本記事はソラコムが提供する「SORACOM公式ブログ」に掲載された「セキュリティを高める、SORACOM IoT SIMの通信先フィルタリングパターンのご紹介」を再編集したものです。
こんにちは、ソラコムの渡邊 ( ニックネーム : dai ) です。
SORACOM IoT SIMを使用しているデバイスは、SORACOM Air for セルラーにてインターネットへのアクセスができます。この通信はNATによるアドレス変換がされている以外には標準では通信への制約は無く、自由に利用いただけます。ですが、IoT デバイスでお使いになる場合には、必ずしもインターネットアクセスは必要ないケース、あるいはむしろ、セキュリティの観点から不要なアクセス先へは接続させたくないケースの方が多いのではないでしょうか。
本ブログでは、SORACOMやその他のマネージドサービスサービスを使って、SORACOM IoT SIM を使っているデバイスのアクセス先をフィルタリングする方法についてご紹介します。
SORACOMのフィルタリング機能
SORACOM では、いくつかの方法を使ってフィルタリングを行うことが可能です。サポートページへは以下の記載があります。
参照:SORACOM IoT SIM を使っているデバイスからのアクセス先を制御する方法はありますか?
方法をピックアップすると、以下の通りです。
これらの機能には以下のような違いがあります。
| 機能名 | 必要な構成や 設定 |
フィルタリングのレベル |
|---|---|---|
| VPG アウトバウンドルーティングフィルタ機能 | VPG | IP |
| カスタム DNS 機能 | DNSサーバの構築 | ドメイン |
| Private Garden 機能 | 特になし | IP(SORACOMエンドポイントサービスのみに限定) |
この中で「必要な構成」については、VPGの有無によって大きく異なります。VPGをご利用頂いている場合には、IPレベルで個々のアドレス帯をフィルタするといったより柔軟なフィルタリングが行えます。
また、ここでポイントになってくるのは、Private Gardenを割り当てたり、VPG のアウトバウンドルーティングフィルターを使って0.0.0.0/0 宛て通信を拒否しても、SORACOM提供のエンドポイントとの通信は可能ということです。
参照:SORACOM Air for セルラーからアクセスできるエンドポイント / エントリポイント一覧
ユースケース毎のフィルタリングパターン
それでは、ここからはもう少し実際のユースケースに沿って、IPレベルのフィルタリングパターンを整理してみたいと思います。
| ユースケース (やりたい事) |
必要な VPG |
利用する機能名や設定 | 設定の概要 |
|---|---|---|---|
| SORACOMのみ許可※する | (不要) | Private Garden | グループに対してPrivate Gardenを割り当てる |
| 〃 | Type-E | アウトバウンドルーティングフィルター | 0.0.0.0/0 宛て通信を拒否 |
| SORACOMと、特定の宛先のみ許可する | Type-E | アウトバウンドルーティングフィルター | 0.0.0.0/0 宛て通信を拒否し、特定の宛先の通信を許可 |
| Canal、Door、Directの閉域接続のみ許可する | Type-F | インターネットゲートウェイ | OFFにする |
| Canal、Door、Directの閉域接続の特定の宛先のみ許可する | Type-F | – インターネットゲートウェイ – アウトバウンドルーティングフィルター |
– OFFにする – 0.0.0.0/0 宛て通信を拒否し、特定の宛先の通信を許可 |
※SORACOMのみ許可: SORACOM Beam、Funnel、FunkといったSORACOMのエンドポイントサービスのみを許可。
各ユースケースの目的や効果
SORACOMのみ許可する
クラウド連携をSORACOM BeamやFunnel、Funkといった転送系のアプリケーションのSORACOMサービスを利用するアーキテクチャーや、SORACOM Harvest へのデータ蓄積であれば、インターネットへの通信自体を不要にでき、より強固なセキュリティを構築できます。
また、SORACOM上にはSORACOM Beam等のデータ転送サービスだけでなく、PING応答サービスやNTPサーバー等、転送以外でも活用できるサービスがあるため、”SORACOMのみ許可する” でも、IoTシステムを完結できる可能性があります。
SORACOMと特定の手先のみ許可する
SaaS 等へ直接データを送りたい場合は、インターネットへの通信が不可欠です。一方で、万が一IoTデバイスがマルウェア等に感染して想定外の通信が発生しても、通信先を制限しておけば被害を最小限に食い止められる可能性があります。
このケースは、アクセス先SaaS等のIPアドレスが入手できることが要件となります。IPアドレスがわからない場合にはドメインでのフィルタリングも可能ですが、それはまた別の機会にお話できればと思います。
Canal、Door、Directの閉域接続のみ許可する / 閉域内の特定の宛先のみ許可する
SORACOMには、お客様の閉域ネットワーク(例えばAmazon VPC)と、SORACOMのネットワークを閉域接続できるSORACOM Canal、Direct、Doorといったサービスがあります。この場合、閉域ネットワーク内であれば自由に通信可能という要件もあれば、閉域ネットワーク内でもさらに特定のアドレスのみ通信を許可したい要件もあります。SORACOMではどちらでも対応できます。
それぞれの「構築方法」については、冒頭の「SORACOMのフィルタリング機能」から、それぞれの機能のリンクをご覧ください。
さいごに
最後まで読んでいただき、有難う御座いました!
こうして整理してみると、やはりVPGを使った場合は様々なフィルタリングの構成を取ることができそうですね。また、インターネットゲートウェイとアウトバウンドルーティングフィルターの違いについては、以下のユーザーサイトも参考にしてください。
今回はお客様からのお問い合わせも多いフィルタリングの方法についてまとめてみました。ネットワーク構築をご担当されている方が、色々なフィルタリングの方法を検討するのに少しでもお役に立てればうれしいです。
― ソラコム 渡邊 ( dai )
投稿 セキュリティを高める、SORACOM IoT SIMの通信先フィルタリングパターンのご紹介 は SORACOM公式ブログ に最初に表示されました。
この連載の記事
-
第402回
デジタル
技術評論社の書籍「IoTの知識地図」が発売、Soracom Onyx用防水・防塵アンテナセットの販売を開始 takuyaのほぼ週刊ソラコム 04/15-05/03 -
第401回
デジタル
IoTの基礎知識から実務を網羅した一冊「IoTの知識地図」 ― 見どころ解説 -
第400回
デジタル
USB型LTEデバイス「Soracom Onyx」向け、防水・防塵アンテナセットの販売開始 -
第399回
デジタル
クラウド型カメラの新たな使い方を提案!ソラカメの新機能「ライブ視聴見放題」ご紹介 -
第398回
デジタル
見える化、監視の次は? ソラコムが考える製造業IoTのメリットと課題 -
第397回
デジタル
Make a Global Impact as a Technical Writer at Soracom -
第396回
デジタル
SORACOM LTE-M Button powered by AWSの移行受付を開始、SPSアワード 2023の表彰を発表 takuyaのほぼ週刊ソラコム 04/01-04/14 -
第395回
デジタル
SORACOMの新機能開発の舞台裏 ― お客様の声からリリースまでの道のり -
第394回
デジタル
動画で分かる!SORACOM Lagoon 3への移行の手順 -
第393回
デジタル
ソラカメ運用管理をより簡単に!アクセス権限設定テンプレートのご紹介