はじめに
「Shizen Connect」は蓄電池・EV・エコキュートなどのエネルギー機器をIoT/AI技術で制御し、その制御価値の電力市場取引などを行うエネルギー管理システムです。
エネルギー管理システムでは、高いセキュリティ要件をクリアすることが求められますが、IoTのシステムの特性上、エッジデバイスは様々な環境に設置されることから、セキュリティ要件の順守は難しくなります。
株式会社 Shizen Connect では、SORACOM社のサービスを用いて、セキュリティ要件をクリアしつつ、多数のエッジデバイスをコントロールしています。その方法についてご紹介します。
1. エネルギー管理システム「Shizen Connect」のエッジ、クラウド間の通信要件
- Shizen Connectでは、エッジデバイスの「Shizen Box」の対向は、AWS上に構築しています。
- Shizen Boxからの情報集信とShizen Boxへの指令配信の双方向を通信をMQTTプロトコルを用いて実現しています。AWS側のMQTTブローカにAWS IoT Coreを使用しています。
- Shizen Boxのファームウェアアップデートは、OTA(Over The Air)で実現しており、ファームウェアはAWS S3に格納しています。
- Shizen BoxからAWSまでの通信経路は通常、閉域網接続となるLTE通信を用いています。
2. Shizen Boxのセキュリティ要件
- Shizeon BoxからAWSまでの通信経路におけるセキュリティ要件を以下の表に記載します。
- Shizen Boxは、経済産業省とIPAが主導するIoT製品のセキュリティラベリング制度で、広範なIoT機器が満たすべきセキュリティ要件を定めた基準である「JC-STAR☆1」を取得しています。
- 当該セキュリティ要件は、JC-STAR☆1で求められるセキュリティ要件に重複する内容となっており、一般的なIoT製品のセキュリティ要件に当てはまるものになっています。
| # | セキュリティ要件 | 課題 |
|---|---|---|
| 1 | クライアント証明書のセキュアな管理 | AWS IoT Core への接続に必要なクライアント証明書をエッジ毎に管理すると煩雑になる。また、エッジに証明書を配置すること自体がセキュリティリスクになる。 |
| 2 | セキュアな通信経路の確立 | 設置場所の電波状況によっては LTE 接続が困難な場合がある。その場合も LTE と同等のセキュアな方法で AWS まで接続したい。 |
| 3 | Internet out の制限 | Shizen Box からのインターネットアウト通信を制限し、外部への情報漏洩リスクを低減したい。 |
| 4 | セキュアな運用接続の実現 | 運用作業のために、セキュアな方法で SSH 接続を実現したい。 |
3. SORACOMサービスを用いた実現方式
3.1. クライアント証明書のセキュアな管理
- SORACOM Beamを用いて実現しました。
- SORACOM Beamでは、AWS IoT Coreの接続に必要なクライアント証明書をSORACOM側で管理することができ、エッジデバイス毎に配置する必要がありません。Beamの採用により、エッジデバイスからのクライアント証明書流出防止を実現できます。
3.2. セキュアな通信経路の確立
- SORACOM Arc を用いて実現しました。
- Arcは、SORACOMのWireguardマネージドサービスで、Wireguardのクライアント鍵をSORACOM Virtual SIMの形で管理してくれます。ArcによりShizen BoxのローカルネットワークからSORACOM Arc ServerまでWireguard接続します。SIM認証によりSORACOM接続のセキュティを担保するLTEルートと同等のセキュリティレベルを実現できます。
3.3. Internet outの制限
- SORACOM Private Gardenの導入して、インターネットアウトの通信を遮断しました。
- 併せて、S3へのアクセスについても、インターネット経由のアクセスから、SORACOM Beam経由でアクセスする方式に変更しました。
実現方式検討
- Internet out の制限は、SORACOM VPGでも実現可能です。セキュリティ、運用/可用性、コストで比較して、特にVPGは追加費用がかかることから Private Garden を採用しました。
| No | 実現方式概要 | セキュリティ | 運用/可用性 | コスト |
|---|---|---|---|---|
| 1 | Private Gardenの導入して、インターネットアウトの通信を遮断する。AWS S3までのアクセスをBeam経由にする。 | ◎ データ持ち出しのリスクは無くなる。 |
○ 運用対処が不要。 可用性の面では、マネージドサービスであり、問題ない。 |
△ ・Private Gardenは追加費用なく使用可能。 ・S3へのアクセス分のSORACOM Beamの費用がかかる。 |
| 2 | VPGを導入し、送信先フィルタリングの設定を入れ制限する。 | ○ データ持ち出しのリスクは低減できる。宛先は、AWS S3サービスまでの絞り込みになるため、完全ではない。 |
△ 運用面で、AWS S3のIPアドレス変更時に運用対処が必要。 可用性の面では、マネージドサービスであり、問題ない。 |
× VPGの追加コストが必要。 |
3.4. セキュアな運用接続の実現
- Shizen BoxへのセキュアなSSHアクセスををSORACOM Napterを用いて実現しました。
- Napterにより、運用者毎の認証をSORACOMログインで担保することができ独自にカスタマイズする必要がないことに加えて、Shizen Box側も、インターネットからのSSHアクセスを開ける必要がなく、外部からの攻撃リスクを減らすことができます。
4. 実現方式全体像
IoTシステムにおいて、SORACOMのサービスを用いてセキュリティ要件をクリアした事例をご紹介しました。同様にIoTシステムのセキュリティ実現方式を検討中の方々の参考になれば幸いです。