Upgrade to Pro — share decks privately, control downloads, hide ads and more …

IoTネットワーク構築におけるベストプラクティス/SORACOM Tech Days 2021 day1_5

7cd783377515bdf8207062840b7b2f4e?s=47 SORACOM
PRO
November 18, 2021

IoTネットワーク構築におけるベストプラクティス/SORACOM Tech Days 2021 day1_5

SORACOM Tech Days 2021 セッション資料です。
IoTシステムの開発では、クラウド・お客様へのデータ通信やデバイス操作をするためのセキュアなネットワーク構築が必要です。本セッションでは、SORACOMのサービスを利用した最新事例からそのベストプラクティスを紐解きます。また、今年6月にリリースしたSORACOM Arcによりこれまでのアーキテクチャをどう改善できるのかご紹介します。

株式会社ソラコム
ソリューションアーキテクト
松永 岳人

7cd783377515bdf8207062840b7b2f4e?s=128

SORACOM
PRO

November 18, 2021
Tweet

Transcript

  1. IoTネットワーク構築における ベストプラクティス ソリューションアーキテクト 松永 岳人

  2. TAKETO MATSUNAGA - Solutions Architect@Soracom - Developer@IBM leapingtak

  3. 本セッションの対象者 • SORACOMの利用を検討中の方 • IoTネットワーク系のサービスを学びたい方 • SORACOM Arcのユースケースを知りたい方

  4. IoTシステムのセキュリティリスク デバイスA デバイスB ⚠️ デバイスへの不正アクセス (Public IPの利用の場合) ⚠️ 通信情報の盗聴 ⚠️

    バックエンドシステム への攻撃
  5. ソラコムの仕組み パブリックIPを持たず、セキュアな通信経路を確立できます。 メーター (ガス・電気) 自転車 発電機 温度計 POSレジ 計測器 Amazon

    Web Services Google Cloud Microsoft Azure お客様システム 専用線 暗号化 閉域網 専用線 閉域網/暗号化 暗号化 プライベートIPのみ持つ Wifi Sim LoRaWan Sigfox
  6. SORACOM Virtual Private Gateway(VPG) VPG は SORACOM プラットフォーム上のお客様専用のネットワークゲートウェイ です。許可しないアクセス先のフィルタリングやお客様ネットワークとのプライベ ート接続が構築可能です。

    お客様システム お客様システム 許可しないアクセス先 ⚠️ 暗号化 閉域網 ❌ プライベート接続
  7. IoTシステム開発 通信経路 どの経路の通信が必要かご確認頂きます。 1. デバイス間通信 2. デバイス→クラウドへの通信 3. クラウド→デバイスへの通信 デバイス→クラウドへの通信

    クラウド→デバイスへの通信 デバイス間通信 デバイスA デバイスB
  8. デバイス間通信 Simを利用しているデバイス間で通信 するケース デバイスA デバイスB https://unsplash.com/photos/8bghKxNU1j0

  9. 三菱重工業株式会社 「EX ROVR」 世界中のプラントを巡回点検する防 爆仕様のロボット、操作端末、クラ ウドの三者をセキュアに相互通信さ せ、遠隔操作や自動巡回を可能に。 利用したSORACOMサービス:SORACOM Air, Beam,

    Funk, Gate, Napter 導入事例 エネルギー
  10. デバイス間通信: SORACOM Gate SORACOM Gateにより、同じVPGに所属するSim間での通信が可能となります。 デバイス デバイス VPG (Virtual Private

    Gateway) SORACOM Gate (プライバシーセパレーター無効)
  11. お客様システムへの通信 クラウドやオンプレミスへの閉域網 https://unsplash.com/photos/8bghKxNU1j0 デバイスB デバイスA お客様システム

  12. クックパッド株式会社 食の安全を守る流通や温度管理、 施錠の仕組みをクラウドとIoT技 術でセキュアに実現。 利用したSORACOMサービス: SORACOM Air, Canal, Funnel, Harvest,

    Lagoon 利用したデバイス: GPSマルチユニットSORACOM Edition, ビーコン対応GPSトラッカーGWスターターキット 導入事例 サービス 「cookpad mart」
  13. クラウドへの通信:SORACOM Canal Canal プライベート接続 VPG (Virtual Private Gateway) お客様システム デバイス

    閉域網(VPC) デバイス デバイス VPC Peering
  14. SORACOM Canal/Door/Direct お客様システム 閉域網(VPC) Amazon Web Services Google Cloud Microsoft

    Azure お客様システム Direct 専用線接続 Door VPN接続 Canal プライベート接続 IP SEC VPN インターネット 専用線 VPC Peering メーター (ガス・電気) 自転車 発電機 温度計 POSレジ 計測器
  15. 双方向通信 https://unsplash.com/photos/8bghKxNU1j0 デバイスB デバイスA お客様システム

  16. 双方向通信 デバイス (10.128.1.1) デバイス お客様システム 閉域網(VPC) Canal プライベート接続 VPC Peering

    VPG (Virtual Private Gateway) 100.67.4.128/27 SORACOM Gate (プライバシーセパレーター無効) 192.168.0.0/16 192.168.2.0/24 192.168.1.0/24 Gate Peer 10.128.3.2 *VXLANにより デバイス 10.128.1.0/24 SORACOM Junction サーバー (192.168.2.1) ①SORACOM Gateを設定 ②SORACOM Gateで利用する お客様システム側のサーバー (Gate Peer)を構築しIP転送 を設定。 ③仮想LAN(VXLAN)を構築します。 Gate PeerにデバイスサブネットのIP が付与されます。 ④クラウド側のサーバーでデ バイスのIPを確認したい場 合、SORACOM Junction で Gate Peerへ通信を転送しま す。
  17. 双方向通信 デバイス (10.128.1.1) デバイス お客様システム 閉域網(VPC) Canal プライベート接続 VPC Peering

    VPG (Virtual Private Gateway) 100.67.4.128/27 SORACOM Gate (プライバシーセパレーター無効) 192.168.0.0/16 192.168.2.0/24 192.168.1.0/24 Gate Peer 10.128.3.2 *VXLANにより デバイス 10.128.1.0/24 SORACOM Junction サーバー (192.168.2.1) ②デバイスからのパケ ットのNextHopをGate Peerへ ③Gate Peerで IP転送 ④サーバーへ到達 (送信元:Device IP) ①デバイスからのサー バーへ送信 ( 10.128.1.1→192.168.2.1 ) ①サーバーからデバイス へ通信( 192.168.2.1 → 10.128.1.1 ) ②デバイス宛のパケット をGate Peerへルーティン グ ③Gate Peerにて VXLAN(仮想LAN)経由で デバイスへIP転送 ④デバイスへ 到達
  18. 双方向通信 デバイス間通信禁止 •BtoBビジネスなど複数企業にデバイス が利用される、デバイス間通信を禁止し たい場合があります。 https://unsplash.com/photos/8bghKxNU1j0 企業A デバイスA お客様システム (サービスプロバイダ)

    ❌ 企業B デバイスB
  19. 双方向通信 デバイス間通信禁止 デバイス (10.128.1.1) デバイス お客様システム 閉域網(VPC) Canal プライベート接続 VPC

    Peering VPG (Virtual Private Gateway) 100.67.4.128/27 SORACOM Gate (プライバシーセパレーター 有効) 192.168.0.0/16 192.168.2.0/24 192.168.1.0/24 Gate Peer 10.128.3.2 *VXLANにより デバイス 10.128.1.0/24 SORACOM Junction サーバー (192.168.2.1) ❌
  20. ここまでの纏め デバイス間通信 お客様システムへの通信 双方向通信 双方向通信(デバイス間通信禁止) デバイスA デバイスB デバイスB デバイスA お客様システム

    デバイスB デバイスA お客様システム 企業A デバイスA お客様システム (サービスプロバイダ) ❌ 企業B デバイスB
  21. SORACOM Arc SORACOM Arc は任意の IP ネットワークから SORACOM プラットフォームへの セキュアなリンクを提供するサービスです。

    クラウドサービス バーチャル Sim インターネット データセンター バーチャル Sim VPN (Wire Guard) VPN (Wire Guard) インターネット SORACOM Arc
  22. デバイス間通信:PCからのデバイスアクセス IoTデバイスへPCからの接続が容易に実現できます。 デバイス デバイス VPG (Virtual Private Gateway) SORACOM Gate

    (プライバシーセパレーター無効) デバイス 10.128.1.0/24 監視用端末 SORACOM Arc
  23. サービスカバレッジの拡大 セルラー回線とArcの併用 屋外 Wifi環境 (テナント物件など) インターネット デバイス デバイス WireGuard(VPN) に対応しているルー

    ター パターン① パターン② デバイス デバイスから WireGuardを構築