IoT SIM は、利便性を考慮して任意のデバイスで利用できるようになっています。一方で、IoT SIM が盗難されるなど、意図しないデバイスで不正に利用されるリスクもあります。
そこで、特定の端末だけが通信できるようにするために、IoT SIM の IMSI (サブスクリプション固有の ID) と、意図したデバイスの IMEI (通信モジュールに付与されている固有の ID) を紐づけ、意図したデバイスで IoT SIM を利用する場合にのみ セッション を確立できるように設定できます。これを、IMEI ロックと呼びます。
通信キャリアによっては IMEI ロックが意図したとおりに動作しない場合があります
IMEI ロックでは、セッション確立時に通信キャリアから通知される IMEI を元に、セッション確立の可否を判定しています。
しかし、通信キャリアによっては、セッション確立時に IMEI が通知されず、ユーザーコンソールで IMEI ロックを設定する際、 に 000000000000000 と表示される場合があります。そのような通信キャリアを利用しているときに、デバイスの IMEI を正しく指定して IMEI ロックを設定すると、IMEI が一致することがないため常にセッションが確立されません。
IMEI ロックを利用する場合は、通信キャリアから IMEI が正しく通知されること、また、IMEI ロックを設定した状態でも通信できることを確認してください。
CHAP 認証と IMEI ロック
CHAP 認証と IMEI ロックはどちらも、利用するデバイスを制限する機能です。どちらの機能を利用しても、IoT SIM をほかのデバイスで転用することを防げます。以下のように使い分けてください。
| 機能 | 説明 |
|---|---|
| CHAP 認証 | IoT SIM を利用できるデバイスを、ユーザー名およびパスワードが正しく設定されたデバイスに限定します。ユーザー名とパスワードを正しく設定した複数のデバイスで利用できます。詳しくは、CHAP 認証で任意のユーザー名とパスワードを利用する (SIM グループの CHAP 認証) を参照してください。 |
| IMEI ロック | IoT SIM を利用できるデバイスを、指定した IMEI を持つデバイス に限定します。特定の 1 個の通信モジュールでのみ利用できます。 |
IMEI ロックの判定はセッション確立時に行われます
オンラインの IoT SIM に対して IMEI ロックを設定した場合は、セッションの状態は変化しません。IMEI ロックの判定は、次回セッションを確立する際に行われます。セッションを確立し直すには、セッションを切断 したり、デバイスを再起動したりします。
IoT SIM の盗難リスクへの対処
- SORACOM では設定したデバイス以外での通信を拒否する IMEI ロック機能 を利用できます。はじめて通信を開始したデバイスに対して IMEI ロックを設定するアクション が提供されています。
- IMEI ロックを設定した IoT SIM が、未登録の IMEI を持つデバイスで接続を試みて通信エラーになったときに実行されるアクションも提供されています。詳しくは、サブスクライバー / IoT SIM が IMEI ロックにより接続失敗したら実行 を参照してください。
IMEI ロックを設定する
IMSI と IMEI を紐づけて、IMEI ロックを設定します。
- あらかじめ IoT SIM を利用するデバイスの電源を入れてセッションをオンラインにしてから以下の手順を行うと、IMEI の入力を省略できます。
- IMEI ロックを設定したデバイスが意図せずにオンラインにならない場合は、一度 IMEI ロックを解除 して IoT SIM をオンラインにしてから、IMEI ロックを設定し直してください。
ユーザーコンソール にログインし、IMEI ロックを設定する IoT SIM にあわせてカバレッジタイプを変更します。
たとえば、plan01s の IoT SIM に IMEI ロックを設定する場合は、グローバルカバレッジの表示に変更します。詳しくは、SORACOM ユーザーコンソールで表示するカバレッジタイプを変更する を参照してください。
→ → の順にクリックします。
SIM 管理画面が表示されます。
IMEI ロックを設定する IoT SIM にチェックを入れ、 → の順にクリックします。
IMEI ロック画面が表示されます。
以下の項目を設定します。
項目 説明 - IoT SIM のセッションがオンラインの場合は、IoT SIM を取り付けたデバイスの IMEI が自動的に入力されます。
000000000000000が入力されている場合は、通信キャリアから IMEI が通知されていません。 - IMEI が自動的に入力されていない場合は、IoT SIM を取り付けるデバイスの IMEI を入力します。
手順 3 で複数の IoT SIM にチェックを入れた場合は、各 IoT SIM を取り付けたデバイスの IMEI が自動的に入力されます。
設定によって、セッションが確立できる条件が異なります。
設定 に入力した IMEI が通信キャリアから通知された 通信キャリアから IMEI が通知されない (*1) チェックを入れる セッションが確立できる セッションが確立できる チェックを外す セッションが確立できる セッションが確立できない - (*1) 普段は通信キャリアから IMEI が通知されているにも関わらず、何らかの原因で IMEI が通知されないことがあります。
- IoT SIM のセッションがオンラインの場合は、IoT SIM を取り付けたデバイスの IMEI が自動的に入力されます。
をクリックします。
SIM 管理画面で、IoT SIM の に錠のアイコンと IMEI が表示されます。
IMEI ロックを解除する
IMEI ロックを解除すると、任意のデバイスで IoT SIM を利用できます。
ユーザーコンソール にログインし、IMEI ロックを解除する IoT SIM にあわせてカバレッジタイプを変更します。
たとえば、plan01s の IoT SIM に IMEI ロックを解除する場合は、グローバルカバレッジの表示に変更します。詳しくは、SORACOM ユーザーコンソールで表示するカバレッジタイプを変更する を参照してください。
→ → の順にクリックします。
SIM 管理画面が表示されます。
IMEI ロックを解除する IoT SIM にチェックを入れ、 → の順にクリックします。
確認画面が表示されます。
をクリックします。
SIM 管理画面で、IoT SIM の にグレーの錠のアイコンが表示されます。
SORACOM CLI / SORACOM API の場合
- SORACOM CLI を利用する場合は、
soracom sims set-imei-lockおよびsoracom sims unset-imei-lockを使用します。 - SORACOM API を利用する場合は、
Sim:setSimImeiLock APIおよびSim:unsetSimImeiLock APIを使用します。