IoTネットワーク構築におけるベストプラクティス/SORACOM Tech Days 2021 day1_5

IoTネットワーク構築におけるベストプラクティスソリューションアーキテクト松永岳人

TAKETO MATSUNAGA - Solutions Architect@Soracom - Developer@IBM leapingtak

本セッションの対象者 • SORACOMの利用を検討中の方 • IoTネットワーク系のサービスを学びたい方 • SORACOM Arcのユースケースを知りたい方

IoTシステムのセキュリティリスクデバイスA デバイスB ⚠️ デバイスへの不正アクセス（Public IPの利用の場合） ⚠️ 通信情報の盗聴 ⚠️
バックエンドシステムへの攻撃

ソラコムの仕組みパブリックIPを持たず、セキュアな通信経路を確立できます。メーター（ガス・電気）自転車発電機温度計 POSレジ計測器 Amazon
Web Services Google Cloud Microsoft Azure お客様システム専用線暗号化閉域網専用線閉域網/暗号化暗号化プライベートIPのみ持つ Wifi Sim LoRaWan Sigfox

SORACOM Virtual Private Gateway(VPG) VPG は SORACOM プラットフォーム上のお客様専用のネットワークゲートウェイです。許可しないアクセス先のフィルタリングやお客様ネットワークとのプライベート接続が構築可能です。
お客様システムお客様システム許可しないアクセス先 ⚠️ 暗号化閉域網 ❌ プライベート接続

IoTシステム開発通信経路どの経路の通信が必要かご確認頂きます。 1. デバイス間通信 2. デバイス→クラウドへの通信 3. クラウド→デバイスへの通信デバイス→クラウドへの通信
クラウド→デバイスへの通信デバイス間通信デバイスA デバイスB

デバイス間通信 Simを利用しているデバイス間で通信するケースデバイスA デバイスB https://unsplash.com/photos/8bghKxNU1j0

三菱重工業株式会社「EX ROVR」世界中のプラントを巡回点検する防爆仕様のロボット、操作端末、クラウドの三者をセキュアに相互通信させ、遠隔操作や自動巡回を可能に。利用したSORACOMサービス：SORACOM Air, Beam,
Funk, Gate, Napter 導入事例エネルギー

デバイス間通信： SORACOM Gate SORACOM Gateにより、同じVPGに所属するSim間での通信が可能となります。デバイスデバイス VPG (Virtual Private
Gateway) SORACOM Gate （プライバシーセパレーター無効）

お客様システムへの通信クラウドやオンプレミスへの閉域網 https://unsplash.com/photos/8bghKxNU1j0 デバイスB デバイスA お客様システム

クックパッド株式会社食の安全を守る流通や温度管理、施錠の仕組みをクラウドとIoT技術でセキュアに実現。利用したSORACOMサービス： SORACOM Air, Canal, Funnel, Harvest,
Lagoon 利用したデバイス： GPSマルチユニットSORACOM Edition, ビーコン対応GPSトラッカーGWスターターキット導入事例サービス「cookpad mart」

クラウドへの通信：SORACOM Canal Canal プライベート接続 VPG (Virtual Private Gateway) お客様システムデバイス
閉域網(VPC) デバイスデバイス VPC Peering

SORACOM Canal/Door/Direct お客様システム閉域網(VPC) Amazon Web Services Google Cloud Microsoft
Azure お客様システム Direct 専用線接続 Door VPN接続 Canal プライベート接続 IP SEC VPN インターネット専用線 VPC Peering メーター（ガス・電気）自転車発電機温度計 POSレジ計測器

双方向通信 https://unsplash.com/photos/8bghKxNU1j0 デバイスB デバイスA お客様システム

双方向通信デバイス (10.128.1.1) デバイスお客様システム閉域網(VPC) Canal プライベート接続 VPC Peering
VPG (Virtual Private Gateway) 100.67.4.128/27 SORACOM Gate （プライバシーセパレーター無効） 192.168.0.0/16 192.168.2.0/24 192.168.1.0/24 Gate Peer 10.128.3.2 *VXLANによりデバイス 10.128.1.0/24 SORACOM Junction サーバー (192.168.2.1) ①SORACOM Gateを設定 ②SORACOM Gateで利用するお客様システム側のサーバー（Gate Peer）を構築しIP転送を設定。 ③仮想LAN(VXLAN)を構築します。 Gate PeerにデバイスサブネットのIP が付与されます。 ④クラウド側のサーバーでデバイスのIPを確認したい場合、SORACOM Junction で Gate Peerへ通信を転送します。

双方向通信デバイス (10.128.1.1) デバイスお客様システム閉域網(VPC) Canal プライベート接続 VPC Peering
VPG (Virtual Private Gateway) 100.67.4.128/27 SORACOM Gate （プライバシーセパレーター無効） 192.168.0.0/16 192.168.2.0/24 192.168.1.0/24 Gate Peer 10.128.3.2 *VXLANによりデバイス 10.128.1.0/24 SORACOM Junction サーバー (192.168.2.1) ②デバイスからのパケットのNextHopをGate Peerへ ③Gate Peerで IP転送 ④サーバーへ到達（送信元：Device IP） ①デバイスからのサーバーへ送信（ 10.128.1.1→192.168.2.1 ） ①サーバーからデバイスへ通信（ 192.168.2.1 → 10.128.1.1 ） ②デバイス宛のパケットをGate Peerへルーティング ③Gate Peerにて VXLAN(仮想LAN)経由でデバイスへIP転送 ④デバイスへ到達

双方向通信デバイス間通信禁止 •BtoBビジネスなど複数企業にデバイスが利用される、デバイス間通信を禁止したい場合があります。 https://unsplash.com/photos/8bghKxNU1j0 企業A デバイスA お客様システム（サービスプロバイダ）
❌ 企業B デバイスB

双方向通信デバイス間通信禁止デバイス (10.128.1.1) デバイスお客様システム閉域網(VPC) Canal プライベート接続 VPC
Peering VPG (Virtual Private Gateway) 100.67.4.128/27 SORACOM Gate （プライバシーセパレーター有効） 192.168.0.0/16 192.168.2.0/24 192.168.1.0/24 Gate Peer 10.128.3.2 *VXLANによりデバイス 10.128.1.0/24 SORACOM Junction サーバー (192.168.2.1) ❌

ここまでの纏めデバイス間通信お客様システムへの通信双方向通信双方向通信（デバイス間通信禁止）デバイスA デバイスB デバイスB デバイスA お客様システム
デバイスB デバイスA お客様システム企業A デバイスA お客様システム（サービスプロバイダ） ❌ 企業B デバイスB

SORACOM Arc SORACOM Arc は任意の IP ネットワークから SORACOM プラットフォームへのセキュアなリンクを提供するサービスです。
クラウドサービスバーチャル Sim インターネットデータセンターバーチャル Sim VPN (Wire Guard) VPN (Wire Guard) インターネット SORACOM Arc

デバイス間通信：PCからのデバイスアクセス IoTデバイスへPCからの接続が容易に実現できます。デバイスデバイス VPG (Virtual Private Gateway) SORACOM Gate
（プライバシーセパレーター無効）デバイス 10.128.1.0/24 監視用端末 SORACOM Arc

サービスカバレッジの拡大セルラー回線とArcの併用屋外 Wifi環境（テナント物件など）インターネットデバイスデバイス WireGuard（VPN）に対応しているルー
ターパターン① パターン② デバイスデバイスから WireGuardを構築

IoTネットワーク構築におけるベストプラクティス/SORACOM Tech Days 2021 day1_5

IoTネットワーク構築におけるベストプラクティス/SORACOM Tech Days 2021 day1_5

SORACOM
PRO

More Decks by SORACOM

Other Decks in Technology

Featured

Transcript

IoTネットワーク構築におけるベストプラクティスソリューションアーキテクト松永岳人

TAKETO MATSUNAGA - Solutions Architect@Soracom - Developer@IBM leapingtak

本セッションの対象者 • SORACOMの利用を検討中の方 • IoTネットワーク系のサービスを学びたい方 • SORACOM Arcのユースケースを知りたい方

IoTシステムのセキュリティリスクデバイスA デバイスB ⚠️ デバイスへの不正アクセス（Public IPの利用の場合） ⚠️ 通信情報の盗聴 ⚠️

ソラコムの仕組みパブリックIPを持たず、セキュアな通信経路を確立できます。メーター（ガス・電気）自転車発電機温度計 POSレジ計測器 Amazon

SORACOM Virtual Private Gateway(VPG) VPG は SORACOM プラットフォーム上のお客様専用のネットワークゲートウェイです。許可しないアクセス先のフィルタリングやお客様ネットワークとのプライベート接続が構築可能です。

IoTシステム開発通信経路どの経路の通信が必要かご確認頂きます。 1. デバイス間通信 2. デバイス→クラウドへの通信 3. クラウド→デバイスへの通信デバイス→クラウドへの通信

デバイス間通信 Simを利用しているデバイス間で通信するケースデバイスA デバイスB https://unsplash.com/photos/8bghKxNU1j0

三菱重工業株式会社「EX ROVR」世界中のプラントを巡回点検する防爆仕様のロボット、操作端末、クラウドの三者をセキュアに相互通信させ、遠隔操作や自動巡回を可能に。利用したSORACOMサービス：SORACOM Air, Beam,

デバイス間通信： SORACOM Gate SORACOM Gateにより、同じVPGに所属するSim間での通信が可能となります。デバイスデバイス VPG (Virtual Private

お客様システムへの通信クラウドやオンプレミスへの閉域網 https://unsplash.com/photos/8bghKxNU1j0 デバイスB デバイスA お客様システム

クックパッド株式会社食の安全を守る流通や温度管理、施錠の仕組みをクラウドとIoT技術でセキュアに実現。利用したSORACOMサービス： SORACOM Air, Canal, Funnel, Harvest,

クラウドへの通信：SORACOM Canal Canal プライベート接続 VPG (Virtual Private Gateway) お客様システムデバイス

SORACOM Canal/Door/Direct お客様システム閉域網(VPC) Amazon Web Services Google Cloud Microsoft

双方向通信 https://unsplash.com/photos/8bghKxNU1j0 デバイスB デバイスA お客様システム

双方向通信デバイス (10.128.1.1) デバイスお客様システム閉域網(VPC) Canal プライベート接続 VPC Peering

双方向通信デバイス (10.128.1.1) デバイスお客様システム閉域網(VPC) Canal プライベート接続 VPC Peering

双方向通信デバイス間通信禁止 •BtoBビジネスなど複数企業にデバイスが利用される、デバイス間通信を禁止したい場合があります。 https://unsplash.com/photos/8bghKxNU1j0 企業A デバイスA お客様システム（サービスプロバイダ）

双方向通信デバイス間通信禁止デバイス (10.128.1.1) デバイスお客様システム閉域網(VPC) Canal プライベート接続 VPC

ここまでの纏めデバイス間通信お客様システムへの通信双方向通信双方向通信（デバイス間通信禁止）デバイスA デバイスB デバイスB デバイスA お客様システム

SORACOM Arc SORACOM Arc は任意の IP ネットワークから SORACOM プラットフォームへのセキュアなリンクを提供するサービスです。

デバイス間通信：PCからのデバイスアクセス IoTデバイスへPCからの接続が容易に実現できます。デバイスデバイス VPG (Virtual Private Gateway) SORACOM Gate

サービスカバレッジの拡大セルラー回線とArcの併用屋外 Wifi環境（テナント物件など）インターネットデバイスデバイス WireGuard（VPN）に対応しているルー