Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSを活用したIoTにおけるセキュリティ対策のご紹介

Kawasaki Yuki
February 25, 2025
Technology
0
120

 AWSを活用したIoTにおけるセキュリティ対策のご紹介

2025年2月25日に実施したJAWS IoT専門支部の「20:25 - 20:45 AWSを活用したIoTにおけるセキュリティ対策のご紹介」で資料した資料です。イベント詳細は以下を確認ください。
https://jawsug-iot.connpass.com/event/340508/
youtubeはこちら(https://www.youtube.com/watch?v=GxKlwaFJQ3o&list=PLYMeJaIBczfrOUlMQuuzYsN0SkT4V1Iua&index=8

Kawasaki Yuki

February 25, 2025
Tweet

Other Decks in Technology

See All in Technology
PHPで印刷所に入稿できる名札データを作る / Generating Print-Ready Name Tag Data with PHP
tomzoh
0
180
スキルだけでは満たせない、 “組織全体に”なじむオンボーディング/Onboarding that fits “throughout the organization” and cannot be satisfied by skills alone
bitkey
0
110
人はなぜISUCONに夢中になるのか
kakehashi
PRO
6
1.7k
エンジニアリング価値を黒字化する バリューベース戦略を用いた 技術戦略策定の道のり
kzkmaeda
6
1.3k
EDRの検知の仕組みと検知回避について
chayakonanaika
8
4.1k
LINE NEWSにおけるバックエンド開発
lycorptech_jp
PRO
0
110
Classmethod AI Talks(CATs) #17 司会進行スライド(2025.02.19) / classmethod-ai-talks-aka-cats_moderator-slides_vol17_2025-02-19
shinyaa31
0
170
一度 Expo の採用を断念したけど、 再度 Expo の導入を検討している話
ichiki1023
1
250
OpenID Connect for Identity Assurance の概要と翻訳版のご紹介 / 20250219-BizDay17-OIDC4IDA-Intro
oidfj
0
460
データエンジニアリング領域におけるDuckDBのユースケース
chanyou0311
4
1.6k
The Future of SEO: The Impact of AI on Search
badams
0
250
Oracle Cloud Infrastructure:2025年2月度サービス・アップデート
oracle4engineer
PRO
1
400

Featured

See All Featured
Automating Front-end Workflow
addyosmani
1368
200k
[RailsConf 2023] Rails as a piece of cake
palkan
53
5.3k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
33
2.8k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.1k
The Invisible Side of Design
smashingmag
299
50k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.7k
Speed Design
sergeychernyshev
27
800
The Cost Of JavaScript in 2023
addyosmani
47
7.3k
Visualization
eitanlees
146
15k
We Have a Design System, Now What?
morganepeng
51
7.4k
Into the Great Unknown - MozCon
thekraken
35
1.6k

Transcript

  1. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. AWSを活用した IoT における セキュリティ対策のご紹介 川崎 裕希 ( Kawasaki Yuki ) ソリューションアーキテクト アマゾン ウェブ サービス ジャパン 合同会社

  2. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. はじめに 本資料では2025年01月時点のサービス内容および価格について ご説明しています。 最新の情報はAWS公式ウェブサイト(http://aws.amazon.com)を ご確認ください。 資料作成には十分注意しておりますが、資料内の価格とAWS公式 ウェブサイト記載の価格に相違があった場合、 AWS公式ウェブサイトの価格を優先とさせていただきます。 価格は税抜表記となっています。 日本居住者のお客様には別途消費税をご請求させていただきます。 2

  3. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 自己紹介 ▪名前 川崎 裕希 (Kawasaki Yuki) ▪所属 アマゾン ウェブ サービス ジャパン 合同会社 エンダープライズ技術統括本部 自動車・製造グループ ソリューションアーキテクト ▪一言 お客様専任のエンジニアです。 IoT以外でもペーパーレス、OCR、バーコードなど何でもご相談ください!

  4. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 4 出典: JVNTA#95530271 Mirai 等のマルウェアで構築されたボットネットによる DDoS 攻撃の脅威 https://jvn.jp/ta/JVNTA95530271/ 出典: 日経クロステックトレンドマイクロが大規模DDoS攻撃を実行するIoTボットネット発見、 日本向けも観測 https://xtech.nikkei.com/atcl/nxt/news/24/02024/

  5. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. IoT デバイスと扱うデータの特徴 • 無線ネットワークで接続 • 大量の IoT デバイスが様々な場所に配置 • 機器出荷後の改修 ( 回収 ) 難易度 • 単一データと連続データのデータ特性差異 5 Device A yyyy/MM/dd 12:00 気温10℃ Device A yyyy/MM/dd 13:00 気温13℃ Device A yyyy/MM/dd 14:00 気温18℃ Device A yyyy/MM/dd 15:00 気温22℃ Device A yyyy/MM/dd 16:00 気温22℃ Device A yyyy/MM/dd 17:00 気温18℃ Device A yyyy/MM/dd 18:00 気温16℃ ・・・ ・・・ ・・・ Device A yyyy/MM/dd 23:00 気温01℃

  6. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. IoTで考慮すべきセキュリティのレイヤ データ ソフトウェア 通信 デバイス 物理

  7. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. IoTにおけるセキュリティ考慮事項 データ データの保護 ソフトウェア デバイスソフトウェア更新 通信 データの保護 デバイス デバイスの安全な認証・認可 デバイスの監視・監査 物理 ハードウェアの保護

  8. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. IoTにおけるセキュリティ考慮事項 データ データの保護 ソフトウェア デバイスソフトウェア更新 通信 データの保護 デバイス デバイスの安全な認証・認可 デバイスの監視・監査 物理 ハードウェアの保護 すべてに対応することが理想だが、 限られた資源 ( 人、モノ、カネ ) を考慮し優先 順位をつけて対応する必要がある。

  9. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. JC-STAR の★1で対応すべき対策 9 出典:IPA セキュリティ要件適合評価及びラベリング制度(JC-STAR) https://www.ipa.go.jp/security/jc-star/index.html 参照: セキュリティ要件適合評価及びラベリング制度(JC-STAR)★1 レベル適合基準・評価手法 令和 6 年12月 ・・・

  10. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. IoTシステムの全体イメージ IoT デバイス IoT エンドポイント ストレージ サーバ サーバ環境 ルーター <プログラム> ・・・ # ユーザー名とパスワードの設定 client.username_pw_set(username="your_username", password="your_password") # ブローカーへの接続 broker_address = "mqtt.example.com" port = 1883 client.connect(broker_address, port) ・・・ MQTT

  11. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. IoTシステムの全体イメージ IoT デバイス IoT エンドポイント ストレージ サーバ サーバ環境 ルーター MQTT <プログラム> ・・・ # ユーザー名とパスワードの設定 client.username_pw_set(username="your_username", password="your_password") # ブローカーへの接続 broker_address = "mqtt.example.com" port = 1883 client.connect(broker_address, port) ・・・

  12. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. IoTシステムの全体イメージ IoT デバイス IoT エンドポイント ストレージ サーバ サーバ環境 ルーター <プログラム例> ・・・ mqtt_connection = mqtt_connection_builder.mtls_from_path( endpoint=args.endpoint, cert_filepath=args.cert, pri_key_filepath=args.key, ・・・ MQTT デバイス 証明書 秘密鍵

  13. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. IoTシステムの全体イメージ IoT デバイス IoT エンドポイント ストレージ サーバ サーバ環境 ルーター <プログラム例> ・・・ mqtt_connection = mqtt_connection_builder.mtls_from_path( endpoint=args.endpoint, cert_filepath=args.cert, pri_key_filepath=args.key, ・・・ MQTT デバイス 証明書 秘密鍵

  14. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. IoTシステムの全体イメージ IoT デバイス IoT エンドポイント サーバ環境 ルーター デバイス 証明書 秘密鍵 AWS IoT Core で解決できます! AWS IoT Core

  15. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. AWS IoT Core では証明書の管理が可能 • デバイス証明書を無制限に発行・登録 • デバイス毎に個別の証明書を発行・登録 • クラウドから証明書を無効化 AWS IoT Coreにおけるデバイス証明書 https://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/x509-client-certs.html AWS IoT Coreでのデバイス証明書の発行および登録方法 https://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/device-certs-create.html AWS IoT Core

  16. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 証明書をリモートで無効化する場合 攻撃者 攻撃者 無効化

  17. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 17

  18. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 証明書の配布について • ( 開発フェーズ ) 証明書と秘密鍵を直接 IoT デバイスへ書き込み • ジャストインタイムプロビジョニング ( JITP ) • ジャストインタイム登録 ( JITR ) • フリートプロビジョニング ( クレーム利用 ) 18 IoT デバイスのセキュアな通信を実現。X.509 証明書のプロビジョニング方法とは ? https://aws.amazon.com/jp/builders-flash/202204/x509-certificates-iot-core/

  19. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. ジャストインタイムプロビジョニング ( JITP ) 19

  20. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. フリートプロビジョニング ( クレーム利用 ) 20 5. Thing、Policyがテ ンプレートに合わせて 作成、証明書が有効に 3. デバイスに個別の証 明書・秘密鍵を保存 プロビジョニング後は この情報を用いて接続 4. クレーム証明書・秘密鍵 とトークンを使って、プロ ビジョニングをリクエスト 1. クレーム証明書・秘密鍵 を使って証明書・秘密鍵の 発行をリクエスト 6. クレーム証明書を用い た接続を切断し、個別証 明書を用いた接続を開始 2. 個別の証明書・秘密 鍵、トークンが発行 4.5. (option) AWS Lambda でリクエストされたデバイス 情報が正しいかを検証

  21. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. エンドポイント毎にプロトコル/認証方式の限定も可能 21 https://aws.amazon.com/jp/about-aws/whats-new/2024/10/aws-iot-core-tls-alpn-requirement-custom-authorizer-capabilit 参考情報

  22. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. まとめ • IoT環境でも、優先順位をつけて物理やデバイスのレ イヤまで含めてセキュリティを考慮する必要がある • IoTデバイス特有の特徴や制約から、IoT特有のセキュ リティ要件が生まれる( JC-STARの誕生 ) • AWS IoTを用いることで、効率的にIoTの セキュリティ要件を解決できる

  23. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. 最後に・・・ • [AWS Black Belt Online Seminar] AWS IoT Greengrass ネット ワーク/セキュリティ編 のご紹介 23 PDF: https://pages.awscloud.com/rs/112-TZM-766/images/AWS- Black-Belt_2025_AWS-IoT-Greengrass-Network- Security_0131_v1.pdf Youtube: https://youtu.be/5Qv6K8jfwD8

  24. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Amazon Confidential and Trademark. Thank you! © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.