本記事はソラコムが提供する「SORACOM公式ブログ」に掲載された「セキュリティを高める、SORACOM IoT SIMの通信先フィルタリングパターンのご紹介」を再編集したものです。
こんにちは、ソラコムの渡邊 ( ニックネーム : dai ) です。
SORACOM IoT SIMを使用しているデバイスは、SORACOM Air for セルラーにてインターネットへのアクセスができます。この通信はNATによるアドレス変換がされている以外には標準では通信への制約は無く、自由に利用いただけます。ですが、IoT デバイスでお使いになる場合には、必ずしもインターネットアクセスは必要ないケース、あるいはむしろ、セキュリティの観点から不要なアクセス先へは接続させたくないケースの方が多いのではないでしょうか。
本ブログでは、SORACOMやその他のマネージドサービスサービスを使って、SORACOM IoT SIM を使っているデバイスのアクセス先をフィルタリングする方法についてご紹介します。
SORACOMのフィルタリング機能
SORACOM では、いくつかの方法を使ってフィルタリングを行うことが可能です。サポートページへは以下の記載があります。
参照:SORACOM IoT SIM を使っているデバイスからのアクセス先を制御する方法はありますか?
方法をピックアップすると、以下の通りです。
これらの機能には以下のような違いがあります。
| 機能名 | 必要な構成や 設定 |
フィルタリングのレベル |
|---|---|---|
| VPG アウトバウンドルーティングフィルタ機能 | VPG | IP |
| カスタム DNS 機能 | DNSサーバの構築 | ドメイン |
| Private Garden 機能 | 特になし | IP(SORACOMエンドポイントサービスのみに限定) |
この中で「必要な構成」については、VPGの有無によって大きく異なります。VPGをご利用頂いている場合には、IPレベルで個々のアドレス帯をフィルタするといったより柔軟なフィルタリングが行えます。
また、ここでポイントになってくるのは、Private Gardenを割り当てたり、VPG のアウトバウンドルーティングフィルターを使って0.0.0.0/0 宛て通信を拒否しても、SORACOM提供のエンドポイントとの通信は可能ということです。
参照:SORACOM Air for セルラーからアクセスできるエンドポイント / エントリポイント一覧
ユースケース毎のフィルタリングパターン
それでは、ここからはもう少し実際のユースケースに沿って、IPレベルのフィルタリングパターンを整理してみたいと思います。
| ユースケース (やりたい事) |
必要な VPG |
利用する機能名や設定 | 設定の概要 |
|---|---|---|---|
| SORACOMのみ許可※する | (不要) | Private Garden | グループに対してPrivate Gardenを割り当てる |
| 〃 | Type-E | アウトバウンドルーティングフィルター | 0.0.0.0/0 宛て通信を拒否 |
| SORACOMと、特定の宛先のみ許可する | Type-E | アウトバウンドルーティングフィルター | 0.0.0.0/0 宛て通信を拒否し、特定の宛先の通信を許可 |
| Canal、Door、Directの閉域接続のみ許可する | Type-F | インターネットゲートウェイ | OFFにする |
| Canal、Door、Directの閉域接続の特定の宛先のみ許可する | Type-F | – インターネットゲートウェイ – アウトバウンドルーティングフィルター |
– OFFにする – 0.0.0.0/0 宛て通信を拒否し、特定の宛先の通信を許可 |
※SORACOMのみ許可: SORACOM Beam、Funnel、FunkといったSORACOMのエンドポイントサービスのみを許可。
各ユースケースの目的や効果
SORACOMのみ許可する
クラウド連携をSORACOM BeamやFunnel、Funkといった転送系のアプリケーションのSORACOMサービスを利用するアーキテクチャーや、SORACOM Harvest へのデータ蓄積であれば、インターネットへの通信自体を不要にでき、より強固なセキュリティを構築できます。
また、SORACOM上にはSORACOM Beam等のデータ転送サービスだけでなく、PING応答サービスやNTPサーバー等、転送以外でも活用できるサービスがあるため、”SORACOMのみ許可する” でも、IoTシステムを完結できる可能性があります。
SORACOMと特定の手先のみ許可する
SaaS 等へ直接データを送りたい場合は、インターネットへの通信が不可欠です。一方で、万が一IoTデバイスがマルウェア等に感染して想定外の通信が発生しても、通信先を制限しておけば被害を最小限に食い止められる可能性があります。
このケースは、アクセス先SaaS等のIPアドレスが入手できることが要件となります。IPアドレスがわからない場合にはドメインでのフィルタリングも可能ですが、それはまた別の機会にお話できればと思います。
Canal、Door、Directの閉域接続のみ許可する / 閉域内の特定の宛先のみ許可する
SORACOMには、お客様の閉域ネットワーク(例えばAmazon VPC)と、SORACOMのネットワークを閉域接続できるSORACOM Canal、Direct、Doorといったサービスがあります。この場合、閉域ネットワーク内であれば自由に通信可能という要件もあれば、閉域ネットワーク内でもさらに特定のアドレスのみ通信を許可したい要件もあります。SORACOMではどちらでも対応できます。
それぞれの「構築方法」については、冒頭の「SORACOMのフィルタリング機能」から、それぞれの機能のリンクをご覧ください。
さいごに
最後まで読んでいただき、有難う御座いました!
こうして整理してみると、やはりVPGを使った場合は様々なフィルタリングの構成を取ることができそうですね。また、インターネットゲートウェイとアウトバウンドルーティングフィルターの違いについては、以下のユーザーサイトも参考にしてください。
今回はお客様からのお問い合わせも多いフィルタリングの方法についてまとめてみました。ネットワーク構築をご担当されている方が、色々なフィルタリングの方法を検討するのに少しでもお役に立てればうれしいです。
― ソラコム 渡邊 ( dai )
投稿 セキュリティを高める、SORACOM IoT SIMの通信先フィルタリングパターンのご紹介 は SORACOM公式ブログ に最初に表示されました。
この連載の記事
-
第596回
デジタル
ラズパイで作るWi-Fiアクセスポイントとトラフィック計測の実践 ― systemd-networkd 利用 -
第595回
デジタル
フィジカル AI とは? リアルワールドを動かす AI の設計と実装 -
第594回
デジタル
AI チャットボットとは?機能の整理と導入の検討ポイント -
第593回
デジタル
「SGP.32」で変わるIoT回線管理―運用負荷を減らし、“回線を選べる”世界をどう実現するのか -
第592回
デジタル
SORACOM が 第5回 日本サービス大賞の総務大臣賞を受賞、Hondaのモビリティロボット「UNI-ONE」に採用、他 ほぼ週刊ソラコム 11/29-12/26 -
第591回
デジタル
ソラコムサンタより愛をこめて 2025 -
第590回
デジタル
いま知っておきたい!進化するeSIM / iSIMの基礎と実装ポイント -
第589回
デジタル
SORACOM Fluxにバウンディングボックス機能が登場! -
第588回
デジタル
LTE Wi-Fi ルーター「UD-LTA」をSORACOM IoTストアで販売開始! -
第587回
デジタル
LTE Wi-Fi ルーター UD-LTA、LTE Cat.1 bis対応IoTゲートウェイ(2機種)の販売を開始、他 ほぼ週刊ソラコム 11/15-11/28