本記事はソラコムが提供する「SORACOM公式ブログ」に掲載された「セキュリティを高める、SORACOM IoT SIMの通信先フィルタリングパターンのご紹介」を再編集したものです。
こんにちは、ソラコムの渡邊 ( ニックネーム : dai ) です。
SORACOM IoT SIMを使用しているデバイスは、SORACOM Air for セルラーにてインターネットへのアクセスができます。この通信はNATによるアドレス変換がされている以外には標準では通信への制約は無く、自由に利用いただけます。ですが、IoT デバイスでお使いになる場合には、必ずしもインターネットアクセスは必要ないケース、あるいはむしろ、セキュリティの観点から不要なアクセス先へは接続させたくないケースの方が多いのではないでしょうか。
本ブログでは、SORACOMやその他のマネージドサービスサービスを使って、SORACOM IoT SIM を使っているデバイスのアクセス先をフィルタリングする方法についてご紹介します。
SORACOMのフィルタリング機能
SORACOM では、いくつかの方法を使ってフィルタリングを行うことが可能です。サポートページへは以下の記載があります。
参照:SORACOM IoT SIM を使っているデバイスからのアクセス先を制御する方法はありますか?
方法をピックアップすると、以下の通りです。
これらの機能には以下のような違いがあります。
| 機能名 | 必要な構成や 設定 |
フィルタリングのレベル |
|---|---|---|
| VPG アウトバウンドルーティングフィルタ機能 | VPG | IP |
| カスタム DNS 機能 | DNSサーバの構築 | ドメイン |
| Private Garden 機能 | 特になし | IP(SORACOMエンドポイントサービスのみに限定) |
この中で「必要な構成」については、VPGの有無によって大きく異なります。VPGをご利用頂いている場合には、IPレベルで個々のアドレス帯をフィルタするといったより柔軟なフィルタリングが行えます。
また、ここでポイントになってくるのは、Private Gardenを割り当てたり、VPG のアウトバウンドルーティングフィルターを使って0.0.0.0/0 宛て通信を拒否しても、SORACOM提供のエンドポイントとの通信は可能ということです。
参照:SORACOM Air for セルラーからアクセスできるエンドポイント / エントリポイント一覧
ユースケース毎のフィルタリングパターン
それでは、ここからはもう少し実際のユースケースに沿って、IPレベルのフィルタリングパターンを整理してみたいと思います。
| ユースケース (やりたい事) |
必要な VPG |
利用する機能名や設定 | 設定の概要 |
|---|---|---|---|
| SORACOMのみ許可※する | (不要) | Private Garden | グループに対してPrivate Gardenを割り当てる |
| 〃 | Type-E | アウトバウンドルーティングフィルター | 0.0.0.0/0 宛て通信を拒否 |
| SORACOMと、特定の宛先のみ許可する | Type-E | アウトバウンドルーティングフィルター | 0.0.0.0/0 宛て通信を拒否し、特定の宛先の通信を許可 |
| Canal、Door、Directの閉域接続のみ許可する | Type-F | インターネットゲートウェイ | OFFにする |
| Canal、Door、Directの閉域接続の特定の宛先のみ許可する | Type-F | – インターネットゲートウェイ – アウトバウンドルーティングフィルター |
– OFFにする – 0.0.0.0/0 宛て通信を拒否し、特定の宛先の通信を許可 |
※SORACOMのみ許可: SORACOM Beam、Funnel、FunkといったSORACOMのエンドポイントサービスのみを許可。
各ユースケースの目的や効果
SORACOMのみ許可する
クラウド連携をSORACOM BeamやFunnel、Funkといった転送系のアプリケーションのSORACOMサービスを利用するアーキテクチャーや、SORACOM Harvest へのデータ蓄積であれば、インターネットへの通信自体を不要にでき、より強固なセキュリティを構築できます。
また、SORACOM上にはSORACOM Beam等のデータ転送サービスだけでなく、PING応答サービスやNTPサーバー等、転送以外でも活用できるサービスがあるため、”SORACOMのみ許可する” でも、IoTシステムを完結できる可能性があります。
SORACOMと特定の手先のみ許可する
SaaS 等へ直接データを送りたい場合は、インターネットへの通信が不可欠です。一方で、万が一IoTデバイスがマルウェア等に感染して想定外の通信が発生しても、通信先を制限しておけば被害を最小限に食い止められる可能性があります。
このケースは、アクセス先SaaS等のIPアドレスが入手できることが要件となります。IPアドレスがわからない場合にはドメインでのフィルタリングも可能ですが、それはまた別の機会にお話できればと思います。
Canal、Door、Directの閉域接続のみ許可する / 閉域内の特定の宛先のみ許可する
SORACOMには、お客様の閉域ネットワーク(例えばAmazon VPC)と、SORACOMのネットワークを閉域接続できるSORACOM Canal、Direct、Doorといったサービスがあります。この場合、閉域ネットワーク内であれば自由に通信可能という要件もあれば、閉域ネットワーク内でもさらに特定のアドレスのみ通信を許可したい要件もあります。SORACOMではどちらでも対応できます。
それぞれの「構築方法」については、冒頭の「SORACOMのフィルタリング機能」から、それぞれの機能のリンクをご覧ください。
さいごに
最後まで読んでいただき、有難う御座いました!
こうして整理してみると、やはりVPGを使った場合は様々なフィルタリングの構成を取ることができそうですね。また、インターネットゲートウェイとアウトバウンドルーティングフィルターの違いについては、以下のユーザーサイトも参考にしてください。
今回はお客様からのお問い合わせも多いフィルタリングの方法についてまとめてみました。ネットワーク構築をご担当されている方が、色々なフィルタリングの方法を検討するのに少しでもお役に立てればうれしいです。
― ソラコム 渡邊 ( dai )
投稿 セキュリティを高める、SORACOM IoT SIMの通信先フィルタリングパターンのご紹介 は SORACOM公式ブログ に最初に表示されました。
この連載の記事
-
第466回
デジタル
カメラとAIで楽器演奏シーンを簡単に残す、IoTプロトタイピングの裏側 -
第465回
デジタル
数千を超えるIoT機器を管理!生成AIで設備運用を効率化するhacomonoの挑戦 -
第464回
デジタル
SORACOMのビジネスパートナープログラムに、新たに5社の認定済パートナーが参画、SORACOM Harvest Data で日時データをタイムスタンプとして利用可能に takuyaのほぼ週刊ソラコム 08/31-09/13 -
第463回
デジタル
SORACOM Lagoon 3 の Alert rule の考え方をマスターして、最適な通知を作成 -
第462回
デジタル
LTE USB ドングル UD-USC1 を SORACOM サービスと組み合わせて利用する -
第461回
デジタル
EV充電インフラを保護する5つの方法 -
第460回
デジタル
IoT プロジェクトの課題を解決する、SORACOM サービスの活用事例 -
第459回
デジタル
ATOM Cam 2 専用 LAN アダプターを販売開始、ソラカメのクラウド録画マルチストリーミング再生機能をリリース takuyaのほぼ週刊ソラコム 08/17-08/30 -
第458回
デジタル
IoTで接続された充電ステーションがEVの普及を促進する -
第457回
デジタル
SORACOM Napterがさらに便利に!リモートアクセスの安全性と利便性を両立したWebターミナルのご紹介