オブジェクトの広場はオージス総研グループのエンジニアによる技術発表サイトです

クラウド/Webサービス

SORACOM Conference 2016 "Connected"

新サービスでエンタープライズ向け IoT システムのセキュリティ課題を解決
オージス総研
大西 洋平
2016年2月9日

2016/1/27(水)に株式会社ソラコムがSORACOM Conference 2016 "Connected"を開催し、VPN 接続やデバイス認証といった現実の IoT システム構築で求められる課題を解決する新サービスが発表されました。サービス公開から半年で迅速に顧客要望へ対応するだけでなく、「プログラマブルな通信サービス」である SORACOM の特徴を生かし、既存のモバイル通信サービスでは難しい要件を実現した顧客事例も登場し始め、着実に業界のデファクトに向けてサービスが浸透しつつあります。本記事では、筆者が IoT システム開発に関わってきた技術者の立場から、特に IoT システムのセキュリティ課題を解決する新サービス、また SORACOM の特徴を生かした顧客事例についてご紹介します。

IoT システムのセキュリティ課題を解決する新サービスの登場

今回の発表では、企業が IoT システムを構築する際に必ず挙がってくる以下 2 つのセキュリティ要件を解決するサービス群が発表されました。

  • 機密性の高いデータを専用線(インターネットVPN含む)で安全にバックエンドサーバに届けたい。
  • デバイスを認証し、正しいデバイスのみサーバに接続させたい。

筆者は、今回の発表により、SORACOM は企業が IoT システムで利用するモバイル通信サービスの現実的な選択肢になったと感じました。

デバイスとバックエンドシステムをプライベート接続で安全につなぐ:SORACOM Canal、Direct

SORACOM はサービス開始当時から Beam という SORACOM ・外部サーバ間の通信を TLS で暗号化するサービスを提供していました。Beam はインターネットに公開されているサーバに安全にデータを転送する際には便利なサービスですが、機密性の高いデータを閉じたネットワーク内のバックエンドサーバに専用線で転送したいような高セキュリティを求めるケースには不向きでした。

今回のカンファレンスでは以下の 2 つのサービスが登場することにより、企業が IoT システムを構築する上で最初に挙がってくるセキュリティ要件が解決されました。

  • SORACOM からインターネットを介さずにプライベート接続で AWS VPC(閉域ネットワーク)に接続するサービス「Canal(運河の意味)」
  • VPN経由で業務システムに接続できるサービス「Direct」

両サービスにより、不必要にインターネットに公開することなく、デバイスからバックエンドシステムまで完全に閉域網に閉じた環境を実現できます。

AWS VPCにプライベート接続する SORACOM Canal (ソラコム社ブログ記事 より引用)

AWS VPCへプライベート接続

外部サーバに VPN 接続する SORACOM Direct (ソラコム社ブログ記事 より引用)

バックエンドサーバへ VPN 接続

なお、Canal と Direct を使う場合、上記の写真を見てお分かりの通り、SORACOM 側で SORACOM Virtual Private Gateway というサービスを利用する必要があります。SORACOM VPG はデフォルトのゲートウェイではないため、利用する場合は SORACOM コンソールで VPG を利用する設定を行う必要があります。詳細はソラコム社ブログ記事を参照ください。

デバイス向け認証トークン発行サービス:Endorse

デバイス・サーバ間のプライベート接続に加えて必ず挙がる要件がデバイスの認証です。これまでデバイスを認証するサービスは用意されていなかったため、第3者によるデバイスなりすましを防ぐためには、独自にデバイス認証の仕組み(ID・パスワード認証、クライアント証明書など)を用意する必要がありました。この場合、デバイス側の認証情報が盗まれた場合の対策を導入する必要があります。

今回、発表された Endorse (承認する、署名するの意味)により、以下の手順で、上記デバイス認証の問題を解決できます。

  • Endorse は、SORACOM Air で接続するデバイスに対し、IMSI(SIM の ID)、 MSISDN(SIM の電話番号)、IMEI(SIM を搭載する通信モジュールの ID)といった情報を含む認証トークンを発行します(図中の①と②)。
  • デバイスはバックエンドサーバ(図中の「お客さまのシステム」)にデータを送る際は認証トークンを付与します(図中の③)。
  • バックエンドサーバは SORACOM サーバ(図中の「SORACOM Platform」)の公開鍵で認証トークンを検証することで、認証トークンが正しいことを検証します(図中の④)。
  • SIM のみを認証したい場合、認証トークンが正しければ完了です(図中の⑤)。さらに SIM と通信モジュールの組み合わせたを認証したい場合、バックエンドサーバ側で IMSI と IMEI の組み合わせを事前登録内容と照合する必要があります。

デバイス向けの認証トークン認証発行サービス Endorse(ソラコム社ブログ記事 より引用)

SIM 情報をデバイス認証に使う

デバイス認証においてデバイス側で必要な機能は、SORACOM Air と SORACOM のサーバ間で実現されており、デバイス側で認証に必要な処理を実装する必要がありません。バックエンドサーバに接続する際の認証トークンは SORACOM サーバが有効期限つきで発行するため、デバイス側の認証情報を管理する必要もありません。

また、以下のような取り組みにより、デバイス・SORACOM間通信やデバイス内部を解析し、SIM の情報を盗むことは技術的に困難になっています。

  • SORACOM Air と SORACOMサーバ間の通信は、事前に SIM に設定された共通鍵により、LTE規格で定められた暗号化が施されている。
  • SIM 内部の解析を防止する対策が施されている(耐タンパ性)。

ただし、SIM を搭載する通信モジュール側に解析対策が施されていない場合、通信モジュールの識別子である IMEI を不正に入手し、IMEI を偽装して SORACOM サーバに接続することは技術的には可能です。IMEI 偽装防止については、通信モジュール側に対策を施すとなると、コストがかかりますので、リスクの程度や偽装された場合の被害を見積もり、対策が必要か判断する必要があります。

また、セッションでは、カンファレンス・スポンサーであるクラスメソッド社の大瀧氏より、Endorse の活用例として SIM 認証と AWS の認証を組み合わせて、AWS の API キーを発行する事例の紹介がありました。この事例では、正しい IMSI と IMEI の組み合わせを認証トークンで送付したデバイスにのみ AWS API キーを発行するようにすることで、デバイスなりすましおよび API への不正アクセスを防止するというものです。本事例で紹介された仕組みは AWS 以外のサービスの認証にも応用できます。

AWS APIキー発行時のデバイス認証にEndorseを使う実装例 (クラスメソッド社ブログ記事 より引用)

SIM 情報をデバイス認証に使う

「プログラマブルなモバイル通信」の特徴を生かした顧客事例の登場

SORACOM は既存のモバイル通信サービスと比較して、基本料金が低額かつ通信速度も柔軟に変更できる特徴が注目され、実際に導入する企業も増えています。ここではカンファレンスで紹介された顧客事例の中で、SORACOM だからこそできたと言える事例として eConnect Japan 社の外国人観光客向けプリペイド SIM カードのサービスを紹介します。

従来のプリペイド SIM カードは、MVNO サービスが定める通信プランに沿ってサービス提供するしかなく、サービスの差別化が難しい状況でした。しかし、eConnect Japan 社のプリペイド SIM カードは、SORACOM の「プログラマブルなモバイル通信サービス」という特徴を生かし、SORACOM の API で通信速度を制御することで、完全に独自の通信プラン(定量プラン、日数型プランなど)を提供しています。

また、SIM のアクティベーションや追加課金などの業務フローを SORACOM API と AWS で自動化し、なるべく人が介在せずにサービスが提供できるよう非常に効率化されています。

eConnect Japan 社 - SORACOM API で SIM のアクティベーションなどの業務フローを自動化 (ソラコム社カンファレンス発表資料 より引用)

eConnect - 外国人観光客向け モバイルWiFiサービスへの活用事例

上記のような柔軟性と効率性は、SORACOM が SIM を制御する API を公開したからこそ実現できたサービスであり、今後も eConnect Japan 社のような従来のモバイル通信サービスではなかった事例が登場することが期待できます。

おわりに

本記事では、SORACOM Conferenceにおいて、筆者が特に IoT で重要だと感じるセキュリティ課題を解決するサービス、「プログラマブルなモバイル通信サービス」の特徴を生かした事例を中心に紹介しました。SORACOM の顧客事例はあらゆる産業にまたがって登場しており、SORACOM を中心に日本から革新的な IoT サービスが登場する気運を感じました。

SORACOM のサービスはアルファベット順に紹介されており、次のサービスの頭文字は G です(注:本記事では新サービス Funnel は紹介していませんでした)。カンファレンス中、顧客事例で登壇された製造業の方からはグローバル展開の要望が挙がっており、次のサービスはグローバル展開(Global)ではないかという噂も出ています。グローバル展開は、主要モバイルキャリアが SORACOM を圧倒している分野であり、SORACOM ユーザから非常に期待されているサービスだと思います。日本のスタートアップがグローバル展開で成功する事例は数少ないため、日本のスタートアップによるグローバル展開という観点でも SORACOM の活躍に期待しています。

最後になりますが、これまでイベント報告という形で SORACOM について紹介してきましたが、今後はもう少し突っ込んで検証した技術ネタを紹介したいと思います。お楽しみに。