IoTシステムを開発・運用する上でセキュリティはとても重要な要因です。デバイスへの不正なアクセスが原因で発生する情報の盗難や、第3者への攻撃、通信回線の不正利用といったケースは必ず防がなければいけません。
本セッションでは、IoTシステムにおけるセキュリティ上の脅威や懸念を整理し、SORACOMを活用した対策手段を体系立ててお話します。
株式会社ソラコム ソリューションアーキテクト 小梁川 貴史
403"$0.͕࣮ݱ͢Δ*P5σόΠεͱσʔλͷηΩϡϦςΟιϦϡʔγϣϯΞʔΩςΫτɿখྊ
View Slide
ຊͷϋογϡλάTPSBDPN!403"$0.@13IUUQTXXXGBDFCPPLDPNTPSBDPNKQ
ࣗݾհגࣜձࣾιϥίϜ ιϦϡʔγϣϯΞʔΩςΫτখྊ و࢙ ͜ͳ͕Θ ͔ͨ͠ܦྺ• 4*ձࣾͰ։ൃΠϯϑϥઃܭɺߏஙͳͲ෯͘ܦݧ• ిػϝʔΧʔͰࣗࣾαʔϏεɺࣾڞ௨ϓϥοτϑΥʔϜͷ։ൃɺӡ༻• ֎ࢿܥΫϥυͷιϦϡʔγϣϯΞʔΩςΫτͱͯ͠ύʔτφʔ୲ *P5εϖγϟϦετϓϩτλΠϐϯά
ηογϣϯ֓ཁ• ͓͢Δ͜ͱ• ओʹιϥίϜʹؔΘΔ௨৴ηΩϡϦςΟʹ͍ͭͯ͝հ͠·͢ɻ• օ༷͕ιϥίϜΛར༻͢Δࡍʹ҆શͰ͋Δͱઆ໌Ͱ͖ΔΑ͏ɺ·ͨͷαʔϏεΛར༻͢Ε͍͍ͷ͔ͱ͍͏ʹؾ͕͚ͭΔΑ͏ʹͳΔɻ• ରऀ• *P5γεςϜʹؔΘΔͯ͢ͷํ
"HFOEB• σόΠε௨৴ͷηΩϡϦςΟ• σόΠεͷηΩϡϦςΟ• ΞΧϯτอޢ• όοΫΤϯυอޢ• σʔλอޢ• ·ͱΊ
ૂΘΕΔ*P5γεςϜ5IF *OUFSOFU*P5όοΫΤϯυ͓٬༷ͷγεςϜσόΠεΛͬऔΖ͏ؒͰ௨৴Λ౪ΈݟΑ͏σόΠεʹϦϞʔτΞΫηεͯ͠Ζ͏403"$0.ΞΧϯτΛͬऔΖ͏*P5όοΫΤϯυΛ߈ܸͯ͠Ζ͏
• 4VCTDSJCFS*EFOUJUZ.PEVMF• ར༻ऀͷೝূϞδϡʔϧ• ߴ͍λϯύੑ• 4*.͝ͱʹೝূɺ҉߸ԽΩʔఏڙ• 4*.͝ͱʹϢχʔΫ*%͕͑Δ• ϞόΠϧ௨৴Ͱೝূͱແઢͷ҉߸ԽΛ୲อ4*.Χʔυ
(-5&ͷ4*.ೝূVPC加入者情報DB1.認証リクエスト2.認証レスポンスAuth Token(AUTN), Random(RAND)3.ネットワークの認証4.ユーザー認証レスポンスRES5.SIMの認証Integrity KeyCiphering keySecret KeySequenceNumberNSecret KeySequenceNumberN6.鍵の生成6.鍵の生成Integrity KeyCiphering key鍵の交換がない
ܞଳͷ҆શੑʹ͍ͭͯ公式ガイドブック SORACOMプラットフォームより先に上げた- SIMの正当性- 加入情報の正当性を確認し通信暗号鍵を作成し暗号通信を開始基本的にグローバルIPアドレスは付与されないために、デバイスに直接アクセスする手段を提供しない
• 4*.͔Βಛఆͷଓઌʹ͔͠ଓͰ͖ͳ͍Α͏੍ݶ͕Մೳ• σόΠε͕ҙਤͤͣ֎෦ʹଓ͠ͳ͍Α͏ʹͰ͖Δ• %/4ઃஔQSJWBUFHBSEFO ιϥίϜαʔϏεͷΈʹΞΫηεՄೳ• ΞτόϯυϑΟϧλϦϯά• ݻఆ*1ΞυϨεΛར༻͢Δ͜ͱͰɺόοΫΤϯυଆͰ*1ϑΟϧλΛೖΕΔ͜ͱՄೳΞτόϯυͷ੍ޚѱҙͷ͋Δαʔόਖ਼ͳαʔό71(
͜ͷΈΛ࣮ݱ͢ΔϑϨʔϜϫʔΫ 'JSNXBSFGSBNFXPSLͱϋʔυΣΞ )BSEXBSFTZTUFNBSDIJUFDUVSF*P5σόΠε.$6 $PSUFYͳͲʣ$16'MBTIެ։ݤͷϋογϡ*%࣌ʹηΩϡΞͳϓϩηεͰॻ͖ࠐΈʢ5SVTUFEEFWJDFJOJUJBMJ[BUJPOެ։ݤॺ໊ϑΝʔϜΣΞൿີݤͰɺެ։ݤͱϑΝʔϜΣΞΛॺ໊ϒʔτ࣌ʹॺ໊Λ֬ೝ 5SVTUFECPPUϑΝʔϜΣΞΞοϓσʔτ࣌ॺ໊Λ֬ೝʢGJSNXBSFVQEBUF'JSNXBSF௨৴༻ͷҰ࣌ݤͷه҉߸Խॲཧͷ࣮ࢪͳͲɺ࣮ߦ࣌ʹ͓͚ΔηΩϡΞͳϝϞϦڥͰͷॲཧʢ5SVTUFETFDVSFGVODUJPOTηΩϡΞϝϞϦ1MBUGPSN4FDVSJUZ"SDIJUFDUVSF 14"
σόΠεͱΫϥυͷ࿈ܞͷデバイスセキュア&クラウドネイティブなプロトコルSDK や認証情報のインストール証明書などの更新作業• メガクラウドPaaS / SaaS• パートナーソリューション
SORACOM Funk403"$0.#FBN'VOOFM'VOLʹΑΔೝূೝՄͷηΩϡΞԽデバイスセキュア&クラウドネイティブなプロトコル• メガクラウドPaaS / SaaS• パートナーソリューションSORACOM BeamSORACOM Funnelプリミティブなプロトコル• SIM を鍵としてクラウドの認証情報との紐づけ• クラウド向けプロトコルへ変換HTTP, MQTT,TCP, UDPHTTPS(+JSON), MQTTS,TCPS4%,ೝূใΛσόΠε͔ΒऔΓͬͯγϯϓϧԽηΩϡϦςΟͷ্ΩʔϩʔςʔγϣϯͳͲͷݮ
ઐ༻ઢΠϯλʔωοτ ͓٬༷ͷαʔόʔ*.&*ϩοΫIMSISIMカードに格納されている一意な番号IMEI通信モジュールに格納されている一意な番号IMEIロック特定のIMSIとIMEIのペア以外の通信を遮断
ʬ ΞΧϯτͷอޢ ʭ
403"$0.ΞΧϯτͷߏオペレーター(ルートアカウント)SAMユーザー認証キーコンソールログイン認証キーコンソールログイン1*アクセス権限SAMユーザー認証キーコンソールログインアクセス権限*認証キー:APIアクセス時の認証に利用
ࢠϢʔβʔΛ࡞͠ɺೝূใͱ"1*୯Ґͷݖݶཧ͕Ͱ͖Δ403"$0."DDFTT.BOBHFNFOU
• ։ൃऀ• ίϯιʔϧϩάΠϯͱೝূΩʔΛڐՄ• 4*.ͷղ/(• ࢹϓϩάϥϜ• ೝূΩʔͷΈڐՄ• (&5ϝιουʢಡΈऔΓʣͷΈڐՄ• ௐୡ୲• ίϯιʔϧϩάΠϯͷΈՄೳ• ՝ۚͱൃͷΈར༻Մೳ• 4*.ૢ࡞Ұ/(Ϣʔβʔ͝ͱͷΞΫηεݖݶཧ ྫ
ίϯιʔϧϩάΠϯ࣌ʹ.'" ଟཁૉೝূ͕ར༻Մೳར༻Λڧ͘ਪ403"$0.ΞΧϯτͷ.'"ػೳ
Πϕϯτϋϯυϥʔʢൃݟత౷੍• 4*.ͷͷ௨৴σʔλྔ͕Ұఆͷ͖͍͠Λ͑ͨΒ4*.Λఀࢭ• ௨ࢉͷσʔλ௨৴ྔ͕Ұఆͷ͖͍͠Λ͑ͨΒ4*. ΛղɾҰఆͷ݅Λຬͨͨ࣌͠ʹΞΫγϣϯΛى͜͢͜ͱ͕Մೳɾҟৗͳ௨৴ྔΛݕͯ͠௨৴ःஅɺͳͲ͕Մೳ
ަہ403"$0."JSดҬͰͷଓ• 端末から自社システムまでの閉域網接続を容易に実現403"$0.$BOBM自社システムύϒϦοΫΫϥυ71/403"$0.%PPS自社システム403"$0.%JSFDUϓϥΠϕʔτΫϥυઐ༻ઢ自社システムઐ༻ઢ
403"$0.(BUF͓٬༷γεςϜσόΠεͱΫϥυΛ̍ͭͷେ͖ͳϓϥΠϕʔτ-"/ʹΫϥυ͔ΒͷϦϞʔτΞΫηεΛՄೳʹ͢ΔαʔϏεSORACOM CanalSORACOM DirectSORACOM DoorSORACOM GateSORACOM Gateଓ༻αʔόYYYYYZ
403"$0./BQUFSΞΫηεϙʔτΛϦΫΤετϦϞʔτϩάΠϯ௨ৗ࣌ดҬɺԕִૢ࡞͚࣌ͩ֎෦͔Βଓ403"$0."JSͷηΩϡΞɾωοτϫʔΫಈతάϩʔόϧ*1ΞυϨεϙʔτ403"$0./BQUFS44)ରԠͷσόΠε
•ݱࡏΫϥυαʔϏεͱͷ௨৴ͱͯ͠5-4 5SBOTQPSU4FDVSF-BZFSYͷূ໌ॻΛݩʹͨ͠҉߸௨৴͕σϑΝΫτελϯμʔυ•ҰํͰ҉߸Խ௨৴Λ͍ͬͯͯਖ਼͍͠ϨϕϧͰӡ༻͍ͯ͠ͳ͚ΕͳΒͳ͍ɻดҬ௨৴͡Όͳ͍ͱ҆શͰͳ͍ͷ͔ʁDES、RSA、ECC、SHA-xなどは暗号強度の話OV、EV、DV、オレオレ認証局は証明書の信頼度の話
ʬ σʔλͷอޢ ʭ
• औΓѻ͍σʔλͷ୨Է͠• ޚࣾʹ͓͚ΔใͷऔΓѻ͍ϧʔϧ• ྫ໊લɺϝʔϧΞυϨεɺॅॴʢ·ͨΈ߹ΘͤʹΑΔݸਓใͷऔѻʣ• ಛఆۀछͷσʔλͰٻΊΒΕΔۀքඪ४ͷن֨• ྫҩྍใɺΫϨδοτΧʔυͳͲʹٻΊΒΕΔίϯϓϥΠΞϯεཁ݅ͳͲσʔλͷऔΓѻ͍ʹ͍ͭͯ௨৴Ҏ֎ͷ෦Ͱͷཁٻ࣌ޮΛ໌֬ʹͯཁ݅ΛΫϦΞ͢Δඞཁ͕͋Δɻཁ݅Λຬͨͨ͢ΊʹιϥίϜ͚ͩͰͳ͘ɺ͝ར༻͞ΕΔόοΫΤϯυσʔλετΞɺ͓٬༷ͷ։ൃɺӡ༻ͳͲΛ߹Θͤͯ࡞Γ্͛Δඞཁ͕͋ΔɻऔΓѻ͏ใʁ
ʬ ·ͱΊ ʭ
• γεςϜશମͰͷରॲ͕ඞཁ• ιϥίϜ͚ͩͰͳ͘ɺྫ͑όοΫΤϯυͷΫϥυαʔϏεͳͲͷೝূɺαʔόϩάΠϯใͷऔΓѻ͍ͳͲ• దͳݖݶͷཧೖࣾୀ৬ʹؔΘΔਓతͳཧϑϩʔ• औΓѻ͏σʔλͷॏཁੑࣾͰͷऔΓѻ͍ϧʔϧΛ֬ೝ͢Δ• ηΩϡϦςΟͱӡ༻ੑίετ૬͢ΔཱͪҐஔʹͳΔ͜ͱ͕ଟ͍ͨΊʹదͳϨϕϧͰͷऔΓѻ͍Λݕ౼͢Δ• ઃఆมߋҟৗ௨৴ͳͲෆਖ਼ঢ়ଶʹؾ͕͚ͭΔΈͷߏஙͷݕ౼ෆ҆ͱ͍͏நతͳݴ༿Λ۩ମతͳ߲ʹىͯ͜͠۩ମతʹରࡦΛ࣮ࢪ͢Δ͜ͱ͕ॏཁηΩϡΞͰ͋Δͱʁ
403"$0.ͷئ͍Ϋϥυ 㱺ଟ͘ͷϏδωεɺ8FCαʔϏε403"$0. 㱺ଟ͘ͷ*P5ϏδωεɺγεςϜͨ͘͞Μͷ*P5ϓϨΠϠʔ͕ੜ·Ε·͢Α͏ʹ
ੈքதͷώτͱϞϊΛͭͳ͛ڞ໐͢Δࣾձ