本記事はソラコムが提供する「SORACOM公式ブログ」に掲載された「セキュリティを高める、SORACOM IoT SIMの通信先フィルタリングパターンのご紹介」を再編集したものです。
こんにちは、ソラコムの渡邊 ( ニックネーム : dai ) です。
SORACOM IoT SIMを使用しているデバイスは、SORACOM Air for セルラーにてインターネットへのアクセスができます。この通信はNATによるアドレス変換がされている以外には標準では通信への制約は無く、自由に利用いただけます。ですが、IoT デバイスでお使いになる場合には、必ずしもインターネットアクセスは必要ないケース、あるいはむしろ、セキュリティの観点から不要なアクセス先へは接続させたくないケースの方が多いのではないでしょうか。
本ブログでは、SORACOMやその他のマネージドサービスサービスを使って、SORACOM IoT SIM を使っているデバイスのアクセス先をフィルタリングする方法についてご紹介します。
SORACOMのフィルタリング機能
SORACOM では、いくつかの方法を使ってフィルタリングを行うことが可能です。サポートページへは以下の記載があります。
参照:SORACOM IoT SIM を使っているデバイスからのアクセス先を制御する方法はありますか?
方法をピックアップすると、以下の通りです。
これらの機能には以下のような違いがあります。
| 機能名 | 必要な構成や 設定 |
フィルタリングのレベル |
|---|---|---|
| VPG アウトバウンドルーティングフィルタ機能 | VPG | IP |
| カスタム DNS 機能 | DNSサーバの構築 | ドメイン |
| Private Garden 機能 | 特になし | IP(SORACOMエンドポイントサービスのみに限定) |
この中で「必要な構成」については、VPGの有無によって大きく異なります。VPGをご利用頂いている場合には、IPレベルで個々のアドレス帯をフィルタするといったより柔軟なフィルタリングが行えます。
また、ここでポイントになってくるのは、Private Gardenを割り当てたり、VPG のアウトバウンドルーティングフィルターを使って0.0.0.0/0 宛て通信を拒否しても、SORACOM提供のエンドポイントとの通信は可能ということです。
参照:SORACOM Air for セルラーからアクセスできるエンドポイント / エントリポイント一覧
ユースケース毎のフィルタリングパターン
それでは、ここからはもう少し実際のユースケースに沿って、IPレベルのフィルタリングパターンを整理してみたいと思います。
| ユースケース (やりたい事) |
必要な VPG |
利用する機能名や設定 | 設定の概要 |
|---|---|---|---|
| SORACOMのみ許可※する | (不要) | Private Garden | グループに対してPrivate Gardenを割り当てる |
| 〃 | Type-E | アウトバウンドルーティングフィルター | 0.0.0.0/0 宛て通信を拒否 |
| SORACOMと、特定の宛先のみ許可する | Type-E | アウトバウンドルーティングフィルター | 0.0.0.0/0 宛て通信を拒否し、特定の宛先の通信を許可 |
| Canal、Door、Directの閉域接続のみ許可する | Type-F | インターネットゲートウェイ | OFFにする |
| Canal、Door、Directの閉域接続の特定の宛先のみ許可する | Type-F | – インターネットゲートウェイ – アウトバウンドルーティングフィルター |
– OFFにする – 0.0.0.0/0 宛て通信を拒否し、特定の宛先の通信を許可 |
※SORACOMのみ許可: SORACOM Beam、Funnel、FunkといったSORACOMのエンドポイントサービスのみを許可。
各ユースケースの目的や効果
SORACOMのみ許可する
クラウド連携をSORACOM BeamやFunnel、Funkといった転送系のアプリケーションのSORACOMサービスを利用するアーキテクチャーや、SORACOM Harvest へのデータ蓄積であれば、インターネットへの通信自体を不要にでき、より強固なセキュリティを構築できます。
また、SORACOM上にはSORACOM Beam等のデータ転送サービスだけでなく、PING応答サービスやNTPサーバー等、転送以外でも活用できるサービスがあるため、”SORACOMのみ許可する” でも、IoTシステムを完結できる可能性があります。
SORACOMと特定の手先のみ許可する
SaaS 等へ直接データを送りたい場合は、インターネットへの通信が不可欠です。一方で、万が一IoTデバイスがマルウェア等に感染して想定外の通信が発生しても、通信先を制限しておけば被害を最小限に食い止められる可能性があります。
このケースは、アクセス先SaaS等のIPアドレスが入手できることが要件となります。IPアドレスがわからない場合にはドメインでのフィルタリングも可能ですが、それはまた別の機会にお話できればと思います。
Canal、Door、Directの閉域接続のみ許可する / 閉域内の特定の宛先のみ許可する
SORACOMには、お客様の閉域ネットワーク(例えばAmazon VPC)と、SORACOMのネットワークを閉域接続できるSORACOM Canal、Direct、Doorといったサービスがあります。この場合、閉域ネットワーク内であれば自由に通信可能という要件もあれば、閉域ネットワーク内でもさらに特定のアドレスのみ通信を許可したい要件もあります。SORACOMではどちらでも対応できます。
それぞれの「構築方法」については、冒頭の「SORACOMのフィルタリング機能」から、それぞれの機能のリンクをご覧ください。
さいごに
最後まで読んでいただき、有難う御座いました!
こうして整理してみると、やはりVPGを使った場合は様々なフィルタリングの構成を取ることができそうですね。また、インターネットゲートウェイとアウトバウンドルーティングフィルターの違いについては、以下のユーザーサイトも参考にしてください。
今回はお客様からのお問い合わせも多いフィルタリングの方法についてまとめてみました。ネットワーク構築をご担当されている方が、色々なフィルタリングの方法を検討するのに少しでもお役に立てればうれしいです。
― ソラコム 渡邊 ( dai )
投稿 セキュリティを高める、SORACOM IoT SIMの通信先フィルタリングパターンのご紹介 は SORACOM公式ブログ に最初に表示されました。
この連載の記事
-
第485回
デジタル
省電力通信LTE-M対応の小型マイコンボードをSORACOM IoTストアで提供開始、ローコードIoTアプリケーションビルダー「SORACOM Flux」の料金プランを発表 takuyaのほぼ週刊ソラコム 11/30-12/13 -
第484回
デジタル
AWS re:Invent 2024に見る、IoTの成熟と生成AIとの融合 -
第483回
デジタル
二歳半の子供を持つエンジニアの一日の働き方 -
第482回
デジタル
VPN 対応の産業用 LTE ルーターの価格改定【30%オフ】 -
第481回
デジタル
時間帯に応じたメール通知の構築方法 : SORACOM LTE-M Button と SORACOM Flux の活用 -
第480回
デジタル
SORACOM Flux 料金プランを発表しました -
第479回
デジタル
12/11-13 商業施設・店舗DX展に出展:最新IoTソリューションや事例をご紹介 -
第478回
デジタル
コープさっぽろが、クラウド型カメラ「ソラカメ」を全店舗で導入、現場主導の改善を実現、サーバールームの異常な温度上昇を通知する新規掲載レシピ takuyaのほぼ週刊ソラコム 11/16-11/29 -
第476回
デジタル
WebRTCとMedia over QUIC Transportの性能比較 -
第475回
デジタル
SORACOM Lagoon 3 の [Math] 機能で、複数データを組み合わせた通知の手順