SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
•
7 likes•3,047 views
SORACOM Conference Discovery 2017 A1. IoTセキュリティの選択肢 ゲストスピーカー 東京大学 大学院情報学環 大学院学際情報学府 教授 中尾 彰宏氏 トレンドマイクロ株式会社 IoT事業推進本部ソリューション推進部 津金 英行氏 スピーカー 株式会社ソラコム 最高技術責任者 安川 健太 株式会社ソラコム ソフトウェアエンジニア 福島 拓 セッション概要 IoTシステム導入の課題のひとつであるセキュリティ。本セッションでは、IoTシステムにおけるセキュリティリスクと、SORACOMサービスによる解決方法をご紹介します。
Report
Share
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
- 1. 2017 July 5th IoT通信の監視・制御・セキュリティの選択肢 トレンドマイクロ株式会社 IoT 事業推進本部 ソリューション推進部 津金 英行 様 東京大学 大学院情報学環 大学院学際情報学府 教授 中尾 彰宏 様 株式会社ソラコム ソフトウェアエンジニア 福島 拓 株式会社ソラコム CTO 安川 健太 ~SORACOM Junctionの活用~
- 2. Platinum Gold Silver Thanks to our Sponsors LPWA
- 4. SORACOMのネットワークサービス The Internet VPG IoTバックエンド お客様のシステム • Amazon VPCとプライベート接続 SORACOM Canal • プライベートクラウドと専用線/VPN接続 SORACOM Direct/Door • デバイスとサーバを単一の仮想L2サブネットに接続 SORACOM Gate Virtual Private Gateway (VPG)を通してお客様のシステムと接続
- 8. パケットのコピーを指定の 宛先に転送 SORACOM Junction: VPGに追加される3つのトラフィック処理機能 Inspection Mirroring Redirection パケットフローを解析して 統計情報を出力 パケットを指定の ゲートウェイ経由で転送 VPG D VPG VPG
- 10. パケットのコピーを指定の 宛先に転送 SORACOM Junction: VPGに追加される3つのトラフィック処理機能 Inspection Mirroring Redirection VPG パケットフローを解析して 統計情報を出力 D VPG VPG パケットを指定の ゲートウェイ経由で転送
- 11. • VPGを通過するトラフィックの統計情報をレポート SORACOM Junction: Inspection The Internet VPG 13 2 IoTバックエンド お客様のシステム 各種クラウドサービス 可視化 トラフィックの 統計情報 プロトコル解析& アプリケーション分類
- 12. • パケットのコピーをお客様のパケット解析エンジンに転送 SORACOM Junction: Mirroring The Internet VPG Mirroring 13 2 13 2 トラフィックの本線 異常検知 侵入検知 IoTバックエンド お客様のクラウド パケットを コピー&転送
- 15. •Junction: Inspection • Elastic様 • Elastic Cloud, ElasticsearchおよびKibanaによる可 視化 •Junction: Mirroring • Acroquest様 • TorrentioFlowの機械学習による異常検知、通知 Junctionパートナーソリューション例
- 16. SORACOM Junction: Inspection The Internet VPG 13 2 トラフィックの本線 IoTバックエンド お客様のシステム プロトコル解析& アプリケーション分類Junction: Inspection Amazon Kinesis Stream AWS Lambda
- 17. SORACOM Junction: Mirroring The Internet VPG パケットをコピー コピー転送 13 2 13 2 トラフィックの本線 IoTバックエンド • 個別フローのリアルタイム分析・可視化 • 機械学習による異常検知・リスク分析 • 異常の通知 TorrentioFlow Junction: Mirroring
- 18. Junction: Mirroring SORACOM Junction: Mirroring The Internet VPG パケットをコピー コピー転送 13 2 13 2 トラフィックの本線 IoTバックエンド • 個別フローのリアルタイム分析・可視化 • 機械学習による異常検知・リスク分析 • 異常の通知 TorrentioFlow 異常検知の結果を 分かりやすく可視化 異常な通信データ SIMごとの通信状況を 一目で確認できる
- 19. パートナーソリューションと組み合わせることで、 自由な分析や可視化が可能になります。 Junctionを利用したパケット解析 The Internet VPG パケットをコピー コピー転送 13 2 13 2 トラフィックの本線 IoTバックエンド • 個別フローのリアルタイム分析・可視化 • 機械学習による異常検知・リスク分析 • 異常の通知 TorrentioFlow The Internet VPG 13 2 トラフィックの本線 IoTバックエンド お客様のシステム プロトコル解析& アプリケーション分類Junction: Inspection Amazon Kinesis Stream AWS Lambda
- 23. • デバイスに物理的にアクセスして悪用されるリスク • デバイス側にマルウェア等が仕込まれることのリスク 残るセキュリティ上の課題 デバイスにマルウェア を仕込もう 情報漏えい 第3者への攻撃加担 閉域網への侵入 IoTバックエンド お客様のシステム
- 25. SORACOM Conference “Discovery” 2017 トレンドマイクロ IoTセキュリティ 2017年7月5日 トレンドマイクロ株式会社 IoT事業推進本部 ソリューション推進部 津金 英行
- 26. Copyright © 2017 Trend Micro Incorporated. All rights reserved.26 デジタルインフォメーションを 安全に交換できる世界の実現 トレンドマイクロのビジョン
- 27. 27 Copyright © 2017 Trend Micro Incorporated. All rights reserved. IoTのセキュリティ脅威事例 https://www.wired.com/2016/08/jeep- hackers-return-high-speed-steering- acceleration-hacks/ 高速で走る自動車へ遠隔 からの攻撃で、ハンドル やブレーキシステムを制 御することが可能なこと を実験で証明 市販されている建物の リモート管理システムの 脆弱性をつき、警報やドア ロックのすべての機能が 遠隔から制御可能なことを 実験で証明 http://blog.trendmicro.com/let-get-door- remote-root-vulnerability-hid-door- controllers/ 米国でネットにつないだ ベビーモニターから 見知らぬ人の声で突然 幼児に話しかける http://kdvr.com/2015/04/21/couple- whose-baby-monitor-was-hacked-has- message-for-other-families/ http://thehackernews.com/2017/01/r ansomware-hotel-smart-lock.html オーストリアのホテルで客 室の電子カードキー シス テムがランサム ウェア に感染、宿泊客 を部屋か ら閉め出し ホテルの電子カードキーシステム 建物のドア開閉&防犯システム ベビーモニター&監視カメラ 自動車のハッキング
- 28. 28 Copyright © 2017 Trend Micro Incorporated. All rights reserved. 1Tbps -14.5万台のIoT機器- 5万/秒 HTTPリクエスト -2.5万台監視カメラ- 10月21日 Dyn 9月20日 KrebsOnSecurity 2016年 6月 8月 IoT機器を悪用するDDoS攻撃 75万通 スパムメール -冷蔵庫など- Mirai ソースコード 公開9月21日 OVH 2014年 12万/秒 HTTPSリクエスト -4.7万台の監視カメラ, ホームルータ, サーバなど- 620Gbps DDoS攻撃 -18万台のIoT機器- 1.2Tbps -���10万台のIoT機器- 感染デバイスがボット化し サイバー攻撃に悪用されるケースも 利用企業が、被害者から 加害者になるビジネスリスク
- 29. 29 Copyright © 2017 Trend Micro Incorporated. All rights reserved. なぜIoT機器が狙われるのか 常時接続 • 365日24時間接続可能 脆弱性 • 複数の攻撃ポイント • 侵入が比較的容易 • セキュリティ対策が 不 十分な機器が多い 管理者不在 • 未アップデート機器が多 い • アフターサービスが未熟 な製品が存在 24/7 365 低コスト $ • IoT機器のボット化は PCよりも攻撃の 費用対効果が高い
- 30. 30 Copyright © 2017 Trend Micro Incorporated. All rights reserved. 閉域接続なら安全? 閉域でも内部からの脅威発生リスクあり • デバイス製造段階でのセキュティ脅威の混入 • オフラインでの侵入(外部メディア接続、持ち込み端末等) しかし、個々のデバイスでの対策には限界あり • 多種多様 • 大量、広域に展開 • 限られたリソース(プロセッサ、メモリ等)
- 31. 31 Copyright © 2017 Trend Micro Incorporated. All rights reserved. ソラコム x トレンドマイクロ セキュアIoTプラットフォーム • プライベート接続 • デバイス認証、暗号化 等 X ネットワークセキュリティ技術 • セキュリティ脅威検出 • 不正サイトアクセス検知 等 より高度で効果的なIoTセキュリティの実現
- 32. 32 Copyright © 2017 Trend Micro Incorporated. All rights reserved. VPG Junction トレンドマイクロ セキュリティVNF ソラコムユーザ様の通信トラフィックに潜む セキュリティ脅威の可視化・制御が可能に! 交換局基地局 IoTデバイス お客さまの システムパケットの ミラーリング SORACOM Junction x トレンドマイクロ セキュリティVNF *VNF :Virtual Network Function (仮想化ネットワーク機能)
- 33. 33 Copyright © 2017 Trend Micro Incorporated. All rights reserved. Telecom Network / Cloud Virtualization Layer Intrusion Prevention URL Filtering Application Control セキュリティVNF* Hardware Resource ... ServicesEnd-Users *VNF : Virtual Network Function NFVおよびクラウド環境向け仮想化ネットワークセキュリティ機能 トレンドマイクロ セキュリティVNF
- 34. 34 Copyright © 2017 Trend Micro Incorporated. All rights reserved. 侵入防御 • 侵入防止システム (IPS) により、脆弱 性を狙った通信を検知/ブロック Web脅威対策 • 不正Webサイトへのアクセスをブロッ ク、不正プログラムの感染、詐欺サイ トや改ざんサイトへのアクセスを防止 アプリケーション制御 • アプリの利用状況を可視化、許可され ていないアプリの実行を防止 トレンドマイクロ セキュリティVNF 提供機能
- 35. 35 Copyright © 2017 Trend Micro Incorporated. All rights reserved. トレンドマイクロ セキュリティVNF デモ トラフィック中のセキュリティ脅威検出をトリガーにした自動通信遮断 VPG Junction トレンドマイクロ セキュリティVNF 交換局基地局カメラデバイス Internet 1. SORACOM SIMの入った カメラデバイスが定期的に 画像撮影、アップロード 2. Internetを介して 画像をモニタ 3. デバイスが不正サイト にアクセス、マルウェ アをダウンロード 4. セキュリティVNFが 不正アクセスを検出 SORACOM API 5. SORACOM APIを通じて 不正アクセスを受けたデバ イスのSIMを休止指示 6. 当該SIMの休止 を実行 7. 回線断、 画像アップロード停止 No Image
- 36. 36 Copyright © 2017 Trend Micro Incorporated. All rights reserved. 新しいIoTセキュリティサービスを お試しいただけます! SORACOM Junction X トレンドマイクロ セキュリティVNF ぜひお問い合わせください!
- 37. 37 Copyright © 2017 Trend Micro Incorporated. All rights reserved. デバイス組み込み型 セキュリティSDK トレンドマイクロ IoTセキュリティソリューション セキュリティVNF SORACOM Discovery: トレンドマイクロ ブース展示
- 38. Copyright © 2017 Trend Micro Incorporated. All rights reserved.38 Thank you X TRENDMICRO、TREND MICRO、ウイルスバスター、InterScan、INTERSCAN VIRUSWALL、InterScanWebManager、InterScan Web Security Suite、PortalProtect、Trend Micro Control Manager、Trend Micro MobileSecurity、VSAPI、 Trend Park、Trend Labs、Network VirusWall Enforcer、Trend Micro USB Security、InterScan Web Security Virtual Appliance、InterScan Messaging Security Virtual Appliance、Trend Micro Reliable Security License、TRSL、Trend Micro Smart Protection Network、SPN、SMARTSCAN、Trend Micro Kids Safety、Trend Micro Web Security、Trend Micro Portable Security、Trend Micro Standard Web Security、Trend Micro Hosted Email Security、Trend Micro Deep Security 、ウイルスバスタークラウド、スマートスキャン、Trend Micro Enterprise Security for Gateways、Enterprise Security for Gateways、Smart Protection Server、Deep Security、ウイルスバスター ビジネスセキュリティサービス、SafeSync、 Trend Micro InterScan WebManager SCC、Trend Micro NAS Security、Trend Micro Data Loss Prevention、Securing Your Journey to the Cloud、Trend Micro オンラインスキャン、Trend Micro Deep Security Anti Virus for VDI、Trend Micro Deep Security Virtual Patch、SECURE CLOUD、Trend Micro VDIオプション、おまかせ不正請求クリーンナップサービス、Deep Discovery、TCSE、おまかせインストール・バージョンアップ、Trend Micro Safe Lock、Deep Discovery Inspector、Trend Micro Mobile App Reputation、Jewelry Box、InterScan Messaging Security Suite Plus、おもいでバックアップサービス、おまかせ!スマホお探しサポート、保険&デジタルライフサポート、おまかせ!迷惑ソフトクリーンナップ サービス、InterScan Web Security as a Service、Client/Server Suite Premium、Cloud Edge、Trend Micro Remote Manager、Threat Defense Expert、Next Generation Threat Defense、Trend Micro Smart Home Network、Retro Scan、 is702、デジタルライフサポート プレミアム、Airサポート、Connected Threat Defense、ライトクリーナー、Trend Micro Policy Manager、フォルダシールド、トレンドマイクロ認定プロフェッショナルトレーニング、Trend Micro Certified Professional、およびTMCPは、トレンドマイクロ株式会社の登録商標です。
- 41. パケットのコピーを指定の 宛先に転送 SORACOM Junction: VPGに追加される3つのトラフィック処理機能 Inspection Mirroring Redirection VPG パケットフローを解析して 統計情報を出力 D VPG VPG パケットを指定の ゲートウェイ経由で転送
- 42. • パケットを指定のゲートウェイ経由で転送 SORACOM Junction: Redirection The Internet VPG トラフィックの本線 13 2 IoT バックエンド お客様のクラウド フィルタ・解析 ・帯域制御 パケットの 経路を変更
- 43. 東京大学 大学院情報学環 大学院学際情報学府 教授 中尾 彰宏 様
- 45. IoT MVNO における課題 • トラフィック計測・解析はフローで識別するのが従来 • 今後は、より詳細にアプリ・サービス毎で識別することが重要 • 通信コストの削減 • セキュリティ トラフィックの詳細解析による通信利用の最適化
- 46. FLARE x Soracom Junction Programmabl IoT Gateway (bands) (watch) (glasses) (Smart phones) VPG VPC
- 47. Programmable IoT Gateway 3G/LTE/WiFi/BLE/GPS/ジャイロ/加速度 LoRa WAN対応予定(2017/8) Raspberry Pi Zero W 対応予定(2017/8)
- 51. 網内アプリケーション同定の実験
- 53. 従来のデータ収集・解析 受動的データ収集 データ解析 投機的データ収集・解析 投機的データ収集 教師データ生成 リアルタイムで教師データを生成するため 有用なサンプルが発するデータにアノテーション付加 投機的サンプリング 機械学習 母集団 データ解析 データソース データソース データソース 投機的データ収集の必要性 Speculative Data Collection
- 54. IoT MVNO の今後 • アプリケーション毎のトラフィック制御 • セキュリティ • 通信コスト削減・最適化 • アプリケーション同定(機械学習・AI) • 網内機械学習によるトラフィック最適化と制御自動化 • 「考えるネットワーク」(In-Network Deep Learning) • MVNOのためのエッジコンピューティング
- 55. • 一定間隔でトラフィックを収集・分類し て統計情報を計算 • 出力はJSONフォーマット • SORACOM Funnelが対応するサービス に出力 • サービス • リソースID • クレデンシャル Inspectionの動作詳細 Inspection VPG これらをFunnel同様に 設定すれば出力開始 各種クラウドサービス
- 56. • Canal / Direct / Door接続された ホストをMirroring Peerとして追加 • 2ホストまで登録可 • コピーされたパケットはGREでカプセル化さ れて届く • Mirroring PeerはGREを受信できるように設定 することでトラフィックをモニタリング可 Mirroringの動作詳細 Mirroring D VPG Mirroring Peer 1 Mirroring Peer 2 1 G R E 3 G R E 2 G R E 13 2 元のパケット Mirroring Peerが受け取るパケット
- 57. • 仮想L2サブネット上のPeerをGatewayとし てパケットを転送 • vxlanに対応 • 指定できるGateway Peerは1つ • トラフィック制御点を1つに • 障害対応はスタンバイノードへの アドレス付け替えで可 Redirectionの動作詳細 Redirection VPG Gateway VPG Gateway = 10.0.0.1 10.0.0.1 VPG
- 59. •SORACOM Junctionの3つの機能を紹介 • Inspection: 統計情報のレポート • Mirroring: トラフィックのコピーを転送 • Redirection: トラフィックの向き先を変更 おわりに SORACOM上のシステムのOperatorである皆様 トラフィックを自由自在に操って新たな世界を