Slide 1

Slide 1 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. AWSを活用した IoT における セキュリティ対策のご紹介 川崎 裕希 ( Kawasaki Yuki ) ソリューションアーキテクト アマゾン ウェブ サービス ジャパン 合同会社

Slide 2

Slide 2 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. はじめに 本資料では2025年01月時点のサービス内容および価格について ご説明しています。 最新の情報はAWS公式ウェブサイト(http://aws.amazon.com)を ご確認ください。 資料作成には十分注意しておりますが、資料内の価格とAWS公式 ウェブサイト記載の価格に相違があった場合、 AWS公式ウェブサイトの価格を優先とさせていただきます。 価格は税抜表記となっています。 日本居住者のお客様には別途消費税をご請求させていただきます。 2

Slide 3

Slide 3 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. 自己紹介 ■名前 川崎 裕希 (Kawasaki Yuki) ■所属 アマゾン ウェブ サービス ジャパン 合同会社 エンダープライズ技術統括本部 自動車・製造グループ ソリューションアーキテクト ■一言 お客様専任のエンジニアです。 IoT以外でもペーパーレス、OCR、バーコードなど何でもご相談ください!

Slide 4

Slide 4 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. 4 出典: JVNTA#95530271 Mirai 等のマルウェアで構築されたボットネットによる DDoS 攻撃の脅威 https://jvn.jp/ta/JVNTA95530271/ 出典: 日経クロステックトレンドマイクロが大規模DDoS攻撃を実行するIoTボットネット発見、 日本向けも観測 https://xtech.nikkei.com/atcl/nxt/news/24/02024/

Slide 5

Slide 5 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. IoT デバイスと扱うデータの特徴 • 無線ネットワークで接続 • 大量の IoT デバイスが様々な場所に配置 • 機器出荷後の改修 ( 回収 ) 難易度 • 単一データと連続データのデータ特性差異 5 Device A yyyy/MM/dd 12:00 気温10℃ Device A yyyy/MM/dd 13:00 気温13℃ Device A yyyy/MM/dd 14:00 気温18℃ Device A yyyy/MM/dd 15:00 気温22℃ Device A yyyy/MM/dd 16:00 気温22℃ Device A yyyy/MM/dd 17:00 気温18℃ Device A yyyy/MM/dd 18:00 気温16℃ ・・・ ・・・ ・・・ Device A yyyy/MM/dd 23:00 気温01℃

Slide 6

Slide 6 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. IoTで考慮すべきセキュリティのレイヤ データ ソフトウェア 通信 デバイス 物理

Slide 7

Slide 7 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. IoTにおけるセキュリティ考慮事項 データ データの保護 ソフトウェア デバイスソフトウェア更新 通信 データの保護 デバイス デバイスの安全な認証・認可 デバイスの監視・監査 物理 ハードウェアの保護

Slide 8

Slide 8 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. IoTにおけるセキュリティ考慮事項 データ データの保護 ソフトウェア デバイスソフトウェア更新 通信 データの保護 デバイス デバイスの安全な認証・認可 デバイスの監視・監査 物理 ハードウェアの保護 すべてに対応することが理想だが、 限られた資源 ( 人、モノ、カネ ) を考慮し優先 順位をつけて対応する必要がある。

Slide 9

Slide 9 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. JC-STAR の★1で対応すべき対策 9 出典:IPA セキュリティ要件適合評価及びラベリング制度(JC-STAR) https://www.ipa.go.jp/security/jc-star/index.html 参照: セキュリティ要件適合評価及びラベリング制度(JC-STAR)★1 レベル適合基準・評価手法 令和 6 年12月 ・・・

Slide 10

Slide 10 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. IoTシステムの全体イメージ IoT デバイス IoT エンドポイント ストレージ サーバ サーバ環境 ルーター <プログラム> ・・・ # ユーザー名とパスワードの設定 client.username_pw_set(username="your_username", password="your_password") # ブローカーへの接続 broker_address = "mqtt.example.com" port = 1883 client.connect(broker_address, port) ・・・ MQTT

Slide 11

Slide 11 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. IoTシステムの全体イメージ IoT デバイス IoT エンドポイント ストレージ サーバ サーバ環境 ルーター MQTT <プログラム> ・・・ # ユーザー名とパスワードの設定 client.username_pw_set(username="your_username", password="your_password") # ブローカーへの接続 broker_address = "mqtt.example.com" port = 1883 client.connect(broker_address, port) ・・・

Slide 12

Slide 12 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. IoTシステムの全体イメージ IoT デバイス IoT エンドポイント ストレージ サーバ サーバ環境 ルーター <プログラム例> ・・・ mqtt_connection = mqtt_connection_builder.mtls_from_path( endpoint=args.endpoint, cert_filepath=args.cert, pri_key_filepath=args.key, ・・・ MQTT デバイス 証明書 秘密鍵

Slide 13

Slide 13 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. IoTシステムの全体イメージ IoT デバイス IoT エンドポイント ストレージ サーバ サーバ環境 ルーター <プログラム例> ・・・ mqtt_connection = mqtt_connection_builder.mtls_from_path( endpoint=args.endpoint, cert_filepath=args.cert, pri_key_filepath=args.key, ・・・ MQTT デバイス 証明書 秘密鍵

Slide 14

Slide 14 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. IoTシステムの全体イメージ IoT デバイス IoT エンドポイント サーバ環境 ルーター デバイス 証明書 秘密鍵 AWS IoT Core で解決できます! AWS IoT Core

Slide 15

Slide 15 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. AWS IoT Core では証明書の管理が可能 • デバイス証明書を無制限に発行・登録 • デバイス毎に個別の証明書を発行・登録 • クラウドから証明書を無効化 AWS IoT Coreにおけるデバイス証明書 https://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/x509-client-certs.html AWS IoT Coreでのデバイス証明書の発行および登録方法 https://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/device-certs-create.html AWS IoT Core

Slide 16

Slide 16 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. 証明書をリモートで無効化する場合 攻撃者 攻撃者 無効化

Slide 17

Slide 17 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. 17

Slide 18

Slide 18 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. 証明書の配布について • ( 開発フェーズ ) 証明書と秘密鍵を直接 IoT デバイスへ書き込み • ジャストインタイムプロビジョニング ( JITP ) • ジャストインタイム登録 ( JITR ) • フリートプロビジョニング ( クレーム利用 ) 18 IoT デバイスのセキュアな通信を実現。X.509 証明書のプロビジョニング方法とは ? https://aws.amazon.com/jp/builders-flash/202204/x509-certificates-iot-core/

Slide 19

Slide 19 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. ジャストインタイムプロビジョニング ( JITP ) 19

Slide 20

Slide 20 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. フリートプロビジョニング ( クレーム利用 ) 20 5. Thing、Policyがテ ンプレートに合わせて 作成、証明書が有効に 3. デバイスに個別の証 明書・秘密鍵を保存 プロビジョニング後は この情報を用いて接続 4. クレーム証明書・秘密鍵 とトークンを使って、プロ ビジョニングをリクエスト 1. クレーム証明書・秘密鍵 を使って証明書・秘密鍵の 発行をリクエスト 6. クレーム証明書を用い た接続を切断し、個別証 明書を用いた接続を開始 2. 個別の証明書・秘密 鍵、トークンが発行 4.5. (option) AWS Lambda でリクエストされたデバイス 情報が正しいかを検証

Slide 21

Slide 21 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. エンドポイント毎にプロトコル/認証方式の限定も可能 21 https://aws.amazon.com/jp/about-aws/whats-new/2024/10/aws-iot-core-tls-alpn-requirement-custom-authorizer-capabilit 参考情報

Slide 22

Slide 22 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. まとめ • IoT環境でも、優先順位をつけて物理やデバイスのレ イヤまで含めてセキュリティを考慮する必要がある • IoTデバイス特有の特徴や制約から、IoT特有のセキュ リティ要件が生まれる( JC-STARの誕生 ) • AWS IoTを用いることで、効率的にIoTの セキュリティ要件を解決できる

Slide 23

Slide 23 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. 最後に・・・ • [AWS Black Belt Online Seminar] AWS IoT Greengrass ネット ワーク/セキュリティ編 のご紹介 23 PDF: https://pages.awscloud.com/rs/112-TZM-766/images/AWS- Black-Belt_2025_AWS-IoT-Greengrass-Network- Security_0131_v1.pdf Youtube: https://youtu.be/5Qv6K8jfwD8

Slide 24

Slide 24 text

© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. Thank you! © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.