Home ドキュメント SORACOM Air for セルラー不正利用を防止する (セキュリティ)

CHAP 認証で任意のユーザー名とパスワードを利用する (SIM グループの CHAP 認証)

一般に CHAP 認証は、APN 設定のユーザー名およびパスワードを正しく設定したデバイスにだけセッションの確立を許可する機能です。

デフォルトでは、SORACOM の IoT SIM を利用する際、デバイスの APN 設定に以下の内容を設定します。

APN: soracom.io
ユーザー名: sora
パスワード: sora
PDP Type: IP
認証タイプ: CHAP または PAP

つまり、CHAP 認証で利用するユーザー名とパスワードは設定されているものの、デフォルトの認証情報はすべての SORACOM 回線で共通のため、IoT SIM がデバイスから取り出されると不正に利用されることも考えられます。

SIM グループの CHAP 認証は、そのような不正利用を避けるための機能です。この機能を有効化すると、sora の代わりに任意のユーザー名およびパスワードを要求できます。

グループに所属する IoT SIM の数に応じて課金されるサービスです

CHAP 認証を「ON」にしたグループに所属する IoT SIM の数に応じて課金されます。詳しくは、以下のページを参照してください。

SORACOM IoT SIM のご利用料金の CHAP 認証機能
ご利用料金 – 特定地域向け IoT SIM の CHAP 認証機能

CHAP 認証と IMEI ロック

CHAP 認証と IMEI ロックはどちらも、利用するデバイスを制限する機能です。どちらの機能を利用しても、IoT SIM をほかのデバイスで転用することを防げます。以下のように使い分けてください。

機能	説明
CHAP 認証	IoT SIM を利用できるデバイスを、ユーザー名およびパスワードが正しく設定されたデバイスに限定します。ユーザー名とパスワードを正しく設定した複数のデバイスで利用できます。
IMEI ロック	IoT SIM を利用できるデバイスを、指定した IMEI を持つデバイスに限定します。特定の 1 個の通信モジュールでのみ利用できます。また、通信キャリアによっては IMEI ロックが意図したとおりに動作しない場合があります。詳しくは、IoT SIM に IMEI ロックを設定するを参照してください。

CHAP 認証の設定はグループに対して行います

ここでは、グループの設定を変更する操作のみを説明します。グループの仕組みやグループを作成する操作について詳しくは、グループ設定を参照してください。

SIM グループ画面で [SORACOM Air for セルラー設定] をクリックします。
SIM グループ画面を表示する操作について詳しくは、グループの設定を変更するを参照してください。
[CHAP 認証] をクリックして「ON」にします。
[ユーザー名] および [パスワード] を入力して、[保存] をクリックします。

入力したパスワードは表示されません。
IoT SIM が所属するグループを切り替えます。
IoT SIM の CHAP 認証が有効になります。

デバイスによっては認証タイプを CHAP に限定する必要があります

デバイスによっては APN 設定の認証タイプを「CHAP or PAP」ではなく「CHAP」に限定する必要があります。ユーザー名とパスワードが一致していても接続できない場合は、「CHAP」に限定してください。

SORACOM CLI / SORACOM API の場合

SORACOM CLI または SORACOM API を利用しても、CHAP 認証の設定を変更できます。

SORACOM CLI
SORACOM API

SORACOM CLI を利用するには、あらかじめ SORACOM CLI をインストールし、認証情報を保存してください。詳しくは、SORACOM CLI をインストールするを参照してください。
{group_id} は、soracom groups list (Group:listGroups API) で取得できます。
{namespace} は、SoracomAir です。
ボディで指定するプロパティについては、ボディで指定するプロパティについてを参照してください。
ここでは、グループの設定を変更する操作のみを説明します。グループの仕組みやグループを作成する操作について詳しくは、グループ設定を参照してください。

CHAP 認証を設定する

soracom groups put-config (Group:putConfigurationParameters API) を使用します。

$ soracom groups put-config --group-id {group_id} --namespace SoracomAir \
--body '[
  {
    "key": "authenticationRequired",
    "value": true
  },
  {
    "key": "username",
    "value": "xxxxx"
  },
  {
    "key": "password",
    "value": "yyyyy"
  }
]'

SORACOM API を利用するには、API キーと API トークンが必要です。詳しくは、API キーと API トークンの取り扱いについてを参照してください。
{group_id} は、Group:listGroups API で取得できます。
{namespace} は、SoracomAir です。
ボディで指定するプロパティについては、ボディで指定するプロパティについてを参照してください。
ここでは、グループの設定を変更する操作のみを説明します。グループの仕組みやグループを作成する操作について詳しくは、グループ設定を参照してください。

CHAP 認証を設定する

Group:putConfigurationParameters API を使用します。

$ curl -v -X PUT https://api.soracom.io/v1/groups/{group_id}/configuration/SoracomAir \
-H "X-Soracom-API-Key: $X_SORACOM_API_KEY" \
-H "X-Soracom-Token: $X_SORACOM_TOKEN" \
-H "Content-Type: application/json" \
-d '[
  {
    "key": "authenticationRequired",
    "value": true
  },
  {
    "key": "username",
    "value": "xxxxx"
  },
  {
    "key": "password",
    "value": "yyyyy"
  }
]'

ボディで指定するプロパティについて

以下の key と value のペアを配列で指定します。

key value の型 value

`key`	`value` の型	`value`
`authenticationRequired`	Boolean	CHAP 認証の ON/OFF を設定します。 `true`: ON `false`: OFF
`username`	String	ユーザー名を指定します。
`password`	String	パスワードを指定します。指定したパスワードは、レスポンスには含まれません。また、SORACOM ユーザーコンソールで確認したり、`Group:getGroup API` で取得したりできません。

authenticationRequired

Boolean

CHAP 認証の ON/OFF を設定します。

true: ON
false: OFF

username String ユーザー名を指定します。

password String パスワードを指定します。指定したパスワードは、レスポンスには含まれません。また、SORACOM ユーザーコンソールで確認したり、Group:getGroup API で取得したりできません。

想定していない値を指定した場合の動作は、定義されていません。SORACOM CLI / SORACOM API で設定を変更したあとで、SORACOM ユーザーコンソールで意図通りに設定されていることを確認してください。