本記事はソラコムが提供する「SORACOM公式ブログ」に掲載された「セキュリティを高める、SORACOM IoT SIMの通信先フィルタリングパターンのご紹介」を再編集したものです。
こんにちは、ソラコムの渡邊 ( ニックネーム : dai ) です。
SORACOM IoT SIMを使用しているデバイスは、SORACOM Air for セルラーにてインターネットへのアクセスができます。この通信はNATによるアドレス変換がされている以外には標準では通信への制約は無く、自由に利用いただけます。ですが、IoT デバイスでお使いになる場合には、必ずしもインターネットアクセスは必要ないケース、あるいはむしろ、セキュリティの観点から不要なアクセス先へは接続させたくないケースの方が多いのではないでしょうか。
本ブログでは、SORACOMやその他のマネージドサービスサービスを使って、SORACOM IoT SIM を使っているデバイスのアクセス先をフィルタリングする方法についてご紹介します。
SORACOMのフィルタリング機能
SORACOM では、いくつかの方法を使ってフィルタリングを行うことが可能です。サポートページへは以下の記載があります。
参照:SORACOM IoT SIM を使っているデバイスからのアクセス先を制御する方法はありますか?
方法をピックアップすると、以下の通りです。
これらの機能には以下のような違いがあります。
| 機能名 | 必要な構成や 設定 |
フィルタリングのレベル |
|---|---|---|
| VPG アウトバウンドルーティングフィルタ機能 | VPG | IP |
| カスタム DNS 機能 | DNSサーバの構築 | ドメイン |
| Private Garden 機能 | 特になし | IP(SORACOMエンドポイントサービスのみに限定) |
この中で「必要な構成」については、VPGの有無によって大きく異なります。VPGをご利用頂いている場合には、IPレベルで個々のアドレス帯をフィルタするといったより柔軟なフィルタリングが行えます。
また、ここでポイントになってくるのは、Private Gardenを割り当てたり、VPG のアウトバウンドルーティングフィルターを使って0.0.0.0/0 宛て通信を拒否しても、SORACOM提供のエンドポイントとの通信は可能ということです。
参照:SORACOM Air for セルラーからアクセスできるエンドポイント / エントリポイント一覧
ユースケース毎のフィルタリングパターン
それでは、ここからはもう少し実際のユースケースに沿って、IPレベルのフィルタリングパターンを整理してみたいと思います。
| ユースケース (やりたい事) |
必要な VPG |
利用する機能名や設定 | 設定の概要 |
|---|---|---|---|
| SORACOMのみ許可※する | (不要) | Private Garden | グループに対してPrivate Gardenを割り当てる |
| 〃 | Type-E | アウトバウンドルーティングフィルター | 0.0.0.0/0 宛て通信を拒否 |
| SORACOMと、特定の宛先のみ許可する | Type-E | アウトバウンドルーティングフィルター | 0.0.0.0/0 宛て通信を拒否し、特定の宛先の通信を許可 |
| Canal、Door、Directの閉域接続のみ許可する | Type-F | インターネットゲートウェイ | OFFにする |
| Canal、Door、Directの閉域接続の特定の宛先のみ許可する | Type-F | – インターネットゲートウェイ – アウトバウンドルーティングフィルター |
– OFFにする – 0.0.0.0/0 宛て通信を拒否し、特定の宛先の通信を許可 |
※SORACOMのみ許可: SORACOM Beam、Funnel、FunkといったSORACOMのエンドポイントサービスのみを許可。
各ユースケースの目的や効果
SORACOMのみ許可する
クラウド連携をSORACOM BeamやFunnel、Funkといった転送系のアプリケーションのSORACOMサービスを利用するアーキテクチャーや、SORACOM Harvest へのデータ蓄積であれば、インターネットへの通信自体を不要にでき、より強固なセキュリティを構築できます。
また、SORACOM上にはSORACOM Beam等のデータ転送サービスだけでなく、PING応答サービスやNTPサーバー等、転送以外でも活用できるサービスがあるため、”SORACOMのみ許可する” でも、IoTシステムを完結できる可能性があります。
SORACOMと特定の手先のみ許可する
SaaS 等へ直接データを送りたい場合は、インターネットへの通信が不可欠です。一方で、万が一IoTデバイスがマルウェア等に感染して想定外の通信が発生しても、通信先を制限しておけば被害を最小限に食い止められる可能性があります。
このケースは、アクセス先SaaS等のIPアドレスが入手できることが要件となります。IPアドレスがわからない場合にはドメインでのフィルタリングも可能ですが、それはまた別の機会にお話できればと思います。
Canal、Door、Directの閉域接続のみ許可する / 閉域内の特定の宛先のみ許可する
SORACOMには、お客様の閉域ネットワーク(例えばAmazon VPC)と、SORACOMのネットワークを閉域接続できるSORACOM Canal、Direct、Doorといったサービスがあります。この場合、閉域ネットワーク内であれば自由に通信可能という要件もあれば、閉域ネットワーク内でもさらに特定のアドレスのみ通信を許可したい要件もあります。SORACOMではどちらでも対応できます。
それぞれの「構築方法」については、冒頭の「SORACOMのフィルタリング機能」から、それぞれの機能のリンクをご覧ください。
さいごに
最後まで読んでいただき、有難う御座いました!
こうして整理してみると、やはりVPGを使った場合は様々なフィルタリングの構成を取ることができそうですね。また、インターネットゲートウェイとアウトバウンドルーティングフィルターの違いについては、以下のユーザーサイトも参考にしてください。
今回はお客様からのお問い合わせも多いフィルタリングの方法についてまとめてみました。ネットワーク構築をご担当されている方が、色々なフィルタリングの方法を検討するのに少しでもお役に立てればうれしいです。
― ソラコム 渡邊 ( dai )
投稿 セキュリティを高める、SORACOM IoT SIMの通信先フィルタリングパターンのご紹介 は SORACOM公式ブログ に最初に表示されました。
この連載の記事
-
第587回
デジタル
LTE Wi-Fi ルーター UD-LTA、LTE Cat.1 bis対応IoTゲートウェイ(2機種)の販売を開始、他 ほぼ週刊ソラコム 11/15-11/28 -
第586回
デジタル
2025/12/10(水)~ JAPAN BUILD TOKYO -建築・土木・不動産の先端技術展- に出展:現場の課題をIoT×AIで解決! -
第585回
デジタル
SORACOM Flux 新料金プランのご案内!! -
第584回
デジタル
「防犯」だけじゃもったいない。あなたが知らない”儲かる”カメラの使い方 -
第583回
デジタル
Intelisysの2025 Top New Supplierを受賞、生成AIによる画像分析機能 「ソラカメAI」を発表、他 ほぼ週刊ソラコム 11/01-11/14 -
第582回
デジタル
ソラカメの動画をAIで解析する – SORACOM Flux での動画取得と分析方法 -
第581回
デジタル
IoTプロジェクトの進み方 -
第580回
デジタル
お手頃な価格で位置情報も温湿度も加速度もとれる GPSマルチユニットは楽しいぞ -
第579回
デジタル
I wanna IoT 罠! 狩猟罠を遠隔操作する!「IoTプロトタイピングコーナー」作品ご紹介【SORACOM Discovery 2025】 -
第578回
デジタル
カメラ x AIの民主化!「ソラカメAI」がリリース!!