SORACOM Air for セルラーは、SORACOM IoT SIM を利用するデバイスに対して、セルラー通信の特徴を活かしたセキュリティを提供します。このページでは、どのように SORACOM Air for セルラーが通信の安全性を向上させるかについて、具体的な機能を交えて説明します。
SIM カードのセキュリティ
SIM (Subscriber Identity Module) は、安全かつ簡単に機器がセルラーネットワークへ接続できるようにするモジュールです。これを実現する 2 つの特徴が、不正防止に優れた UICC (Universal IC Card) と、その中に記録された認証情報とセルラーネットワークに接続するためのプログラムです。詳しくは、SIM とは? を参照してください。そのページでは、耐タンパ性 (IC チップ内の情報に不正な攻撃があった際もデータ読み取りや改ざんに強く、また複製が非常に困難な性質) や、SIM に記録されている認証情報についても簡単に説明されています。
IoT SIM の不正利用を防ぐ仕組み
SIM グループの CHAP 認証 や、IMEI ロック を利用して、IoT SIM の不正利用を防ぐことができます。
- SIM グループの CHAP 認証は、APN 設定のユーザー名およびパスワードをデフォルトの
soraから任意の文字列に変更する機能です。あらかじめ設定した任意の文字列とデバイスで設定した文字列が一致した場合にのみ、セッション を確立できます。 - IMEI ロックは、特定の端末だけが IoT SIM を利用できるようにする機能です。IoT SIM の IMSI (サブスクリプション固有の ID) と、意図したデバイスの IMEI (通信モジュールに付与されている固有の ID) を紐づけ、意図したデバイスで IoT SIM を利用する場合にのみ セッション を確立できます。
デバイスへの不正なアクセスを防ぐ仕組み
IoT SIM には、プライベート IP アドレスが割り当てられるため、攻撃者がインターネットを経由してデバイスに直接アクセスすることはできません。
デバイスに ping を送信するには
同様にプライベート IP アドレスが割り当てられているため、お客様のシステムからインターネットを経由して、デバイスに ping を送信することはできません。代わりに SORACOM からデバイスへの疎通確認 (ping 送信) 機能を提供しています。
デバイスから SORACOM までの通信を保護する仕組み
SORACOM Air for セルラーの IoT SIM を利用することで、デバイスから基地局~交換局までの通信は暗号化されます。また、交換局~SORACOM の間は閉域網で接続しています。そのため、デバイス~SORACOM の間の通信については、攻撃者による不正アクセス/盗聴などのリスクが軽減されます。
SORACOM からお客様システムまでの通信を保護する仕組み
SORACOM からお客様システムまでの経路については、以下で紹介するサービスと組み合わせることで、セキュリティを高めることができます。
プロトコル変換や TLS 暗号化を SORACOM で行う
SORACOM Beam などを利用すると、デバイスから送信されたデータに対して、プロトコル変換や TLS 暗号化などの処理を加えて任意の接続先に転送できます。仮に、デバイスが通信の暗号化 (HTTPS プロトコルなど) に対応していない場合でも、SORACOM Beam がプロトコル変換や TLS 暗号化などの処理を肩代わりすることで、SORACOM からお客様システムまでのセキュリティを確保できます。
ほかのお客様から分離されたネットワーク環境を利用する
Virtual Private Gateway (VPG)) を利用した IoT SIM やバーチャル SIM/Subscriber は、そのほかの IoT SIM などから分離されたネットワーク環境に接続します。VPG の機能を利用すると、以下のようなメリットがあります。
デバイスから送信したデータを SORACOM を経由してお客様のシステムに送信するケースでは、VPG の以下の機能を利用することで、データをセキュアに送信する仕組みを構築できます。
- IoT SIM を利用したデバイスの接続先を制限できます。詳しくは、VPG に所属するデバイスの通信先を制限する機能 を参照してください。
- VPG からお客様のシステムに送信するパケットの送信元 IP アドレスを固定できます。送信元 IP アドレスを固定することで、お客様のシステムにおいて IP アドレスを基準としたフィルタリングを設定できます。詳しくは、固定グローバル IP アドレスオプション を参照してください。
Virtual Private Gateway (VPG)) と以下のサービスを組み合わせることで、デバイスとお客様システムを閉域網で接続できます。
- SORACOM Canal (AWS 環境とのプライベート接続サービス)
- SORACOM Direct (専用線接続サービス)
- SORACOM Door (仮想専用線接続サービス)
また、SORACOM Gate を利用することで、SORACOM Air で接続されたデバイスとのデバイス LAN 接続も実現できます。