IoT セキュリティとしてデータ送信を考えるときは、デバイスからクラウドまでをどこで保護するかを切り分けて考える必要があります。SORACOM Air for セルラーでは、デバイスから SORACOM までは閉域網で保護されるため、このページでは SORACOM からクラウドやお客様システムまでの区間をどう守るかを整理します。
この構成が向いているケース
- デバイス側で暗号化実装や認証情報の保持をできるだけ増やしたくない。
- 顧客施設や工場のデータをクラウドへ送りたいが、インターネットへ直接公開したくない。
- データ送信は片方向で足りるのか、双方向 IP 通信が必要なのかを整理したい。
- SORACOM Beam / Funnel / Funk と SORACOM Canal / Door / Direct のどちらを選ぶべきか迷っている。
- 通信量や接続先の性質に応じて、暗号化と閉域接続をどう使い分けるかを決めたい。
まず 2 つの保護方式に分けて考える
データ送信の保護方式は、まず次の 2 つに分けて考えます。
| 方式 | 向いているケース | 主なメリット | 主な注意点 |
|---|---|---|---|
| デバイスとクラウド間の End-to-End (E2E) 構成 | デバイスからクラウドまでを独自に保護したい。 | 連携先の自由度が高い。 | デバイス側で暗号化、認証情報、Virtual Private Network (VPN) などを管理する必要がある。 |
| SORACOM を活用して SORACOM からクラウドまでを保護する構成 | デバイス負荷と認証情報管理の負担を減らしたい。 | 接続先設定や認証情報を SORACOM 側でまとめて扱いやすい。 | 要件に応じて SORACOM Beam / Funnel / Funk と SORACOM Canal / Door / Direct を使い分ける必要がある。 |
このページでは、SORACOM を活用して通信を守る構成 を整理します。
SORACOM を活用する場合の考え方
片方向通信だけでよい場合
デバイスからクラウドやお客様システムへデータを送るだけなら、まずは SORACOM Beam / Funnel / Funk を検討します。これらは、接続先の設定や認証情報を SORACOM 側で管理し、SORACOM から接続先までを暗号化して送信するためのサービスです。
- SORACOM Beam は、任意のサーバーへの転送を整理したい場合に向いています。
- SORACOM Funnel は、対応するクラウドサービスへの連携に向いています。
- SORACOM Funk は、対応する Function as a Service (FaaS) への連携に向いています。
デバイス側の中央演算処理装置 (Central Processing Unit, CPU) 性能や消費電力に余裕が少ない場合や、接続先設定をまとめて変更したい場合に使いやすい構成です。
双方向通信が必要な場合
クラウドからデバイス方向を含む双方向の Internet Protocol (IP) 通信が必要になると、考え方が変わります。遠隔制御や遠隔監視のように双方向通信が必要な場合は、まず本当に双方向通信が必要かを確認したうえで、VPG Type-F2 と SORACOM Canal / Door / Direct を軸に検討します。
この構成では、SORACOM 側とお客様ネットワークの間で Network Address Translation (NAT) なしの双方向 IP 通信を設計できます。クラウドからデバイス方向の経路も含めて扱いたい場合は、アプリケーション連携サービスだけで完結させるのではなく、プライベート接続の構成として整理する必要があります。
SORACOM Beam / Funnel / Funk がサポートしない連携先が必要な場合
実現したい連携先が SORACOM Beam / Funnel / Funk の対象外であれば、SORACOM Canal / Door / Direct を検討します。これにより、SORACOM からクラウドやオンプレミス環境までをプライベート接続として扱えます。
料金は数値ではなく判断軸で見る
ここでは具体的な料金例の転記ではなく、選定時に見る観点を整理します。
| 観点 | SORACOM Beam / Funnel / Funk | SORACOM Canal / Door / Direct |
|---|---|---|
| 主な保護方法 | SORACOM からクラウドまでの暗号化 | SORACOM からクラウド / オンプレミスまでのプライベート接続 |
| 向きやすい通信 | 片方向通信 | 双方向通信やサポート対象外の連携先を含む通信 |
| 料金を見るときの軸 | 送信量と接続先サービスの使いかた | VPG と接続方式を含めた構成全体 |
| 検討しやすいケース | 少量送信、早く始めたい、設定をまとめたい | 公開を避けたい、双方向性が必要、接続先が決まっている |
併用するときの考え方
データ送信の中でも、送信先によって保護方式を分けたいことがあります。その場合は、暗号化されたクラウド連携とプライベート接続を同じ構成の中で併用できます。
併用時に確認する点は次のとおりです。
- どの送信を SORACOM Beam / Funnel / Funk に通し、どの送信を SORACOM Canal / Door / Direct に通すかを分ける。
- 双方向性が必要な通信と、片方向送信で足りる通信を分ける。
- 経路設計をまとめて考え、あとから通信先が増えたときに混乱しないようにする。
判断ポイント
- デバイス側の負荷や認証情報管理を減らしたいなら、まず SORACOM Beam / Funnel / Funk を検討する。
- 双方向 IP 通信が必要なら、VPG Type-F2 と SORACOM Canal / Door / Direct を候補に入れて考える。
- 連携先が SORACOM Beam / Funnel / Funk の対象外なら、プライベート接続で扱う。
- 料金は単一サービスの単価ではなく、通信量、双方向性、接続先、公開可否を含めて比較する。
関連する SORACOM ドキュメント
- 任意のサーバーへの転送: SORACOM Beam
- 対応クラウドサービスへの転送: SORACOM Funnel
- 対応 Function as a Service (FaaS) への転送: SORACOM Funk
- プライベート接続: SORACOM Canal、SORACOM Door、SORACOM Direct
- VPG の選定: Virtual Private Gateway (VPG) のタイプ
- クラウドからデバイスへの Internet Protocol (IP) 通信: クラウドからデバイスへアクセスする (SORACOM Gate C2D)
元記事・元資料
このページは、以下の記事・資料をもとにしています。
正確な内容や最新の情報を確認するときは、元の記事・資料もあわせて参照してください。
- SORACOM 公式ブログ: 暗号化とプライベート接続、IoT通信を守るSORACOMの活用法【前編】
- SORACOM 公式ブログ: 暗号化とプライベート接続、IoT通信を守るSORACOMの活用法【後編】
- SORACOM 公式ブログ: なぜ SORACOM は安全? IoT セキュリティの 4 つの強みと 2 つの事例