IoTに求められるネットワーク要件と「閉域網」【SORACOM Discovery 2023】

Transcript

1. IoTに求められるネットワーク要件と 「閉域網」 株式会社ソラコム ソリューションアーキテクト 渡邊 大輔

2. 本日のハッシュタグ #SORACOM @SORACOM_PR fb.com/soracom.jp youtube.com/@SORACOM_Japan instagram.com/soracom.official 使用例 他には… • #SORACOM

   IoTやDXの話を聞きにきた • キーノートは2日目！ #SORACOM #SORACOM の検索で、最新情報が！

3. 自己紹介 渡邊 大輔 (Daisuke Watanabe) ソリューションアーキテクト 経歴： • ソフトウェアエンジニア •

   ネットワークエンジニア • IoT 研究開発、事業企画 好きなサービス： • SORACOM Arc

4. 本セッションの内容 本セッションでは IoTのネットワーク における要件の 整理から、閉域網の必要性を事例と共に紹介し、 SORACOMの閉域化サービスの中心となる機能「VPG (Virtual Private Gateway)」の始め方や 活用ポイントを解説します。

5. IoT テクノロジー民主化のためのプラットフォーム SORACOM Global Platform CLI & SDK SORACOM CLI(Go)

   Web インターフェース User Console データ転送支援 SORACOM Beam クラウドアダプタ SORACOM Funnel データ収集・蓄積 SORACOM Harvest プライベート接続 SORACOM Canal IoT向けデータ通信 SORACOM Air for Cellular (2G, 3G, LTE) / LPWA (LoRaWAN, Sigfox, LTE-M) 専用線接続 SORACOM Direct 仮想専用線 SORACOM Door API Web API Sandbox コネクティビティ ネットワーク インタフェース SIM認証・証明 SORACOM Endorse デバイス管理 SORACOM Inventory 透過型トラフィック処理 SORACOM Junction ダッシュボード作成/共有 SORACOM Lagoon セキュアプロビジョニング SORACOM Krypton アクセス権限管理 SORACOM Access Management アプリケーション デバイスLAN SORACOM Gate 24/365サポート 診断機能 Technical Support USB ドングル / セルラーモジュール / マイコンモジュール / ボタン / S+ シリーズ デバイス オンデマンドリモートアクセス SORACOM Napter クラウドファンクション SORACOM Funk エッジプロセッシング SORACOM Mosaic オンデマンドパケットキャプチャ SORACOM Peek インラインプロセッシング SORACOM Orbit 次世代VPG 監査ログ API Audit Log WiFi, 有線, 衛星等のインターネット接続 セキュアリンクサービス SORACOM Arc

6. 「閉域網」とは？

7. 閉域網とは？ (ChatGPTによると・・) • 閉域網（Closed Network）とは、一定の範囲内で限定さ れた通信を行うネットワークのことを指します。インター ネットから閉ざされ、閉域網内の通信は外部からアクセス することができないため、セキュリティが強化されます。 • 具体的には、企業の内部ネットワークや特定の通信会社が

   提供する閉じられた通信網（例：企業向けのVPNサービ ス）などがこれに該当します。また、閉域網は、データの プライバシー保護や通信品質の確保、セキュリティ強化な どの観点から、特にデータが重要な企業や組織で利用され ます。

8. 閉域網とは？ 〜 一定の範囲内で限定したNW • 専用のネットワークで、物理的に限定 • 専用線、企業内ネットワーク • 単一事業者のネットワークで、論理的に限定 •

   広域イーサ(L2)、IP-VPNサービス(L3)、仮想NW • インターネットで、論理的に限定 • インターネットVPN

9. 論理的に限定とは？ 〜技術的な違い • Virtual Private Network / 仮想NW • NW上に仮想的な専用線

   (異なるアドレス空間) を作る技術 • リンクプロトコル (IPSec, SSL/TLS) で経路全体を保護 • フィルタリング、アクセス制御 • (同じアドレス空間の) トラフィックを制御するメカニズム • IP、ポートなどを使ってトラフィックを許可・拒否 • 暗号化 • 送信者から受信者までの通信を保護 • アプリケーションレイヤで難読化

10. 閉域網とは？ 〜 一定の範囲内で限定したNW • 専用のネットワークで、物理的に限定 • 専用線、企業内ネットワーク • SORACOM Direct

    • 単一事業者のネットワークで、論理的に限定 • 広域イーサ(L2)、IP-VPNサービス(L3) 、仮想NW • SORACOM Gate D2D、SORACOM Canal • インターネットで、論理的に限定 • インターネットVPN • SORACOM Door、SORACOM Arc

11. ソラコム で「閉域網」を作る

12. SORACOM は IoT の「つなぐ」を簡単に IoT デバイス クラウドサービス ✔ 遠隔操作 ✔

    メンテナンス ✔ 蓄積・見える化 ✔ アラート通知 センサ キット IoT 通信 IoT SIM LPWA パートナー デバイス パートナークラウド (AWS / Microsoft / Google) Wi-Fi / 有線 3G / LTE / 5G LTE-M 通信 デバイス クラウド カメラ 衛星通信 (Tech. Preview)

13. SORACOM のパラダイムシフト モノ インターネット クラウド モノ インターネット クラウド

14. ソラコムの仕組み メーター （ガス・電気） 自転車 発電機 POSレ ジ Amazon Web Services

    Google Cloud Microsoft Azure お客様システム 専用線 暗号化 閉域網 専用線 閉域網/暗号化 デバイス（現場）からSORACOMまで完全な 閉域網 を実現 SORACOMからクラウドまでは 閉域網や暗号化通信 をご用意 外部との閉域網 デバイスまでの閉域網 交換局 基地局

15. ユースケース毎の VPG 活用ポイント① デバイスまでの閉域網

16. 閉域網に求められる要件① • 悪意のある第三者をデバイスへアクセスさせない • デバイスからインターネットへ直接通信させない • しかし、データ収集など必要な通信は行いたい

17. デバイスまでの閉域網 悪意ある攻撃者 無線区間：LTE / 5G では 暗号化 (AES、Snow 3G、ZUC) 基地局ｰ交換局：通信キャリアの

    閉域網 交換局との接続：専用線（物理的に限定）

18. • ソラコムサービス*からしか外部へ出れない特別なVPG • お客様が VPG をセットアップする必要はありません • ご利用料は無料！ Private Garden

    * SORACOM Beam, Funnel, Funk, Harvest, Napter

19. 閉域内でデバイスを制御したい

20. お客様事例: IHI様 Picture is courtesy of Glow SPP11, Thailand IHI

    お客さま運用支援センター
21. None

22. ソフトウェアベースの独自ゲートウェイ ・SORACOM上のお客様専用ネットワークゲートウェイ(インターネット側の出口) ・許可しないアクセス先の フィルタリング や お客様ネットワークとのプライベート接続 といったお客様のご要望に応じたカスタマイズをお客様自身で設定可能 SORACOM VPG :

    Virtual Private Gateway

23. デバイス間の閉域化 100.64.0.0/10 ソラコム内 デバイスサブネット Carrier Grade NAT 閉域網 デバイス間通信（Gate D2D）

    10.128.0.0/9 VPG インターネット 企業内 NAT Internet Gateway インターネットゲートウェイをOFFにすれば 外部にはデータが流れない

24. セルラー以外から 閉域でデバイスを制御

25. SORACOM Arc デバイスとSORACOMとの間にセキュアなリンクを確立 1. 仮想SIMの発行 2. 仮想SIM 3. 仮想SIMの 認証情報を設定

    4. 仮想SIMで認証された安全な通信路を確立 SORACOM Arc WiFi 有線等

26. インターネット経由でデバイス間の閉域化 デバイスサブネット 10.128.0.0/9 SORACOM Arc 仮想SIM Carrier Grade NAT VPG

    インターネット 企業内 NAT Internet Gateway デバイス間通信（Gate D2D）+ SORACOM Arc 閉域網 WireGuard 100.64.0.0/10 ソラコム内

27. WireGuardとは？ • 最先端の暗号技術を採用した オープンソース VPN • TLS や IPSec でも使われている暗号技術が取り込まれています

    • オープンソースで公開されています • 幅広い動作環境 • Linux kernel の 5.6 で取り込まれています • Windows、macOS、iOS、Android でも利用できる他、Chromebook や 組み込み向けの実装もあり、様々な環境で使えます 公式ブログ：オープンソースVPN 「WireGuard」とは？ホワイトペーパーから読み解く仕組みや実用 https://blog.soracom.com/ja-jp/2023/02/16/what-is-wireguard/

28. インターネットを使っても閉域網？ • ネットワークへ求められる要件によります • アクセスが一時的 • アクセスする端末が限定的 • データが暗号化（論理的に限定）されていればOK •

    SORACOM Arc を使った場合のメリット • お客様側で接続機器を用意、外部に晒す必要がない • ユーザーコンソールから制御可能 • 低コスト → 要件を紐解いて、用途にあった仕組みを活用

29. ユースケース毎の VPG 活用ポイント② クラウド / オンプレとの閉域網

30. 閉域網に求められる要件② • 自社の設備とデバイスを閉域で繋ぎたい • 閉域網で常時デバイスと双方向通信したい

31. None

32. SORACOM Canal SORACOM Air plan01s 【海外拠点１】 監視センター エレベータ 制御盤 SORACOM

    Air plan01s 【海外拠点２】 エレベータ 制御盤 海外キャリア１ VPG 海外キャリア２ SORACOM Gate 製造 VPC Peering
33. None
34. None

35. Gate Peer の構築方法 〜AWSの場合 AWS CloudFormationで Gate Peer の構築が より簡単に

    https://users.soracom.io/ja-jp/docs/gate/cloud-to-device-awscfn/

36. ユースケース毎の VPG 活用ポイント③ もう一歩進んだ 閉域網

37. 一部の通信だけ インターネットを許可

38. 株式会社オンワード ホールディングス IoTで、今までは数ヶ月前からネ ットワーク工事と費用が発生して いたセール会場の決済端末等の回 線準備が容易に。 利用したSORACOMサービス：SORACOM Air 導入事例 小売・店舗

39. 導入事例 セール会場の決済設備、POS端末・CAT端末を SORACOM Air でネットワーク接 続。AWS上のPOSシステムとは SORACOM Canal にて閉域接続することでセキ ュリティを確保。短期間での一時店舗の構築を実現。

    小売・店舗 SORACOM Canal UD- LT1/EX SORACOM Air plan-D D300 VPC 【特設店舗】 インターネット POSシステム CATシステム CAT端末 POS端末 • POS端末と業務システム を閉域接続 • CATシステム通信のみ 外部接続を許可 株式会社オンワードホールディングス

40. 閉域網内をE2Eで暗号化

41. 閉域網内を End-to-End で暗号化 閉域ネットワークの中で E2E IPSec 例：閉域網の中でIPSec NAT traversal 100.64.0.0/10

    10.128.0.0/9 IPSecルータ お客様環境 IPSecトンネル VPG ソラコム内 デバイスサブネット SORACOM Canal SORACOM Direct SORACOM Door

42. ソフトウェアベースの独自ゲートウェイ ・SORACOM上のお客様専用ネットワークゲートウェイ(インターネット側の出口) ・許可しないアクセス先の フィルタリング や お客様ネットワークとのプライベート接続 といったお客様のご要望に応じたカスタマイズをお客様自身で設定可能 SORACOM VPG :

    Virtual Private Gateway 【再掲】

43. SORACOM VPG オプション機能

44. VPG Type-E • デバイス間通信OK • 安価に利用可能 • セットアップ費用 217.8 円/回

    • 月額費用 8,184 円 (11円/時間) • オプション機能利用可能 VPG Type-F • 外部とのプライベート接続 • AWS/Azure/GCP/オンプレ • AWS Transit Gateway 対応 • セットアップ費用 1,078 円/回 • 月額費用 40,920 円 (55円/時間) • オプション機能利用可能 安価にインターネット接続を制御 全ての閉域接続に対応 SORACOM VPG ２つのタイプ

45. SORACOM VPG が さらに進化！

46. デバイスのさらに配下にある端末と IPアドレスを使って通信したい SIM ベースルーティング 機能！

47. 課題 • PLCのIPに直接アクセスしたい • 端末をIPアドレスで管理したい SIM ベースルーティング なら • NAT超えができないプロトコル

    でも利用可能 (PLC等) • ルーター配下のデバイスを IPアドレスで管理 例えば、生産ラインで異なるNWを VPGでフロアスイッチのように接続 SIM ベースルーティング ルーター配下の任意の経路を SIM へ ルーティング IPアドレスレンジ SIM ID 192.168.100.0/24 IoT SIM#01 192.168.200.0/24 IoT SIM#02 新発表!!

48. まとめ • 閉域網とは • インターネットから閉じた一定の範囲内で限定されたNW • プライバシー保護、通信品質、セキュリティ強化が目的 • VPG 活用ポイント

    • インターネット接続したくない → Private Garden でOK • 一時的にデバイスを制御したい → Gate D2D (+ Arc) • デバイスとオンプレ / クラウドを常時閉域化 → Gate C2D + SORACOM Canal / Direct / Door • 一部の通信を許可したり、閉域内をE2E暗号化 要件を紐解いて、用途にあった閉域網を活用しよう！
49. None