Upgrade to Pro — share decks privately, control downloads, hide ads and more …

現場に置かれた IoT デバイス どうやって守ろうか? ― AWS と SORACOM で実現する IoT デバイスセキュリティ/security-for-iot-devices-with-aws -and-soracom-services

現場に置かれた IoT デバイス どうやって守ろうか? ― AWS と SORACOM で実現する IoT デバイスセキュリティ/security-for-iot-devices-with-aws -and-soracom-services

JAWS DAYS 2020 オンラインで、ソラコムのテクノロジー・エバンジェリスト 松下(ニックネーム=Max)が発表した IoT デバイスセキュリティのリスク分析から対策の考え方、SORACOM Beam/Funnel/Funk や SORACOM Junction、 AWS IoT Device Defender の解説をしています。

7cd783377515bdf8207062840b7b2f4e?s=128

SORACOM
PRO

March 28, 2020
Tweet

More Decks by SORACOM

Other Decks in Technology

Transcript

  1. 現場に置かれた IoT デバイス どうやって守ろうか? ― AWS と SORACOM で実現する IoT

    デバイスセキュリティ ― JAWS DAYS 2020 オンライン Mar. 28, 2020 / ライブ配信 株式会社ソラコム テクノロジー・エバンジェリスト 松下 享平 (Max / @ma2shita)
  2. 自己紹介 株式会社ソラコム / テクノロジー・エバンジェリスト 松下 享平 (まつした こうへい) “Max” 静岡県民

    新幹線通勤族 経歴: 東証二部ハードウェア・メーカーで 情シス部門、EC事業責任者、IoT事業開発を経て現職 講演や執筆を中心に活動、登壇回数は140+回 (2018年実績) 好きな AWS サービス • AWS IoT Core • AWS IoT Greengrass Facebook, Twitter: ma2shita
  3. JAWS DAYS 2015 JAWS DAYS 2017

  4. 今日紹介する事、しないこと する事 • IoT におけるセキュリティ リスク • IoT デバイス内の 「価値ある情報」とは

    • IoT デバイスに対する 攻撃経路と対策 • AWS IoT Device Defender しない事 • セキュリティと セーフティーの違い • クラウド側のセキュリティ • 3G/LTE のセキュリティ • システム停止を目的とした デバイス破壊対策 • 組み込みシステム開発に おけるセキュリティ実装
  5. IoT モノやコトをデジタル化

  6. お客様事例: フジテック様 エレベーターの稼働状況を遠隔で 把握 ・稼働データ蓄積による 予防保全の実現 ・故障発生時の早期把握と対応 海外のエレベーター遠 隔監視にSORACOMを 正式採用

  7. お客様事例: ソースネクスト様 グローバル向け Air SIM eSIM内蔵で 世界133カ国で使える 74の言語*で双方向の コミュニケーションを 実現、AI通訳機

    * 55言語では音声とテキストに、19言語ではテキストに翻訳します。 詳細は製品ウェブサイトをご確認ください。(2019年11月時点)
  8. IoT は「テクノロジーの総合格闘技」 デジタル化 対象 デバイス ネットワーク クラウド 利用者 アプリケーション ストレージ

    データ 処理 ゲートウェイ パケット交換 (ISP/IX) バックホール アクセス ポイント 通信 モジュール マイコン センサー 全てがつながって 「IoT」 ロジスティクス ペイメント オペレーション セキュリティ Amazon S3 Amazon Kinesis Data Firehose AWS IoT Core AWS Amplify
  9. #あのボタン SORACOM LTE-M Button powered by AWS

  10. お客様事例:九州農政局 農村振興部農村環境課様 安価にわな通知装置を実 現、見回りの労力軽減。 LTE-M 通信搭載で簡易に 屋外に設置可能 鳥獣のわな作動通知シ ステムにSORACOM LTE-M

    Button
  11. https://www.maff.go.jp/kyusyu/seiryuu/cyoujyugai/wana_tsu.html 資料が公開されています!

  12. クラウド ネットワーク センサー/デバイス “モノ” IoT におけるセキュリティリスク クラウドリソースの 不正利用 ネットワークリソースの 不正利用

    デバイスから得られた情報を基に 他のデバイスの不正利用 デバイス自体の 不正利用 最もリスクにさらされるのがデバイス
  13. サンポート高松トライアスロン 2017 温度、湿度、UV、水温を LoRaWAN デバイスで収集、可視化

  14. 高松 トライアスロン ASCII

  15. 出荷時の情報 • ソフトウェア本体とその設定情報 運用で得られる情報 • データそのもの • ログ • ネットワーク接続の設定や認証情報

    • クラウド接続の設定や認証情報 設定情報の価値が高い しかし カジュアルに配置されるのが IoT の現場
  16. クラウド ネットワーク センサー/デバイス “モノ” IoT デバイスへの攻撃経路 現場での 直接攻撃 インターネットからの リモート攻撃

    リモート攻撃への 加担
  17. クラウド ネットワーク センサー/デバイス “モノ” リモート攻撃に備える 現場での 直接攻撃 インターネットからの リモート攻撃 リモート攻撃への

    加担 アドレス隠蔽化 (NAPT 等) や 閉域網化 「ネットワーク管理」の知見が利用可能
  18. SORACOM Air for セルラー 標準のネットワークセキュリティ 10.128.0.0/9 デバイスのIPアドレス インターネット 3G/LTE(GTP) NAT

    侵入経路が無いため デバイスは保護される
  19. デバイス側フィルタの盲点 インターネット デバイスでフィルタできても 通信費がかかる! グローバル IP

  20. クラウド ネットワーク センサー/デバイス “モノ” リモート攻撃への加担を防ぐ 現場での 直接攻撃 インターネットからの リモート攻撃 リモート攻撃への

    加担 アドレス隠蔽化 (NAPT 等) や 閉域網化 通信監視による 早期検知や通信制限 「ネットワーク管理」の知見が利用可能
  21. SORACOM Junction: VPG に追加される3つのトラフィック処理機能 Inspection Redirection パケットフローの統計を SORACOM で計測し、結果を SORACOM

    Funnel で出力 パケットを指定の 宛先(インスタンス)に転送 VPG VPG パケットを指定の 宛先(インスタンス)にコピー Mirroring VPG ※ SORACOM Funnel
  22. SORACOM Junction ― Mirroring と Amazon EC2 でパケットダンプができる https://qiita.com/1stship/items/0108b60a89893c97cd5b セルラー通信でも

    L2/L3 スイッチのような パケット制御が可能
  23. https://aws.amazon.com/jp/iot-device-defender/ 定義したポリシーとの検証を自動化 監査 《設定を検証》 例) ✓ デバイス証明書の有効期限が切れます ✓ デバイス証明書が共有されました •

    別々のデバイスから同じ X.509 証明書によ る接続があった → X.509 証明書の埋め込 みでミスがあった可能性がある 例) ✓ 送信元 IP ✓ 受信したメッセージ 検出 《動作を検証》
  24. AWS IoT Device Defender の セキュリティプロファイルはホワイトリスト形式 セキュリティプロファイル = 「想定される動作」を記述 Amazon

    SNS AWS IoT Device Defender 10.0.0.78 172.16.0.12 想定通りの動作 → 何も起こらない AWS IoT Core 想定外の動作
  25. クラウド ネットワーク センサー/デバイス “モノ” 現場での直接攻撃に備える 現場での 直接攻撃 インターネットからの リモート攻撃 リモート攻撃への

    加担 アドレス隠蔽化 (NAPT 等) や 閉域網化 通信監視による 早期検知や通信制限 無意味化 難読化 排除
  26. ポリシーによる権限設定 証明書を複製されたとしても 影響を限定 権限内の事は可能 完全回避は困難 { "Version": "2012-10-17", "Statement": [

    { "Effect": "Allow", "Action": [ "iot:Connect", "iot:Publish" ], "Resource": "arn:aws:iot:us-west-2::topic/YOUR_TOPIC" } ] } AWS IoT Device Defender の監査と組み合わせて 早期の発見と行動
  27. 暗号化ファイルシステムで難読化 https://www.slideshare.net/matoken/ext4fs https://vgough.github.io/encfs/ 復号化のカギ管理が課題

  28. セキュア・エレメント 情報を安全に格納するメモリや、暗号化を補助するロ ジックや乱数生成が実行可能なモジュール ハードウェア的な特性 《耐タンパー性》 • 物理的な破壊によって内部情報が消滅 ソフトウェア的な特性 《厳重なアクセス制御》 •

    決められた手続きでのみ内部情報にアクセス可能
  29. TPM 2.0 # PC搭載セキュリティチップ (TPM)の 概要と最新動向

  30. TPM 2.0 https://qiita.com/mune10/items/5f565fcd8f010179d529 https://qiita.com/mune10/items/cf45a296193bb78f5c5b ソフトウェアベースのものもある

  31. 情報の排除

  32. セキュア・エレメント 情報を安全に格納するメモリや、暗号化を補助するロ ジックや乱数生成が実行可能なモジュール ハードウェア的な特性 《耐タンパー性》 • 物理的な破壊によって、内部情報が消滅 ソフトウェア的な特性 《厳重なアクセス制御》 •

    決められた手続きでのみ内部情報にアクセス可能 SIM もセキュア・エレメント 別途、セキュア・エレメントを デバイス実装する必要がなくなる SIM の固有情報を「鍵」として 利用できる
  33. #あのボタン の実装 SORACOM LTE-M Button powered by AWS チップ型 SIM

    AWS IoT 1-Click への接続設定 • クレデンシャル (認証情報) • (AWS への) エンドポイント情報 SORACOM サービスへの エンドポイントのみ 情報が排除されている
  34. SORACOM Funk SORACOM Beam / Funnel / Funk による デバイス開発の工数削減

    デバイス セキュア&クラウドネイティブな プロトコル • メガクラウド PaaS / SaaS • パートナー ソリューション SORACOM Beam SORACOM Funnel プリミティブな プロトコル • SIM を鍵としてクラウドの認証情報との紐づけ • クラウド向けプロトコルへ変換 HTTP, MQTT, TCP, UDP HTTPS(+JSON), MQTTS, TCPS SDK や認証情報をデバイスから取り払ってシンプル化 デバイス開発の工数や 運用の手間を削減
  35. SOARCOM Funk でダイレクトに AWS Lambda を実行 データ転送サービス SORACOM Beam クラウドファンクション

    SORACOM Funk Amazon API Gateway AWS Lambda AWS Lambda SORACOM Beam SaaS API や Webhook 呼び出しで引き続き有効 SORACOM Funk AWS Lambda を実行する ベストプラクティス
  36. クラウド ネットワーク センサー/デバイス “モノ” 攻撃経路と活用できるサービス 現場での 直接攻撃 インターネットからの リモート攻撃 リモート攻撃への

    加担 アドレス隠蔽化 (NAPT 等) や 閉域網化 通信監視による 早期検知や通信制限 無意味化 難読化 排除
  37. 非機能要件だからこそ AWS IoT のマネージド・サービスを SIM テクノロジー + SORACOM プラットフォームで 守るから

    無くすへ AWS IoT Device Defender 定義したポリシーと動作の検証 AWS IoT Events デバイスの状態管理と実行 AWS IoT Events はステートマシンですから。 - Slideshare
  38. IoT の楽しいところだけ やろうぜ!

  39. 世界中のヒトとモノをつなげ 共鳴する社会へ