続を開始 2. 個別の証明書・秘密 鍵、トークンが発行 4.5. (option) AWS Lambda でリクエストされたデバイス 情報が正しいかを検証
  21. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. エンドポイント毎にプロトコル/認証方式の限定も可能 21 https://aws.amazon.com/jp/about-aws/whats-new/2024/10/aws-iot-core-tls-alpn-requirement-custom-authorizer-capabilit 参考情報
  22. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. まとめ • IoT環境でも、優先順位をつけて物理やデバイスのレ イヤまで含めてセキュリティを考慮する必要がある • IoTデバイス特有の特徴や制約から、IoT特有のセキュ リティ要件が生まれる( JC-STARの誕生 ) • AWS IoTを用いることで、効率的にIoTの セキュリティ要件を解決できる
  23. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 最後に・・・ • [AWS Black Belt Online Seminar] AWS IoT Greengrass ネット ワーク/セキュリティ編 のご紹介 23 PDF: https://pages.awscloud.com/rs/112-TZM-766/images/AWS- Black-Belt_2025_AWS-IoT-Greengrass-Network- Security_0131_v1.pdf Youtube: https://youtu.be/5Qv6K8jfwD8
  24. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. Thank you! © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.