$30 off During Our Annual Pro Sale. View Details »

SORACOM Technology Camp 2020 - Day3 SORACOMが実現するIoTデバイスとデータのセキュリティ/technology-camp2020-day3-s06

SORACOM
PRO
November 19, 2020

SORACOM Technology Camp 2020 - Day3 SORACOMが実現するIoTデバイスとデータのセキュリティ/technology-camp2020-day3-s06

IoTシステムを開発・運用する上でセキュリティはとても重要な要因です。デバイスへの不正なアクセスが原因で発生する情報の盗難や、第3者への攻撃、通信回線の不正利用といったケースは必ず防がなければいけません。

本セッションでは、IoTシステムにおけるセキュリティ上の脅威や懸念を整理し、SORACOMを活用した対策手段を体系立ててお話します。

株式会社ソラコム
ソリューションアーキテクト 小梁川 貴史

SORACOM
PRO

November 19, 2020
Tweet

More Decks by SORACOM

Other Decks in Technology

Transcript

  1. 403"$0.͕࣮ݱ͢Δ
    *P5σόΠεͱσʔλͷηΩϡϦςΟ
    ιϦϡʔγϣϯΞʔΩςΫτɿখྊ઒

    View Slide

  2. ຊ೔ͷϋογϡλά
    TPSBDPN
    !403"$0.@13
    IUUQTXXXGBDFCPPLDPNTPSBDPNKQ

    View Slide

  3. ࣗݾ঺հ
    גࣜձࣾιϥίϜ ιϦϡʔγϣϯΞʔΩςΫτ
    খྊ઒ و࢙ ͜΍ͳ͕Θ ͔ͨ͠

    ܦྺ
    • 4*ձࣾͰ։ൃΠϯϑϥઃܭɺߏஙͳͲ෯޿͘ܦݧ
    • ిػϝʔΧʔͰࣗࣾαʔϏεɺࣾ಺ڞ௨ϓϥοτϑΥʔϜͷ։ൃɺӡ༻
    • ֎ࢿܥΫϥ΢υͷιϦϡʔγϣϯΞʔΩςΫτͱͯ͠
    ύʔτφʔ୲౰ *P5εϖγϟϦετϓϩτλΠϐϯά

    View Slide

  4. ηογϣϯ֓ཁ
    • ͓࿩͢Δ͜ͱ
    • ओʹιϥίϜʹؔΘΔ௨৴ηΩϡϦςΟʹ͍ͭͯ͝঺
    հ͠·͢ɻ
    • օ༷͕ιϥίϜΛར༻͢Δࡍʹ҆શͰ͋Δͱઆ໌Ͱ͖
    ΔΑ͏ɺ·ͨ͸౓ͷαʔϏεΛར༻͢Ε͹͍͍ͷ͔ͱ
    ͍͏఺ʹؾ͕͚ͭΔΑ͏ʹͳΔɻ
    • ର৅ऀ
    • *P5γεςϜʹؔΘΔ͢΂ͯͷํ

    View Slide

  5. "HFOEB
    • σόΠε௨৴ͷηΩϡϦςΟ
    • σόΠεͷηΩϡϦςΟ
    • ΞΧ΢ϯτอޢ
    • όοΫΤϯυอޢ
    • σʔλอޢ
    • ·ͱΊ

    View Slide

  6. ૂΘΕΔ*P5γεςϜ
    5IF *OUFSOFU
    *P5όοΫΤϯυ
    ͓٬༷ͷγεςϜ
    σόΠεΛ
    ৐ͬऔΖ͏
    ؒͰ௨৴Λ
    ౪ΈݟΑ͏
    σόΠεʹϦϞʔτ
    ΞΫηεͯ͠΍Ζ͏
    403"$0.
    ΞΧ΢ϯτΛ
    ৐ͬऔΖ͏
    *P5όοΫΤϯυ
    Λ߈ܸͯ͠΍Ζ͏

    View Slide

  7. ૂΘΕΔ*P5γεςϜ
    5IF *OUFSOFU
    *P5όοΫΤϯυ
    ͓٬༷ͷγεςϜ
    σόΠεΛ
    ৐ͬऔΖ͏
    ؒͰ௨৴Λ
    ౪ΈݟΑ͏
    σόΠεʹϦϞʔτ
    ΞΫηεͯ͠΍Ζ͏
    403"$0.
    ΞΧ΢ϯτΛ
    ৐ͬऔΖ͏
    *P5όοΫΤϯυ
    Λ߈ܸͯ͠΍Ζ͏

    View Slide

  8. • 4VCTDSJCFS*EFOUJUZ.PEVMF
    • ར༻ऀͷೝূϞδϡʔϧ
    • ߴ͍଱λϯύੑ
    • 4*.͝ͱʹೝূɺ҉߸ԽΩʔఏڙ
    • 4*.͝ͱʹϢχʔΫ*%͕࢖͑Δ
    • ϞόΠϧ௨৴Ͱೝূͱແઢͷ҉߸ԽΛ୲อ
    4*.Χʔυ

    View Slide

  9. (-5&ͷ4*.ೝূ
    VPC
    加入者情報DB
    1.認証リクエスト
    2.認証レスポンス
    Auth Token(AUTN), Random(RAND)
    3.ネットワークの
    認証
    4.ユーザー認証レスポンス
    RES
    5.SIMの認証
    Integrity Key
    Ciphering key
    Secret Key
    Sequence
    Number
    N
    Secret Key
    Sequence
    Number
    N
    6.鍵の生成
    6.鍵の生成
    Integrity Key
    Ciphering key
    鍵の交換が
    ない

    View Slide

  10. ܞଳ໢ͷ҆શੑʹ͍ͭͯ
    公式ガイドブック SORACOMプラットフォームより
    先に上げた
    - SIMの正当性
    - 加入情報の正当性
    を確認し通信暗号鍵を
    作成し暗号通信を開始
    基本的にグローバルIPアドレス
    は付与されないために、
    デバイスに直接アクセスする手
    段を提供しない

    View Slide

  11. • 4*.͔Βಛఆͷ઀ଓઌʹ͔͠઀ଓͰ͖ͳ͍Α͏੍ݶ͕Մೳ
    • σόΠε͕ҙਤͤͣ֎෦ʹ઀ଓ͠ͳ͍Α͏ʹͰ͖Δ
    • %/4ઃஔQSJWBUFHBSEFO ιϥίϜαʔϏεͷΈʹΞΫηεՄೳ

    • Ξ΢τό΢ϯυϑΟϧλϦϯά
    • ݻఆ*1ΞυϨεΛར༻͢Δ͜ͱͰɺόοΫΤϯυଆͰ*1ϑΟϧλΛೖΕΔ͜ͱ΋Մೳ
    Ξ΢τό΢ϯυͷ੍ޚ
    ѱҙͷ͋Δαʔό
    ਖ਼౰ͳαʔό
    71(

    View Slide

  12. ૂΘΕΔ*P5γεςϜ
    5IF *OUFSOFU
    *P5όοΫΤϯυ
    ͓٬༷ͷγεςϜ
    σόΠεΛ
    ৐ͬऔΖ͏
    ؒͰ௨৴Λ
    ౪ΈݟΑ͏
    σόΠεʹϦϞʔτ
    ΞΫηεͯ͠΍Ζ͏
    403"$0.
    ΞΧ΢ϯτΛ
    ৐ͬऔΖ͏
    *P5όοΫΤϯυ
    Λ߈ܸͯ͠΍Ζ͏

    View Slide

  13. ͜ͷ࢓૊ΈΛ࣮ݱ͢Δ
    ϑϨʔϜϫʔΫ 'JSNXBSFGSBNFXPSL
    ͱ
    ϋʔυ΢ΣΞ )BSEXBSFTZTUFNBSDIJUFDUVSF

    *P5σόΠε
    .$6 $PSUFYͳͲʣ
    $16
    'MBTI
    ެ։ݤͷ
    ϋογϡ
    *%
    ੡଄࣌ʹηΩϡΞͳ
    ϓϩηεͰॻ͖ࠐΈ
    ʢ5SVTUFEEFWJDFJOJUJBMJ[BUJPO

    ެ։ݤ
    ॺ໊
    ϑΝʔϜ΢ΣΞ
    ൿີݤͰɺެ։ݤͱ
    ϑΝʔϜ΢ΣΞΛॺ໊
    ϒʔτ࣌ʹॺ໊Λ֬ೝ 5SVTUFECPPU

    ϑΝʔϜ΢ΣΞΞοϓσʔτ࣌΋
    ॺ໊Λ֬ೝʢGJSNXBSFVQEBUF

    'JSNXBSF
    ௨৴༻ͷҰ࣌ݤͷه࿥΍
    ҉߸Խॲཧͷ࣮ࢪͳͲɺ
    ࣮ߦ࣌ʹ͓͚ΔηΩϡΞͳ
    ϝϞϦ؀ڥͰͷॲཧ
    ʢ5SVTUFETFDVSFGVODUJPOT

    ηΩϡΞϝϞϦ
    1MBUGPSN4FDVSJUZ"SDIJUFDUVSF 14"

    View Slide

  14. σόΠεͱΫϥ΢υͷ௚઀࿈ܞͷ໰୊఺
    デバイス
    セキュア&クラウドネイティブな
    プロトコル
    SDK や認証情報のインストール
    証明書などの更新作業
    • メガクラウド
    PaaS / SaaS
    • パートナー
    ソリューション

    View Slide

  15. SORACOM Funk
    403"$0.#FBN'VOOFM'VOLʹΑΔ
    ೝূೝՄͷηΩϡΞԽ
    デバイス
    セキュア&クラウドネイティブな
    プロトコル
    • メガクラウド
    PaaS / SaaS
    • パートナー
    ソリューション
    SORACOM Beam
    SORACOM Funnel
    プリミティブな
    プロトコル
    • SIM を鍵としてクラウドの認証情報との紐づけ
    • クラウド向けプロトコルへ変換
    HTTP, MQTT,
    TCP, UDP
    HTTPS(+JSON), MQTTS,
    TCPS
    4%,΍ೝূ৘ใΛσόΠε͔ΒऔΓ෷ͬͯγϯϓϧԽ
    ηΩϡϦςΟͷ޲্
    ΩʔϩʔςʔγϣϯͳͲͷ޻਺࡟ݮ

    View Slide

  16. ઐ༻ઢ
    Πϯλʔωοτ ͓٬༷ͷαʔόʔ
    *.&*ϩοΫ
    IMSI
    SIMカードに格納されてい
    る一意な番号
    IMEI
    通信モジュールに格納されている
    一意な番号
    IMEIロック
    特定のIMSIとIMEIのペア
    以外の通信を遮断

    View Slide

  17. ʬ ΞΧ΢ϯτͷอޢ ʭ

    View Slide

  18. ૂΘΕΔ*P5γεςϜ
    5IF *OUFSOFU
    *P5όοΫΤϯυ
    ͓٬༷ͷγεςϜ
    σόΠεΛ
    ৐ͬऔΖ͏
    ؒͰ௨৴Λ
    ౪ΈݟΑ͏
    σόΠεʹϦϞʔτ
    ΞΫηεͯ͠΍Ζ͏
    403"$0.
    ΞΧ΢ϯτΛ
    ৐ͬऔΖ͏
    *P5όοΫΤϯυ
    Λ߈ܸͯ͠΍Ζ͏

    View Slide

  19. 403"$0.ΞΧ΢ϯτͷߏ੒
    オペレーター
    (ルートアカウント)
    SAMユーザー
    認証キー
    コンソールログイ

    認証キー
    コンソール
    ログイン
    1
    *
    アクセス権限
    SAMユーザー
    認証キー
    コンソールログイン
    アクセス権限
    *
    認証キー:APIアクセス時の認証に利用

    View Slide

  20. ࢠϢʔβʔΛ࡞੒͠ɺೝূ৘ใͱ"1*୯Ґͷݖݶ؅ཧ͕Ͱ͖Δ
    403"$0."DDFTT.BOBHFNFOU

    View Slide

  21. • ։ൃऀ
    • ίϯιʔϧϩάΠϯͱೝূΩʔΛڐՄ
    • 4*.ͷղ໿͸/(
    • ؂ࢹϓϩάϥϜ
    • ೝূΩʔͷΈڐՄ
    • (&5ϝιουʢಡΈऔΓʣͷΈڐՄ
    • ௐୡ୲౰
    • ίϯιʔϧϩάΠϯͷΈՄೳ
    • ՝ۚͱൃ஫ͷΈར༻Մೳ
    • 4*.ૢ࡞͸Ұ੾/(
    Ϣʔβʔ͝ͱͷΞΫηεݖݶ؅ཧ ྫ

    View Slide

  22. ίϯιʔϧϩάΠϯ࣌ʹ.'" ଟཁૉೝূ
    ͕ར༻Մೳ
    ར༻Λڧ͘ਪ঑
    403"$0.ΞΧ΢ϯτͷ.'"ػೳ

    View Slide

  23. Πϕϯτϋϯυϥʔʢൃݟత౷੍

    • 4*.ͷ೔ͷ௨৴σʔλྔ͕
    Ұఆͷ͖͍͠஋Λ௒͑ͨΒ
    4*.Λఀࢭ
    • ௨ࢉͷσʔλ௨৴ྔ͕
    Ұఆͷ͖͍͠஋Λ௒͑ͨΒ
    4*. Λղ໿
    ɾҰఆͷ৚݅Λຬͨͨ࣌͠ʹΞΫγϣϯΛى͜͢͜ͱ͕Մೳ
    ɾҟৗͳ௨৴ྔΛݕ஌ͯ͠௨৴ःஅɺͳͲ͕Մೳ

    View Slide

  24. ૂΘΕΔ*P5γεςϜ
    5IF *OUFSOFU
    *P5όοΫΤϯυ
    ͓٬༷ͷγεςϜ
    σόΠεΛ
    ৐ͬऔΖ͏
    ؒͰ௨৴Λ
    ౪ΈݟΑ͏
    σόΠεʹϦϞʔτ
    ΞΫηεͯ͠΍Ζ͏
    403"$0.
    ΞΧ΢ϯτΛ
    ৐ͬऔΖ͏
    *P5όοΫΤϯυ
    Λ߈ܸͯ͠΍Ζ͏

    View Slide

  25. ަ׵ہ
    403"$0.
    "JS
    ดҬ໢Ͱͷ઀ଓ
    • 端末から自社システムまでの閉域網接続を容易に実現
    403"$0.
    $BOBM
    自社システム
    ύϒϦοΫΫϥ΢υ
    71/
    403"$0.
    %PPS
    自社システム
    403"$0.
    %JSFDU
    ϓϥΠϕʔτΫϥ΢υ
    ઐ༻ઢ
    自社システム
    ઐ༻ઢ

    View Slide

  26. 403"$0.(BUF
    ͓٬༷γεςϜ
    σόΠεͱΫϥ΢υΛ̍ͭͷେ͖ͳϓϥΠϕʔτ-"/ʹ
    Ϋϥ΢υ͔ΒͷϦϞʔτΞΫηεΛՄೳʹ͢ΔαʔϏε
    SORACOM Canal
    SORACOM Direct
    SORACOM Door
    SORACOM Gate
    SORACOM Gate
    ઀ଓ༻αʔό
    YYY
    YYZ

    View Slide

  27. 403"$0.
    /BQUFS
    ΞΫηεϙʔτΛ
    ϦΫΤετ
    ϦϞʔτϩάΠϯ
    ௨ৗ࣌͸ดҬɺԕִૢ࡞͚࣌ͩ֎෦͔Β઀ଓ
    403"$0."JS
    ͷηΩϡΞɾ
    ωοτϫʔΫ
    ಈతάϩʔόϧ*1ΞυϨε
    ϙʔτ
    403"$0./BQUFS
    44)ରԠͷ
    σόΠε

    View Slide

  28. •ݱࡏΫϥ΢υαʔϏεͱͷ௨৴ͱͯ͠͸
    5-4 5SBOTQPSU4FDVSF-BZFS
    ΍Yͷ
    ূ໌ॻΛݩʹͨ͠҉߸௨৴͕σϑΝΫτελϯμʔ
    υ
    •ҰํͰ҉߸Խ௨৴Λ࢖͍ͬͯͯ΋ਖ਼͍͠ϨϕϧͰӡ
    ༻͍ͯ͠ͳ͚Ε͹ͳΒͳ͍ɻ
    ดҬ௨৴͡Όͳ͍ͱ҆શͰ͸ͳ͍ͷ͔ʁ
    DES、RSA、ECC、SHA-xなどは
    暗号強度の話
    OV、EV、DV、オレオレ認証局
    は証明書の信頼度の話

    View Slide

  29. ૂΘΕΔ*P5γεςϜ
    5IF *OUFSOFU
    *P5όοΫΤϯυ
    ͓٬༷ͷγεςϜ
    σόΠεΛ
    ৐ͬऔΖ͏
    ؒͰ௨৴Λ
    ౪ΈݟΑ͏
    σόΠεʹϦϞʔτ
    ΞΫηεͯ͠΍Ζ͏
    403"$0.
    ΞΧ΢ϯτΛ
    ৐ͬऔΖ͏
    *P5όοΫΤϯυ
    Λ߈ܸͯ͠΍Ζ͏

    View Slide

  30. ʬ σʔλͷอޢ ʭ

    View Slide

  31. • औΓѻ͍σʔλͷ୨Է͠
    • ޚࣾʹ͓͚Δ৘ใͷऔΓѻ͍ϧʔϧ
    • ྫ
    ໊લɺϝʔϧΞυϨεɺॅॴʢ·ͨ૊Έ߹ΘͤʹΑΔݸਓ৘ใ
    ͷऔѻʣ
    • ಛఆۀछͷσʔλͰٻΊΒΕΔۀքඪ४ͷن֨
    • ྫ
    ҩྍ৘ใɺΫϨδοτΧʔυͳͲʹٻΊΒΕΔίϯϓϥΠΞϯ
    εཁ݅
    ͳͲσʔλͷऔΓѻ͍ʹ͍ͭͯ͸௨৴Ҏ֎ͷ෦෼Ͱͷཁٻ࣌ޮΛ໌
    ֬ʹͯཁ݅ΛΫϦΞ͢Δඞཁ͕͋Δɻ
    ཁ݅Λຬͨͨ͢Ίʹ͸ιϥίϜ͚ͩͰ͸ͳ͘ɺ͝ར༻͞ΕΔόοΫ
    ΤϯυσʔλετΞɺ͓٬༷ͷ։ൃ෺ɺӡ༻ͳͲΛ߹Θͤͯ࡞Γ
    ্͛Δඞཁ͕͋Δɻ
    औΓѻ͏৘ใ͸ʁ

    View Slide

  32. ʬ ·ͱΊ ʭ

    View Slide

  33. • γεςϜશମͰͷରॲ͕ඞཁ
    • ιϥίϜ͚ͩͰ͸ͳ͘ɺྫ͑͹όοΫΤϯυͷΫϥ΢υαʔϏεͳͲ
    ͷೝূ΍ɺαʔόϩάΠϯ৘ใͷऔΓѻ͍ͳͲ
    • ద੾ͳݖݶͷ؅ཧ΍ೖࣾୀ৬ʹؔΘΔਓతͳ؅ཧϑϩʔ
    • औΓѻ͏σʔλͷॏཁੑ΍ࣾ಺ͰͷऔΓѻ͍ϧʔϧΛ֬ೝ͢Δ
    • ηΩϡϦςΟͱӡ༻ੑίετ͸૬൓͢ΔཱͪҐஔʹͳΔ͜ͱ͕ଟ͍ͨ
    Ίʹద੾ͳϨϕϧͰͷऔΓѻ͍Λݕ౼͢Δ
    • ઃఆมߋ΍ҟৗ௨৴ͳͲෆਖ਼ঢ়ଶʹؾ͕͚ͭΔ࢓૊Έͷߏஙͷݕ౼
    ෆ҆ͱ͍͏ந৅తͳݴ༿Λ۩ମతͳ߲໨ʹىͯ͜͠۩ମతʹରࡦΛ࣮ࢪ͢
    Δ͜ͱ͕ॏཁ
    ηΩϡΞͰ͋Δͱ͸ʁ

    View Slide

  34. 403"$0.ͷئ͍
    Ϋϥ΢υ 㱺ଟ͘ͷϏδωεɺ8FCαʔϏε
    403"$0. 㱺ଟ͘ͷ*P5ϏδωεɺγεςϜ
    ͨ͘͞Μͷ
    *P5ϓϨΠϠʔ͕ੜ·Ε·͢Α͏ʹ

    View Slide

  35. ੈքதͷώτͱϞϊΛͭͳ͛
    ڞ໐͢Δࣾձ΁

    View Slide