SORACOM Technology Camp 2020 - Day3 SORACOMが実現するIoTデバイスとデータのセキュリティ/technology-camp2020-day3-s06

Transcript

1. 403"$0.͕࣮ݱ͢Δ *P5σόΠεͱσʔλͷηΩϡϦςΟ ιϦϡʔγϣϯΞʔΩςΫτɿখྊ઒ 

2. ຊ೔ͷϋογϡλά TPSBDPN !403"$0.@13 IUUQTXXXGBDFCPPLDPNTPSBDPNKQ

3. ࣗݾ঺հ גࣜձࣾιϥίϜ 
   ιϦϡʔγϣϯΞʔΩςΫτ খྊ઒ و࢙ ͜΍ͳ͕Θ ͔ͨ͠
   ܦྺ •

   4*ձࣾͰ։ൃΠϯϑϥઃܭɺߏஙͳͲ෯޿͘ܦݧ • ిػϝʔΧʔͰࣗࣾαʔϏεɺࣾ಺ڞ௨ϓϥοτϑΥʔϜͷ։ൃɺӡ༻ • ֎ࢿܥΫϥ΢υͷιϦϡʔγϣϯΞʔΩςΫτͱͯ͠ ύʔτφʔ୲౰ 
   *P5
   εϖγϟϦετϓϩτλΠϐϯά

4. ηογϣϯ֓ཁ • ͓࿩͢Δ͜ͱ • ओʹιϥίϜʹؔΘΔ௨৴ηΩϡϦςΟʹ͍ͭͯ͝঺ հ͠·͢ɻ • օ༷͕ιϥίϜΛར༻͢Δࡍʹ҆શͰ͋Δͱઆ໌Ͱ͖ ΔΑ͏ɺ·ͨ͸౓ͷαʔϏεΛར༻͢Ε͹͍͍ͷ͔ͱ ͍͏఺ʹؾ͕͚ͭΔΑ͏ʹͳΔɻ

   • ର৅ऀ • *P5γεςϜʹؔΘΔ͢΂ͯͷํ

5. "HFOEB • σόΠε௨৴ͷηΩϡϦςΟ • σόΠεͷηΩϡϦςΟ • ΞΧ΢ϯτอޢ • όοΫΤϯυอޢ •

   σʔλอޢ • ·ͱΊ

6. ૂΘΕΔ*P5γεςϜ 5IF *OUFSOFU *P5όοΫΤϯυ ͓٬༷ͷγεςϜ σόΠεΛ ৐ͬऔΖ͏ ؒͰ௨৴Λ ౪ΈݟΑ͏ σόΠεʹϦϞʔτ

   ΞΫηεͯ͠΍Ζ͏ 403"$0. ΞΧ΢ϯτΛ ৐ͬऔΖ͏ *P5όοΫΤϯυ Λ߈ܸͯ͠΍Ζ͏

7. ૂΘΕΔ*P5γεςϜ 5IF *OUFSOFU *P5όοΫΤϯυ ͓٬༷ͷγεςϜ σόΠεΛ ৐ͬऔΖ͏ ؒͰ௨৴Λ ౪ΈݟΑ͏ σόΠεʹϦϞʔτ

   ΞΫηεͯ͠΍Ζ͏ 403"$0. ΞΧ΢ϯτΛ ৐ͬऔΖ͏ *P5όοΫΤϯυ Λ߈ܸͯ͠΍Ζ͏

8. • 4VCTDSJCFS
   *EFOUJUZ
   .PEVMF • ར༻ऀͷೝূϞδϡʔϧ • ߴ͍଱λϯύੑ • 4*.͝ͱʹೝূɺ҉߸ԽΩʔఏڙ • 4*.͝ͱʹϢχʔΫ*%͕࢖͑Δ

   • ϞόΠϧ௨৴Ͱೝূͱແઢͷ҉߸ԽΛ୲อ 4*.Χʔυ

9. (-5&
   ͷ4*.ೝূ VPC 加入者情報DB 1.認証リクエスト 2.認証レスポンス Auth Token(AUTN), Random(RAND) 3.ネットワークの 認証

   4.ユーザー認証レスポンス RES 5.SIMの認証 Integrity Key Ciphering key Secret Key Sequence Number N Secret Key Sequence Number N 6.鍵の生成 6.鍵の生成 Integrity Key Ciphering key 鍵の交換が ない

10. ܞଳ໢ͷ҆શੑʹ͍ͭͯ 公式ガイドブック SORACOMプラットフォームより 先に上げた - SIMの正当性 - 加入情報の正当性 を確認し通信暗号鍵を 作成し暗号通信を開始

    基本的にグローバルIPアドレス は付与されないために、 デバイスに直接アクセスする手 段を提供しない

11. • 4*.͔Βಛఆͷ઀ଓઌʹ͔͠઀ଓͰ͖ͳ͍Α͏੍ݶ͕Մೳ • σόΠε͕ҙਤͤͣ֎෦ʹ઀ଓ͠ͳ͍Α͏ʹͰ͖Δ • %/4ઃஔQSJWBUF
    HBSEFO ιϥίϜαʔϏεͷΈʹΞΫηεՄೳ • Ξ΢τό΢ϯυϑΟϧλϦϯά •

    ݻఆ*1ΞυϨεΛར༻͢Δ͜ͱͰɺόοΫΤϯυଆͰ*1ϑΟϧλΛೖΕΔ͜ͱ΋Մೳ Ξ΢τό΢ϯυͷ੍ޚ ѱҙͷ͋Δαʔό ਖ਼౰ͳαʔό 71(

12. ૂΘΕΔ*P5γεςϜ 5IF *OUFSOFU *P5όοΫΤϯυ ͓٬༷ͷγεςϜ σόΠεΛ ৐ͬऔΖ͏ ؒͰ௨৴Λ ౪ΈݟΑ͏ σόΠεʹϦϞʔτ

    ΞΫηεͯ͠΍Ζ͏ 403"$0. ΞΧ΢ϯτΛ ৐ͬऔΖ͏ *P5όοΫΤϯυ Λ߈ܸͯ͠΍Ζ͏

13. ͜ͷ࢓૊ΈΛ࣮ݱ͢Δ ϑϨʔϜϫʔΫ 'JSNXBSF
    GSBNFXPSL ͱ ϋʔυ΢ΣΞ )BSEXBSF
    TZTUFN
    BSDIJUFDUVSF *P5σόΠε .$6 $PSUFYͳͲʣ $16

    'MBTI ެ։ݤͷ ϋογϡ *% ੡଄࣌ʹηΩϡΞͳ ϓϩηεͰॻ͖ࠐΈ ʢ5SVTUFE
    EFWJDF
    JOJUJBMJ[BUJPO ެ։ݤ ॺ໊ ϑΝʔϜ΢ΣΞ ൿີݤͰɺެ։ݤͱ ϑΝʔϜ΢ΣΞΛॺ໊ ϒʔτ࣌ʹॺ໊Λ֬ೝ 5SVTUFE
    CPPU ϑΝʔϜ΢ΣΞΞοϓσʔτ࣌΋ ॺ໊Λ֬ೝʢGJSNXBSF
    VQEBUF 'JSNXBSF ௨৴༻ͷҰ࣌ݤͷه࿥΍ ҉߸Խॲཧͷ࣮ࢪͳͲɺ ࣮ߦ࣌ʹ͓͚ΔηΩϡΞͳ ϝϞϦ؀ڥͰͷॲཧ ʢ5SVTUFE
    TFDVSF
    GVODUJPOT ηΩϡΞϝϞϦ 1MBUGPSN
    4FDVSJUZ
    "SDIJUFDUVSF 14"

14. σόΠεͱΫϥ΢υͷ௚઀࿈ܞͷ໰୊఺ デバイス セキュア&クラウドネイティブな プロトコル SDK や認証情報のインストール 証明書などの更新作業 • メガクラウド PaaS

    / SaaS • パートナー ソリューション

15. SORACOM Funk 403"$0.
    #FBN
    
    'VOOFM
    
    'VOL
    ʹΑΔ ೝূೝՄͷηΩϡΞԽ デバイス セキュア&クラウドネイティブな プロトコル • メガクラウド PaaS

    / SaaS • パートナー ソリューション SORACOM Beam SORACOM Funnel プリミティブな プロトコル • SIM を鍵としてクラウドの認証情報との紐づけ • クラウド向けプロトコルへ変換 HTTP, MQTT, TCP, UDP HTTPS(+JSON), MQTTS, TCPS 4%,
    ΍ೝূ৘ใΛσόΠε͔ΒऔΓ෷ͬͯγϯϓϧԽ ηΩϡϦςΟͷ޲্ ΩʔϩʔςʔγϣϯͳͲͷ޻਺࡟ݮ

16. ઐ༻ઢ Πϯλʔωοτ ͓٬༷ͷαʔόʔ *.&*ϩοΫ IMSI SIMカードに格納されてい る一意な番号 IMEI 通信モジュールに格納されている 一意な番号

    IMEIロック 特定のIMSIとIMEIのペア 以外の通信を遮断

17. ʬ ΞΧ΢ϯτͷอޢ ʭ

18. ૂΘΕΔ*P5γεςϜ 5IF *OUFSOFU *P5όοΫΤϯυ ͓٬༷ͷγεςϜ σόΠεΛ ৐ͬऔΖ͏ ؒͰ௨৴Λ ౪ΈݟΑ͏ σόΠεʹϦϞʔτ

    ΞΫηεͯ͠΍Ζ͏ 403"$0. ΞΧ΢ϯτΛ ৐ͬऔΖ͏ *P5όοΫΤϯυ Λ߈ܸͯ͠΍Ζ͏

19. 403"$0.ΞΧ΢ϯτͷߏ੒ オペレーター （ルートアカウント) SAMユーザー 認証キー コンソールログイ ン 認証キー コンソール ログイン

    1 * アクセス権限 SAMユーザー 認証キー コンソールログイン アクセス権限 * 認証キー:APIアクセス時の認証に利用

20. ࢠϢʔβʔΛ࡞੒͠ɺೝূ৘ใͱ"1*୯Ґͷݖݶ؅ཧ͕Ͱ͖Δ 403"$0.
    "DDFTT
    .BOBHFNFOU

21. • ։ൃऀ • ίϯιʔϧϩάΠϯͱೝূΩʔΛڐՄ • 4*.ͷղ໿͸/( • ؂ࢹϓϩάϥϜ • ೝূΩʔͷΈڐՄ

    • (&5ϝιουʢಡΈऔΓʣͷΈڐՄ • ௐୡ୲౰ • ίϯιʔϧϩάΠϯͷΈՄೳ • ՝ۚͱൃ஫ͷΈར༻Մೳ • 4*.ૢ࡞͸Ұ੾/( Ϣʔβʔ͝ͱͷΞΫηεݖݶ؅ཧ ྫ

22. ίϯιʔϧϩάΠϯ࣌ʹ.'" ଟཁૉೝূ ͕ར༻Մೳ ར༻Λڧ͘ਪ঑ 403"$0.ΞΧ΢ϯτͷ.'"ػೳ

23. Πϕϯτϋϯυϥʔʢൃݟత౷੍ • 4*.ͷ೔ͷ௨৴σʔλྔ͕ Ұఆͷ͖͍͠஋Λ௒͑ͨΒ 4*.Λఀࢭ • ௨ࢉͷσʔλ௨৴ྔ͕ Ұఆͷ͖͍͠஋Λ௒͑ͨΒ 4*. Λղ໿

    ɾҰఆͷ৚݅Λຬͨͨ࣌͠ʹΞΫγϣϯΛى͜͢͜ͱ͕Մೳ ɾҟৗͳ௨৴ྔΛݕ஌ͯ͠௨৴ःஅɺͳͲ͕Մೳ

24. ૂΘΕΔ*P5γεςϜ 5IF *OUFSOFU *P5όοΫΤϯυ ͓٬༷ͷγεςϜ σόΠεΛ ৐ͬऔΖ͏ ؒͰ௨৴Λ ౪ΈݟΑ͏ σόΠεʹϦϞʔτ

    ΞΫηεͯ͠΍Ζ͏ 403"$0. ΞΧ΢ϯτΛ ৐ͬऔΖ͏ *P5όοΫΤϯυ Λ߈ܸͯ͠΍Ζ͏

25. ަ׵ہ 403"$0.
    "JS ดҬ໢Ͱͷ઀ଓ • 端末から自社システムまでの閉域網接続を容易に実現 403"$0.
    $BOBM 自社システム ύϒϦοΫΫϥ΢υ

    71/ 403"$0.
    %PPS 自社システム 403"$0.
    %JSFDU ϓϥΠϕʔτΫϥ΢υ ઐ༻ઢ 自社システム ઐ༻ઢ

26. 403"$0.
    (BUF ͓٬༷γεςϜ σόΠεͱΫϥ΢υΛ̍ͭͷେ͖ͳϓϥΠϕʔτ-"/ʹ Ϋϥ΢υ͔ΒͷϦϞʔτΞΫηεΛՄೳʹ͢ΔαʔϏε SORACOM Canal SORACOM Direct SORACOM Door

    SORACOM Gate SORACOM Gate ઀ଓ༻αʔό YYY YYZ

27. 403"$0. /BQUFS 
    ΞΫηεϙʔτΛ ϦΫΤετ 
    ϦϞʔτϩάΠϯ ௨ৗ࣌͸ดҬɺԕִૢ࡞͚࣌ͩ֎෦͔Β઀ଓ 403"$0.
    "JS ͷηΩϡΞɾ ωοτϫʔΫ ಈతάϩʔόϧ*1ΞυϨε

    ϙʔτ 403"$0.
    /BQUFS 44)ରԠͷ σόΠε

28. •ݱࡏΫϥ΢υαʔϏεͱͷ௨৴ͱͯ͠͸ 5-4 5SBOTQPSU
    4FDVSF
    -BZFS ΍Yͷ ূ໌ॻΛݩʹͨ͠҉߸௨৴͕σϑΝΫτελϯμʔ υ •ҰํͰ҉߸Խ௨৴Λ࢖͍ͬͯͯ΋ਖ਼͍͠ϨϕϧͰӡ ༻͍ͯ͠ͳ͚Ε͹ͳΒͳ͍ɻ ดҬ௨৴͡Όͳ͍ͱ҆શͰ͸ͳ͍ͷ͔ʁ DES、RSA、ECC、SHA-xなどは

    暗号強度の話 OV、EV、DV、オレオレ認証局 は証明書の信頼度の話

29. ૂΘΕΔ*P5γεςϜ 5IF *OUFSOFU *P5όοΫΤϯυ ͓٬༷ͷγεςϜ σόΠεΛ ৐ͬऔΖ͏ ؒͰ௨৴Λ ౪ΈݟΑ͏ σόΠεʹϦϞʔτ

    ΞΫηεͯ͠΍Ζ͏ 403"$0. ΞΧ΢ϯτΛ ৐ͬऔΖ͏ *P5όοΫΤϯυ Λ߈ܸͯ͠΍Ζ͏

30. ʬ σʔλͷอޢ ʭ

31. • औΓѻ͍σʔλͷ୨Է͠ • ޚࣾʹ͓͚Δ৘ใͷऔΓѻ͍ϧʔϧ • ྫ
    ໊લɺϝʔϧΞυϨεɺॅॴʢ·ͨ૊Έ߹ΘͤʹΑΔݸਓ৘ใ ͷऔѻʣ • ಛఆۀछͷσʔλͰٻΊΒΕΔۀքඪ४ͷن֨

    • ྫ
    ҩྍ৘ใɺΫϨδοτΧʔυͳͲʹٻΊΒΕΔίϯϓϥΠΞϯ εཁ݅ ͳͲσʔλͷऔΓѻ͍ʹ͍ͭͯ͸௨৴Ҏ֎ͷ෦෼Ͱͷཁٻ࣌ޮΛ໌ ֬ʹͯཁ݅ΛΫϦΞ͢Δඞཁ͕͋Δɻ ཁ݅Λຬͨͨ͢Ίʹ͸ιϥίϜ͚ͩͰ͸ͳ͘ɺ͝ར༻͞ΕΔόοΫ ΤϯυσʔλετΞɺ͓٬༷ͷ։ൃ෺ɺӡ༻ͳͲΛ߹Θͤͯ࡞Γ ্͛Δඞཁ͕͋Δɻ औΓѻ͏৘ใ͸ʁ

32. ʬ ·ͱΊ ʭ

33. • γεςϜશମͰͷରॲ͕ඞཁ • ιϥίϜ͚ͩͰ͸ͳ͘ɺྫ͑͹όοΫΤϯυͷΫϥ΢υαʔϏεͳͲ ͷೝূ΍ɺαʔόϩάΠϯ৘ใͷऔΓѻ͍ͳͲ • ద੾ͳݖݶͷ؅ཧ΍ೖࣾୀ৬ʹؔΘΔਓతͳ؅ཧϑϩʔ • औΓѻ͏σʔλͷॏཁੑ΍ࣾ಺ͰͷऔΓѻ͍ϧʔϧΛ֬ೝ͢Δ •

    ηΩϡϦςΟͱӡ༻ੑίετ͸૬൓͢ΔཱͪҐஔʹͳΔ͜ͱ͕ଟ͍ͨ Ίʹద੾ͳϨϕϧͰͷऔΓѻ͍Λݕ౼͢Δ • ઃఆมߋ΍ҟৗ௨৴ͳͲෆਖ਼ঢ়ଶʹؾ͕͚ͭΔ࢓૊Έͷߏஙͷݕ౼ ෆ҆ͱ͍͏ந৅తͳݴ༿Λ۩ମతͳ߲໨ʹىͯ͜͠۩ମతʹରࡦΛ࣮ࢪ͢ Δ͜ͱ͕ॏཁ ηΩϡΞͰ͋Δͱ͸ʁ

34. 403"$0.ͷئ͍ Ϋϥ΢υ 㱺
    ଟ͘ͷϏδωεɺ8FCαʔϏε 403"$0. 㱺
    ଟ͘ͷ*P5ϏδωεɺγεςϜ ͨ͘͞Μͷ *P5ϓϨΠϠʔ͕ੜ·Ε·͢Α͏ʹ

35. ੈքதͷώτͱϞϊΛͭͳ͛ ڞ໐͢Δࣾձ΁