Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SORACOM Technology Camp 2020 - Day3 SORACOMが実現するIoTデバイスとデータのセキュリティ/technology-camp2020-day3-s06

7cd783377515bdf8207062840b7b2f4e?s=47 SORACOM
PRO
November 19, 2020

SORACOM Technology Camp 2020 - Day3 SORACOMが実現するIoTデバイスとデータのセキュリティ/technology-camp2020-day3-s06

IoTシステムを開発・運用する上でセキュリティはとても重要な要因です。デバイスへの不正なアクセスが原因で発生する情報の盗難や、第3者への攻撃、通信回線の不正利用といったケースは必ず防がなければいけません。

本セッションでは、IoTシステムにおけるセキュリティ上の脅威や懸念を整理し、SORACOMを活用した対策手段を体系立ててお話します。

株式会社ソラコム
ソリューションアーキテクト 小梁川 貴史

7cd783377515bdf8207062840b7b2f4e?s=128

SORACOM
PRO

November 19, 2020
Tweet

Transcript

  1. 403"$0.͕࣮ݱ͢Δ *P5σόΠεͱσʔλͷηΩϡϦςΟ ιϦϡʔγϣϯΞʔΩςΫτɿখྊ઒ 

  2. ຊ೔ͷϋογϡλά TPSBDPN !403"$0.@13 IUUQTXXXGBDFCPPLDPNTPSBDPNKQ

  3. ࣗݾ঺հ גࣜձࣾιϥίϜ ιϦϡʔγϣϯΞʔΩςΫτ খྊ઒ و࢙ ͜΍ͳ͕Θ ͔ͨ͠  ܦྺ •

    4*ձࣾͰ։ൃΠϯϑϥઃܭɺߏஙͳͲ෯޿͘ܦݧ • ిػϝʔΧʔͰࣗࣾαʔϏεɺࣾ಺ڞ௨ϓϥοτϑΥʔϜͷ։ൃɺӡ༻ • ֎ࢿܥΫϥ΢υͷιϦϡʔγϣϯΞʔΩςΫτͱͯ͠ ύʔτφʔ୲౰ *P5εϖγϟϦετϓϩτλΠϐϯά
  4. ηογϣϯ֓ཁ • ͓࿩͢Δ͜ͱ • ओʹιϥίϜʹؔΘΔ௨৴ηΩϡϦςΟʹ͍ͭͯ͝঺ հ͠·͢ɻ • օ༷͕ιϥίϜΛར༻͢Δࡍʹ҆શͰ͋Δͱઆ໌Ͱ͖ ΔΑ͏ɺ·ͨ͸౓ͷαʔϏεΛར༻͢Ε͹͍͍ͷ͔ͱ ͍͏఺ʹؾ͕͚ͭΔΑ͏ʹͳΔɻ

    • ର৅ऀ • *P5γεςϜʹؔΘΔ͢΂ͯͷํ
  5. "HFOEB • σόΠε௨৴ͷηΩϡϦςΟ • σόΠεͷηΩϡϦςΟ • ΞΧ΢ϯτอޢ • όοΫΤϯυอޢ •

    σʔλอޢ • ·ͱΊ
  6. ૂΘΕΔ*P5γεςϜ 5IF *OUFSOFU *P5όοΫΤϯυ ͓٬༷ͷγεςϜ σόΠεΛ ৐ͬऔΖ͏ ؒͰ௨৴Λ ౪ΈݟΑ͏ σόΠεʹϦϞʔτ

    ΞΫηεͯ͠΍Ζ͏ 403"$0. ΞΧ΢ϯτΛ ৐ͬऔΖ͏ *P5όοΫΤϯυ Λ߈ܸͯ͠΍Ζ͏
  7. ૂΘΕΔ*P5γεςϜ 5IF *OUFSOFU *P5όοΫΤϯυ ͓٬༷ͷγεςϜ σόΠεΛ ৐ͬऔΖ͏ ؒͰ௨৴Λ ౪ΈݟΑ͏ σόΠεʹϦϞʔτ

    ΞΫηεͯ͠΍Ζ͏ 403"$0. ΞΧ΢ϯτΛ ৐ͬऔΖ͏ *P5όοΫΤϯυ Λ߈ܸͯ͠΍Ζ͏
  8. • 4VCTDSJCFS*EFOUJUZ.PEVMF • ར༻ऀͷೝূϞδϡʔϧ • ߴ͍଱λϯύੑ • 4*.͝ͱʹೝূɺ҉߸ԽΩʔఏڙ • 4*.͝ͱʹϢχʔΫ*%͕࢖͑Δ

    • ϞόΠϧ௨৴Ͱೝূͱແઢͷ҉߸ԽΛ୲อ 4*.Χʔυ
  9. (-5&ͷ4*.ೝূ VPC 加入者情報DB 1.認証リクエスト 2.認証レスポンス Auth Token(AUTN), Random(RAND) 3.ネットワークの 認証

    4.ユーザー認証レスポンス RES 5.SIMの認証 Integrity Key Ciphering key Secret Key Sequence Number N Secret Key Sequence Number N 6.鍵の生成 6.鍵の生成 Integrity Key Ciphering key 鍵の交換が ない
  10. ܞଳ໢ͷ҆શੑʹ͍ͭͯ 公式ガイドブック SORACOMプラットフォームより 先に上げた - SIMの正当性 - 加入情報の正当性 を確認し通信暗号鍵を 作成し暗号通信を開始

    基本的にグローバルIPアドレス は付与されないために、 デバイスに直接アクセスする手 段を提供しない
  11. • 4*.͔Βಛఆͷ઀ଓઌʹ͔͠઀ଓͰ͖ͳ͍Α͏੍ݶ͕Մೳ • σόΠε͕ҙਤͤͣ֎෦ʹ઀ଓ͠ͳ͍Α͏ʹͰ͖Δ • %/4ઃஔQSJWBUFHBSEFO ιϥίϜαʔϏεͷΈʹΞΫηεՄೳ • Ξ΢τό΢ϯυϑΟϧλϦϯά •

    ݻఆ*1ΞυϨεΛར༻͢Δ͜ͱͰɺόοΫΤϯυଆͰ*1ϑΟϧλΛೖΕΔ͜ͱ΋Մೳ Ξ΢τό΢ϯυͷ੍ޚ ѱҙͷ͋Δαʔό ਖ਼౰ͳαʔό 71(
  12. ૂΘΕΔ*P5γεςϜ 5IF *OUFSOFU *P5όοΫΤϯυ ͓٬༷ͷγεςϜ σόΠεΛ ৐ͬऔΖ͏ ؒͰ௨৴Λ ౪ΈݟΑ͏ σόΠεʹϦϞʔτ

    ΞΫηεͯ͠΍Ζ͏ 403"$0. ΞΧ΢ϯτΛ ৐ͬऔΖ͏ *P5όοΫΤϯυ Λ߈ܸͯ͠΍Ζ͏
  13. ͜ͷ࢓૊ΈΛ࣮ݱ͢Δ ϑϨʔϜϫʔΫ 'JSNXBSFGSBNFXPSL ͱ ϋʔυ΢ΣΞ )BSEXBSFTZTUFNBSDIJUFDUVSF *P5σόΠε .$6 $PSUFYͳͲʣ $16

    'MBTI ެ։ݤͷ ϋογϡ *% ੡଄࣌ʹηΩϡΞͳ ϓϩηεͰॻ͖ࠐΈ ʢ5SVTUFEEFWJDFJOJUJBMJ[BUJPO ެ։ݤ ॺ໊ ϑΝʔϜ΢ΣΞ ൿີݤͰɺެ։ݤͱ ϑΝʔϜ΢ΣΞΛॺ໊ ϒʔτ࣌ʹॺ໊Λ֬ೝ 5SVTUFECPPU ϑΝʔϜ΢ΣΞΞοϓσʔτ࣌΋ ॺ໊Λ֬ೝʢGJSNXBSFVQEBUF 'JSNXBSF ௨৴༻ͷҰ࣌ݤͷه࿥΍ ҉߸Խॲཧͷ࣮ࢪͳͲɺ ࣮ߦ࣌ʹ͓͚ΔηΩϡΞͳ ϝϞϦ؀ڥͰͷॲཧ ʢ5SVTUFETFDVSFGVODUJPOT ηΩϡΞϝϞϦ 1MBUGPSN4FDVSJUZ"SDIJUFDUVSF 14"
  14. σόΠεͱΫϥ΢υͷ௚઀࿈ܞͷ໰୊఺ デバイス セキュア&クラウドネイティブな プロトコル SDK や認証情報のインストール 証明書などの更新作業 • メガクラウド PaaS

    / SaaS • パートナー ソリューション
  15. SORACOM Funk 403"$0.#FBN'VOOFM'VOLʹΑΔ ೝূೝՄͷηΩϡΞԽ デバイス セキュア&クラウドネイティブな プロトコル • メガクラウド PaaS

    / SaaS • パートナー ソリューション SORACOM Beam SORACOM Funnel プリミティブな プロトコル • SIM を鍵としてクラウドの認証情報との紐づけ • クラウド向けプロトコルへ変換 HTTP, MQTT, TCP, UDP HTTPS(+JSON), MQTTS, TCPS 4%,΍ೝূ৘ใΛσόΠε͔ΒऔΓ෷ͬͯγϯϓϧԽ ηΩϡϦςΟͷ޲্ ΩʔϩʔςʔγϣϯͳͲͷ޻਺࡟ݮ
  16. ઐ༻ઢ Πϯλʔωοτ ͓٬༷ͷαʔόʔ *.&*ϩοΫ IMSI SIMカードに格納されてい る一意な番号 IMEI 通信モジュールに格納されている 一意な番号

    IMEIロック 特定のIMSIとIMEIのペア 以外の通信を遮断
  17. ʬ ΞΧ΢ϯτͷอޢ ʭ

  18. ૂΘΕΔ*P5γεςϜ 5IF *OUFSOFU *P5όοΫΤϯυ ͓٬༷ͷγεςϜ σόΠεΛ ৐ͬऔΖ͏ ؒͰ௨৴Λ ౪ΈݟΑ͏ σόΠεʹϦϞʔτ

    ΞΫηεͯ͠΍Ζ͏ 403"$0. ΞΧ΢ϯτΛ ৐ͬऔΖ͏ *P5όοΫΤϯυ Λ߈ܸͯ͠΍Ζ͏
  19. 403"$0.ΞΧ΢ϯτͷߏ੒ オペレーター (ルートアカウント) SAMユーザー 認証キー コンソールログイ ン 認証キー コンソール ログイン

    1 * アクセス権限 SAMユーザー 認証キー コンソールログイン アクセス権限 * 認証キー:APIアクセス時の認証に利用
  20. ࢠϢʔβʔΛ࡞੒͠ɺೝূ৘ใͱ"1*୯Ґͷݖݶ؅ཧ͕Ͱ͖Δ 403"$0."DDFTT.BOBHFNFOU

  21. • ։ൃऀ • ίϯιʔϧϩάΠϯͱೝূΩʔΛڐՄ • 4*.ͷղ໿͸/( • ؂ࢹϓϩάϥϜ • ೝূΩʔͷΈڐՄ

    • (&5ϝιουʢಡΈऔΓʣͷΈڐՄ • ௐୡ୲౰ • ίϯιʔϧϩάΠϯͷΈՄೳ • ՝ۚͱൃ஫ͷΈར༻Մೳ • 4*.ૢ࡞͸Ұ੾/( Ϣʔβʔ͝ͱͷΞΫηεݖݶ؅ཧ ྫ
  22. ίϯιʔϧϩάΠϯ࣌ʹ.'" ଟཁૉೝূ ͕ར༻Մೳ ར༻Λڧ͘ਪ঑ 403"$0.ΞΧ΢ϯτͷ.'"ػೳ

  23. Πϕϯτϋϯυϥʔʢൃݟత౷੍ • 4*.ͷ೔ͷ௨৴σʔλྔ͕ Ұఆͷ͖͍͠஋Λ௒͑ͨΒ 4*.Λఀࢭ • ௨ࢉͷσʔλ௨৴ྔ͕ Ұఆͷ͖͍͠஋Λ௒͑ͨΒ 4*. Λղ໿

    ɾҰఆͷ৚݅Λຬͨͨ࣌͠ʹΞΫγϣϯΛى͜͢͜ͱ͕Մೳ ɾҟৗͳ௨৴ྔΛݕ஌ͯ͠௨৴ःஅɺͳͲ͕Մೳ
  24. ૂΘΕΔ*P5γεςϜ 5IF *OUFSOFU *P5όοΫΤϯυ ͓٬༷ͷγεςϜ σόΠεΛ ৐ͬऔΖ͏ ؒͰ௨৴Λ ౪ΈݟΑ͏ σόΠεʹϦϞʔτ

    ΞΫηεͯ͠΍Ζ͏ 403"$0. ΞΧ΢ϯτΛ ৐ͬऔΖ͏ *P5όοΫΤϯυ Λ߈ܸͯ͠΍Ζ͏
  25. ަ׵ہ 403"$0. "JS ดҬ໢Ͱͷ઀ଓ • 端末から自社システムまでの閉域網接続を容易に実現 403"$0. $BOBM 自社システム ύϒϦοΫΫϥ΢υ

    71/ 403"$0. %PPS 自社システム 403"$0. %JSFDU ϓϥΠϕʔτΫϥ΢υ ઐ༻ઢ 自社システム ઐ༻ઢ
  26. 403"$0.(BUF ͓٬༷γεςϜ σόΠεͱΫϥ΢υΛ̍ͭͷେ͖ͳϓϥΠϕʔτ-"/ʹ Ϋϥ΢υ͔ΒͷϦϞʔτΞΫηεΛՄೳʹ͢ΔαʔϏε SORACOM Canal SORACOM Direct SORACOM Door

    SORACOM Gate SORACOM Gate ઀ଓ༻αʔό YYY YYZ
  27. 403"$0. /BQUFS ΞΫηεϙʔτΛ ϦΫΤετ ϦϞʔτϩάΠϯ ௨ৗ࣌͸ดҬɺԕִૢ࡞͚࣌ͩ֎෦͔Β઀ଓ 403"$0."JS ͷηΩϡΞɾ ωοτϫʔΫ ಈతάϩʔόϧ*1ΞυϨε

    ϙʔτ 403"$0./BQUFS 44)ରԠͷ σόΠε
  28. •ݱࡏΫϥ΢υαʔϏεͱͷ௨৴ͱͯ͠͸ 5-4 5SBOTQPSU4FDVSF-BZFS ΍Yͷ ূ໌ॻΛݩʹͨ͠҉߸௨৴͕σϑΝΫτελϯμʔ υ •ҰํͰ҉߸Խ௨৴Λ࢖͍ͬͯͯ΋ਖ਼͍͠ϨϕϧͰӡ ༻͍ͯ͠ͳ͚Ε͹ͳΒͳ͍ɻ ดҬ௨৴͡Όͳ͍ͱ҆શͰ͸ͳ͍ͷ͔ʁ DES、RSA、ECC、SHA-xなどは

    暗号強度の話 OV、EV、DV、オレオレ認証局 は証明書の信頼度の話
  29. ૂΘΕΔ*P5γεςϜ 5IF *OUFSOFU *P5όοΫΤϯυ ͓٬༷ͷγεςϜ σόΠεΛ ৐ͬऔΖ͏ ؒͰ௨৴Λ ౪ΈݟΑ͏ σόΠεʹϦϞʔτ

    ΞΫηεͯ͠΍Ζ͏ 403"$0. ΞΧ΢ϯτΛ ৐ͬऔΖ͏ *P5όοΫΤϯυ Λ߈ܸͯ͠΍Ζ͏
  30. ʬ σʔλͷอޢ ʭ

  31. • औΓѻ͍σʔλͷ୨Է͠ • ޚࣾʹ͓͚Δ৘ใͷऔΓѻ͍ϧʔϧ • ྫ ໊લɺϝʔϧΞυϨεɺॅॴʢ·ͨ૊Έ߹ΘͤʹΑΔݸਓ৘ใ ͷऔѻʣ • ಛఆۀछͷσʔλͰٻΊΒΕΔۀքඪ४ͷن֨

    • ྫ ҩྍ৘ใɺΫϨδοτΧʔυͳͲʹٻΊΒΕΔίϯϓϥΠΞϯ εཁ݅ ͳͲσʔλͷऔΓѻ͍ʹ͍ͭͯ͸௨৴Ҏ֎ͷ෦෼Ͱͷཁٻ࣌ޮΛ໌ ֬ʹͯཁ݅ΛΫϦΞ͢Δඞཁ͕͋Δɻ ཁ݅Λຬͨͨ͢Ίʹ͸ιϥίϜ͚ͩͰ͸ͳ͘ɺ͝ར༻͞ΕΔόοΫ ΤϯυσʔλετΞɺ͓٬༷ͷ։ൃ෺ɺӡ༻ͳͲΛ߹Θͤͯ࡞Γ ্͛Δඞཁ͕͋Δɻ औΓѻ͏৘ใ͸ʁ
  32. ʬ ·ͱΊ ʭ

  33. • γεςϜશମͰͷରॲ͕ඞཁ • ιϥίϜ͚ͩͰ͸ͳ͘ɺྫ͑͹όοΫΤϯυͷΫϥ΢υαʔϏεͳͲ ͷೝূ΍ɺαʔόϩάΠϯ৘ใͷऔΓѻ͍ͳͲ • ద੾ͳݖݶͷ؅ཧ΍ೖࣾୀ৬ʹؔΘΔਓతͳ؅ཧϑϩʔ • औΓѻ͏σʔλͷॏཁੑ΍ࣾ಺ͰͷऔΓѻ͍ϧʔϧΛ֬ೝ͢Δ •

    ηΩϡϦςΟͱӡ༻ੑίετ͸૬൓͢ΔཱͪҐஔʹͳΔ͜ͱ͕ଟ͍ͨ Ίʹద੾ͳϨϕϧͰͷऔΓѻ͍Λݕ౼͢Δ • ઃఆมߋ΍ҟৗ௨৴ͳͲෆਖ਼ঢ়ଶʹؾ͕͚ͭΔ࢓૊Έͷߏஙͷݕ౼ ෆ҆ͱ͍͏ந৅తͳݴ༿Λ۩ମతͳ߲໨ʹىͯ͜͠۩ମతʹରࡦΛ࣮ࢪ͢ Δ͜ͱ͕ॏཁ ηΩϡΞͰ͋Δͱ͸ʁ
  34. 403"$0.ͷئ͍ Ϋϥ΢υ 㱺ଟ͘ͷϏδωεɺ8FCαʔϏε 403"$0. 㱺ଟ͘ͷ*P5ϏδωεɺγεςϜ ͨ͘͞Μͷ *P5ϓϨΠϠʔ͕ੜ·Ε·͢Α͏ʹ

  35. ੈքதͷώτͱϞϊΛͭͳ͛ ڞ໐͢Δࣾձ΁