第148回 SORACOM公式ブログ

ソラコム公式ブログ

セキュリティを高める、SORACOM IoT SIMの通信先フィルタリングパターンのご紹介

  • この記事をはてなブックマークに追加
  • 本文印刷

 本記事はソラコムが提供する「SORACOM公式ブログ」に掲載された「セキュリティを高める、SORACOM IoT SIMの通信先フィルタリングパターンのご紹介」を再編集したものです。

こんにちは、ソラコムの渡邊 ( ニックネーム : dai ) です。

SORACOM IoT SIMを使用しているデバイスは、SORACOM Air for セルラーにてインターネットへのアクセスができます。この通信はNATによるアドレス変換がされている以外には標準では通信への制約は無く、自由に利用いただけます。ですが、IoT デバイスでお使いになる場合には、必ずしもインターネットアクセスは必要ないケース、あるいはむしろ、セキュリティの観点から不要なアクセス先へは接続させたくないケースの方が多いのではないでしょうか。

本ブログでは、SORACOMやその他のマネージドサービスサービスを使って、SORACOM IoT SIM を使っているデバイスのアクセス先をフィルタリングする方法についてご紹介します。

SORACOMのフィルタリング機能

SORACOM では、いくつかの方法を使ってフィルタリングを行うことが可能です。サポートページへは以下の記載があります。

参照:SORACOM IoT SIM を使っているデバイスからのアクセス先を制御する方法はありますか?

方法をピックアップすると、以下の通りです。

これらの機能には以下のような違いがあります。

機能名 必要な構成や
設定
フィルタリングのレベル
VPG アウトバウンドルーティングフィルタ機能 VPG IP
カスタム DNS 機能 DNSサーバの構築 ドメイン
Private Garden 機能 特になし IP(SORACOMエンドポイントサービスのみに限定)

この中で「必要な構成」については、VPGの有無によって大きく異なります。VPGをご利用頂いている場合には、IPレベルで個々のアドレス帯をフィルタするといったより柔軟なフィルタリングが行えます。

また、ここでポイントになってくるのは、Private Gardenを割り当てたり、VPG のアウトバウンドルーティングフィルターを使って0.0.0.0/0 宛て通信を拒否しても、SORACOM提供のエンドポイントとの通信は可能ということです。

参照:SORACOM Air for セルラーからアクセスできるエンドポイント / エントリポイント一覧

ユースケース毎のフィルタリングパターン

それでは、ここからはもう少し実際のユースケースに沿って、IPレベルのフィルタリングパターンを整理してみたいと思います。

ユースケース
(やりたい事)
必要な
VPG
利用する機能名や設定 設定の概要
SORACOMのみ許可※する (不要) Private Garden グループに対してPrivate Gardenを割り当てる
Type-E アウトバウンドルーティングフィルター 0.0.0.0/0 宛て通信を拒否
SORACOMと、特定の宛先のみ許可する Type-E アウトバウンドルーティングフィルター 0.0.0.0/0 宛て通信を拒否し、特定の宛先の通信を許可
Canal、Door、Directの閉域接続のみ許可する Type-F インターネットゲートウェイ OFFにする
Canal、Door、Directの閉域接続の特定の宛先のみ許可する Type-F – インターネットゲートウェイ
– アウトバウンドルーティングフィルター
– OFFにする
– 0.0.0.0/0 宛て通信を拒否し、特定の宛先の通信を許可

※SORACOMのみ許可: SORACOM Beam、Funnel、FunkといったSORACOMのエンドポイントサービスのみを許可。

各ユースケースの目的や効果

SORACOMのみ許可する

クラウド連携をSORACOM BeamFunnelFunkといった転送系のアプリケーションのSORACOMサービスを利用するアーキテクチャーや、SORACOM Harvest へのデータ蓄積であれば、インターネットへの通信自体を不要にでき、より強固なセキュリティを構築できます。

また、SORACOM上にはSORACOM Beam等のデータ転送サービスだけでなく、PING応答サービスやNTPサーバー等、転送以外でも活用できるサービスがあるため、”SORACOMのみ許可する” でも、IoTシステムを完結できる可能性があります。

SORACOMと特定の手先のみ許可する

SaaS 等へ直接データを送りたい場合は、インターネットへの通信が不可欠です。一方で、万が一IoTデバイスがマルウェア等に感染して想定外の通信が発生しても、通信先を制限しておけば被害を最小限に食い止められる可能性があります。

このケースは、アクセス先SaaS等のIPアドレスが入手できることが要件となります。IPアドレスがわからない場合にはドメインでのフィルタリングも可能ですが、それはまた別の機会にお話できればと思います。

Canal、Door、Directの閉域接続のみ許可する / 閉域内の特定の宛先のみ許可する

SORACOMには、お客様の閉域ネットワーク(例えばAmazon VPC)と、SORACOMのネットワークを閉域接続できるSORACOM CanalDirectDoorといったサービスがあります。この場合、閉域ネットワーク内であれば自由に通信可能という要件もあれば、閉域ネットワーク内でもさらに特定のアドレスのみ通信を許可したい要件もあります。SORACOMではどちらでも対応できます。

それぞれの「構築方法」については、冒頭の「SORACOMのフィルタリング機能」から、それぞれの機能のリンクをご覧ください。

さいごに

最後まで読んでいただき、有難う御座いました!

こうして整理してみると、やはりVPGを使った場合は様々なフィルタリングの構成を取ることができそうですね。また、インターネットゲートウェイとアウトバウンドルーティングフィルターの違いについては、以下のユーザーサイトも参考にしてください。

今回はお客様からのお問い合わせも多いフィルタリングの方法についてまとめてみました。ネットワーク構築をご担当されている方が、色々なフィルタリングの方法を検討するのに少しでもお役に立てればうれしいです。

― ソラコム 渡邊 ( dai )

投稿 セキュリティを高める、SORACOM IoT SIMの通信先フィルタリングパターンのご紹介SORACOM公式ブログ に最初に表示されました。

過去記事アーカイブ

2022年
01月
02月
03月
04月
05月
06月
07月
08月
09月
10月
11月
12月
2021年
01月
02月
03月
04月
05月
06月
07月
08月
09月
10月
11月
12月