アプリエンジニアでもできる閉域網構築のススメ！

Transcript

1. Copyright © 2016. All rights reserved. Copyright © 2017 All

   rights reserved. 2017/04/20 ハンズラボ 株式会社 平井 俊之 if-up2017 IoT Technology Conference ΞϓϦΤϯδχΞͰ΋ Ͱ͖ΔดҬ໢ߏஙͷε εϝʂ

2. Copyright © 2017 All rights reserved. 1 ⾃⼰紹介 • 名前：平井

   俊之 • 所属：ハンズラボ株式会社 • ⼊社：2016年1⽉ • 担当：外販案件（現在はIoT） • バックグランド：アプリケーションエンジニ ア（業務システムやBtoC向けサービス）

3. Copyright © 2017 All rights reserved. 2 ハンズラボ • 情シス部⾨

   Ø 東急ハンズの各種システムの内製開発と運⽤保守 • 外販 Ø ⾃社開発の経験を活かした受託開発、内製⽀援 東急ハンズのシステム⼦会社

4. Copyright © 2017 All rights reserved. 3 ⽬次 Ⅰ．システムのご紹介 Ⅱ．セキュアな環境に関しての課題

   Ⅲ．SORACOMを利⽤した課題解決 Ⅴ．補⾜・まとめ Ⅳ．構築時のTips

5. Copyright © 2017 All rights reserved. 4 ⽬次 Ⅰ．システムのご紹介 Ⅱ．セキュアな環境に関しての課題

   Ⅲ．SORACOMを利⽤した課題解決 Ⅴ．補⾜・まとめ Ⅳ．構築時のTips

6. Copyright © 2017 All rights reserved. 5 Ⅰ．システムのご紹介 ショッピングセンター向けポイントカード基盤システム •

   ポイントカードの展開は4施設。 • 約300テナントでポイントが付与される • AWS上に構築 関東に5店舗、他に1店舗のショッピングモール

7. Copyright © 2017 All rights reserved. 6 Ⅰ．システムのご紹介 Amazon SES

   ﾒｰﾙ送信 Amazon SNS 処理ｴﾗｰ通知 管理者 会員 Internet ﾏｲﾍﾟｰｼﾞWEBｻｰﾊﾞ Internet ﾎﾟｲﾝﾄ基盤ｻｰﾊﾞ 管理画面WEB ﾏｲﾍﾟｰｼﾞAPI ユーザー WEB アプリ データ アプリデータ Bucket 保存データ Bucket セッション DynamoDB

8. Copyright © 2017 All rights reserved. 7 ⽬次 Ⅰ．システムのご紹介 Ⅲ．SORACOMを利⽤した課題解決

   Ⅴ．補⾜・まとめ Ⅳ．構築時のTips Ⅱ．セキュアな環境に関しての課題

9. Copyright © 2017 All rights reserved. 8 Ⅱ ．セキュアな環境に関しての課題 •

   タブレットのアプリを使って、簡単にポイント付与をし たい • セキュアな環境で利⽤したい • アプリはキャンペーンの時に使いたい(≒毎⽇使わない) • 費⽤(初期/ランニング)はできる限り安く抑えたい ▪お客様の要件 ある⽇、機能追加依頼が発⽣

10. Copyright © 2017 All rights reserved. 9 Ⅱ ．セキュアな環境に関しての課題 ▪エンジニアリングな課題

    • インフラ構築〜アプリ開発〜本番導⼊まで約⼀ヶ⽉の期 間しかない • 屋外等WiFiが届かない(不安定な)場所で利⽤される可能 性がある • セキュリティ上、ポイント付与処理は、全世界に公開は したくない(IPを制限しての利⽤や認証された通信から利 ⽤するようにしたい)

11. Copyright © 2017 All rights reserved. 10 Ⅱ ．セキュアな環境に関しての課題 ▪エンジニアリングな課題

    • キャリアからの通信は、⼀般的に動的IPなため、システ ム側で接続するIPを制限することは難しい • 端末に証明書のインストールをする場合、認証する処理 の開発作業の増加や運⽤するサーバーが増えるので、ス ケジュールやコストの⾯で難しい そもそも閉域網なら上の2つの課題は発⽣しないのだけど なぁ・・・

12. Copyright © 2017 All rights reserved. 11 ⽬次 Ⅰ．システムのご紹介 Ⅴ．補⾜・まとめ

    Ⅳ．構築時のTips Ⅱ．セキュアな環境に関しての課題 Ⅲ．SORACOMを利⽤した課題解決

13. Copyright © 2017 All rights reserved. 12 Ⅲ．SORACOMを利⽤した課題解決 ▪エンジニアリングな課題/解決⽅法 •

    インフラ構築〜アプリ開発〜本番導⼊まで約⼀ヶ⽉の期 間しかない SORACOMへ申し込んだらスピーディーにサービス が使えるようになる

14. Copyright © 2017 All rights reserved. 13 Ⅲ．SORACOMを利⽤した課題解決 ▪エンジニアリングな課題/解決⽅法 •

    屋外等WiFiが届かない(不安定な)場所で利⽤される可能 性がある DoCoMoの回線を利⽤しているので、WiFiが届きにく い所でも使える

15. Copyright © 2017 All rights reserved. 14 Ⅲ．SORACOMを利⽤した課題解決 ▪エンジニアリングな課題/解決⽅法 •

    セキュリティ上、ポイント付与処理は、全世界に公開は したくない(限られた場所からの利⽤や認証された通信か ら利⽤するようにしたい) • キャリアからの通信は、⼀般的に動的IPなため、システ ム側で接続するIPを制限することは難しい • 端末に証明書のインストールをする場合、認証する処理 の開発作業の増加や運⽤するサーバーが増えるので、ス ケジュールやコストの⾯で難しい

16. Copyright © 2017 All rights reserved. 15 Ⅲ．SORACOMを利⽤した課題解決 ▪エンジニアリングな課題/解決⽅法 SORACOM

    Canalを利⽤すれば、SIMの通信IPレンジ 帯を制限することができる 許可した通信のみが⾃分達のシステムに到達することが できる=閉域網を構築することができる

17. Copyright © 2017 All rights reserved. 16 Ⅲ．SORACOMを利⽤した課題解決 Amazon SES

    ﾒｰﾙ送信 Amazon SNS 処理ｴﾗｰ通知 管理者 会員 Internet ﾏｲﾍﾟｰｼﾞWEBｻｰﾊﾞ Internet ﾎﾟｲﾝﾄ基盤ｻｰﾊﾞ 管理画面WEB ﾏｲﾍﾟｰｼﾞAPI ユーザー WEB アプリ データ アプリデータ Bucket 保存データ Bucket セッション DynamoDB

18. Copyright © 2017 All rights reserved. 17 Ⅲ．SORACOMを利⽤した課題解決 アプリデータ Bucket

    Amazon SES ﾒｰﾙ送信 Amazon SNS 処理ｴﾗｰ通知 管理者 会員 Internet ﾏｲﾍﾟｰｼﾞWEBｻｰﾊﾞ Internet 保存データ Bucket ﾎﾟｲﾝﾄ基盤ｻｰﾊﾞ 管理画面WEB ﾏｲﾍﾟｰｼﾞAPI ユーザー WEB アプリ データ セッション DynamoDB ｷｬﾝﾍﾟｰﾝ担当者 ｷｬﾝﾍﾟｰﾝ用 WebView SORACOM Canal SORACOM

19. Copyright © 2017 All rights reserved. 18 ⽬次 Ⅰ．システムのご紹介 Ⅴ．補⾜・まとめ

    Ⅱ．セキュアな環境に関しての課題 Ⅳ．構築時のTips Ⅲ．SORACOMを利⽤した問題解決

20. Copyright © 2017 All rights reserved. 19 Ⅳ．構築時のTips • SORACOMからの通信を閉域網化するには、AWS内部

    ネットワークの通信経由で⾏う必要があるので、ELBを使 う場合は、内部向けのロードバランサーを⽤意する必要 がある ▪構築時にハマったこと

21. Copyright © 2017 All rights reserved. 20 Ⅳ．構築時のTips アプリデータ Bucket

    Amazon SES ﾒｰﾙ送信 Amazon SNS 処理ｴﾗｰ通知 管理者 会員 Internet ﾏｲﾍﾟｰｼﾞWEBｻｰﾊﾞ Internet 保存データ Bucket ﾎﾟｲﾝﾄ基盤ｻｰﾊﾞ 管理画面WEB ﾏｲﾍﾟｰｼﾞAPI ユーザー WEB アプリ データ セッション DynamoDB ｷｬﾝﾍﾟｰﾝ担当者 ｷｬﾝﾍﾟｰﾝ用 WebView SORACOM Canal SORACOM

22. Copyright © 2017 All rights reserved. 21 Ⅳ．構築時のTips Subnet ﾎﾟｲﾝﾄ基盤ｻｰﾊﾞ

    ｷｬﾝﾍﾟｰﾝ用 WebView ｷｬﾝﾍﾟｰﾝ端末 DoCoMo 通信網 SORACOM Virtual Private Gateway (VPG) SORACOM Canal 期待する通信経路

23. Copyright © 2017 All rights reserved. 22 Ⅳ．構築時のTips Subnet ﾎﾟｲﾝﾄ基盤ｻｰﾊﾞ

    ｷｬﾝﾍﾟｰﾝ用 WebView ｷｬﾝﾍﾟｰﾝ端末 DoCoMo 通信網 SORACOM Virtual Private Gateway (VPG) SORACOM Canal 意図しない通信経路 (外部向けロードバランサー)

24. Copyright © 2017 All rights reserved. 23 Ⅳ．構築時のTips Subnet ﾎﾟｲﾝﾄ基盤ｻｰﾊﾞ

    ｷｬﾝﾍﾟｰﾝ用 WebView ｷｬﾝﾍﾟｰﾝ端末 DoCoMo 通信網 SORACOM Virtual Private Gateway (VPG) SORACOM Canal 意図した通信経路 (内部向けロードバランサー)

25. Copyright © 2017 All rights reserved. 24 Ⅳ．構築時のTips • インフラ(SORACOM

    Canal/AWS設定)に関する作業がス ピーディーに（約2営業⽇程度）で完了した • 毎⽇利⽤する訳ではなく、従量課⾦のため、ランニング 費⽤が安い • 端末側の特別な設定は不要 ▪SORACOM Canalを利⽤して感じたメリット

26. Copyright © 2017 All rights reserved. 25 Ⅳ．構築時のTips • SORACOM

    Canalの料⾦の説明がイマイチ解りにくいで す。社内から他の案件で利⽤を検討しているメンバーか ら時々⾦額の規模感を聞かれます・・・ ▪ソラコムさんへの要望 SORACOM版のAWS Simple Monthly Calculator があれば嬉しいです

27. Copyright © 2017 All rights reserved. 26 ⽬次 Ⅰ．システムのご紹介 Ⅱ．セキュアな環境に関しての課題

    Ⅲ．SORACOMを利⽤した問題解決 Ⅳ．構築時のTips Ⅴ．補⾜・まとめ

28. Copyright © 2017 All rights reserved. 27 補⾜・まとめ ▪SORACOMの学習⽅法(サービス編) •

    SORACOM公式ページの各サービスのGetting Startedを 活⽤する 例(Canalのページ)： https://dev.soracom.io/jp/start/canal/acom.io/j p/docs/api/ • SORACOM公式のFacebookページで不定期でオンライン セミナーが⾏われているので、それを視聴する https://www.facebook.com/soracom.jp/

29. Copyright © 2017 All rights reserved. 28 補⾜・まとめ ▪SORACOMの学習⽅法(API編) •

    APIリファレンスを活⽤する https://dev.soracom.io/jp/docs/api/ • SORACOM API Sandboxを活⽤する https://dev.soracom.io/jp/docs/api_sandbox/

30. Copyright © 2017 All rights reserved. 29 補⾜・まとめ SORACOM や

    AWSを使えばネットワークの専⾨家 じゃなくても閉域網を構築することができます クラウドを活⽤をすればスピーディーかつ⼿軽に 年齢や経験に関係なく、誰でも簡単に挑戦ができる 世の中になっています ぜひ皆さん、クラウドを活⽤して新しいことへ 挑戦して⾏きましょう！

31. Hands on IT