アクセス制御の徹底
◼ OSおよびソフトウェア
セキュリティアップデートの迅速な適用 カーネルやランタイムの長期サポート
不正書き込み防止エージェントの組み込み
Plat’Home Co., Ltd.
ゲートウェイで行うセキュリティ施策
◼
ハードウェアTPM セキュアブートや証明書発行
Intel SDOに対応したCPUを搭載 ( VX2 )
Plat’Home Co., Ltd.
ゲートウェイで行うセキュリティ施策
◼
セキュリティパッケージの導入McAfee Embedded Control
ホワイトリスト型の実行プログラム制御
メモリー制御によるプロセス乗っ取り等からの保護
FA関係
ネットワーク構成図のすべてを把握できていないケースが多く、
エッジデバイスの保護はなるべくエッジに近い領域で保護 交通関係
イーサネット等オープンな規格でつながることが増えている。重要インフラでは多層 防御が必須の考え方であり認証、ネットワーク保護以外にエッジ領域の保護も必要
Plat’Home Co., Ltd.
◼
無線型デバイス接続における認証 経路暗号化
データの難読化
デバイス特定の防止
( ランダムデバイスIDなど )
デバイスプロビジョニング( MS Sphereなど )
◼
有線型物理的なタッピングの防止など
USBストレージなどからの不正書き込み、自動実行の抑止
デバイスサイドで行うセキュリティ施策
Plat’Home Co., Ltd.
各サービスにおけるセキュリティ施策
◼ AirManage2 ゲートウェイ監視サービス
GWからの接続のみですべてのサービスを提供 (GWのポートを一切解放しない)
管理コンソールにおける二段階認証の利用
Microsoft AzureによるSaaSサービスの提供
◼ DEXPF IoTデータ交換基盤
Microsoft Azureによるサーバレスアーキテクチャの採用
セキュアなAPI操作アクセスコントロール 不正接続の抑止 経路暗号化
監視サービス
Plat’Home Co., Ltd.
セキュリティを考慮した運用設計
要件による構成の違い
◼
通信系LAN/WiFi Internet/Intranet 3G/4G/etc
広域網/ 閉域網 LPWA public / private
広域網を通る場合、経路暗号化するかVPN/VLANを構成するか
閉域網、Intranetの場合、組織内からの不正アクセスなどをどの程度脅威とみるか
Plat’Home Co., Ltd.
要件による構成の違い
◼
ゲートウェイ運用場所(屋外/屋内)、立ち入り制限 アクセス手段、データ交換手段の有無 設定などのためのバックネットの有無
◼
デバイスデータやデバイスIDの秘匿性
運用場所(屋外/屋内)、立ち入り制限 無線を利用する場合の到達距離
設定やアップデートのためのバックネットや通信手段の有無 デプロイするデバイスの数
Plat’Home Co., Ltd.
要件による構成の違い
◼
サービスオンプレかクラウドか
利用するクラウドのアーキテクチャ
閉域運用のみか、広域を含めた運用か クライアント環境
データの秘匿性や権限
運用するリソースと要求されるサービスレベル
SaaSやパッケージの利用か独自開発か
Plat’Home Co., Ltd.
要件による構成の違い
◼
コスト安全、品質や信頼性のためのコストなのか サービスの対価としてのコストなのか
Plat’Home Co., Ltd.
まとめ
本格的なビックデータ活用に向けてIoTデバイスおよびデータが急増する中で、よりコス ト効果の高いシステムを構築するには、従来の様な都度設計ではなく、標準化されたツ ールやパッケージ、汎用的に利用できるハードウェアを選択することが、市場の拡大に 伴い重要となります。
セキュリティもシステム設計上のコストであり、プライオリティの設定も変わります。
セキュリティを幅広く強化するには、その場限りの対応ではなく、専門知識の豊富なセキ ュリティベンダーによるより効果的・効率的なサービス投入が期待されます。
Plat’Home Co., Ltd.
さいごに
Plat’Home Co., Ltd.
TED とぷらっとホームは共同で IoT
活用企業のセキュアなIoT
システム構築を支援する体 制を整え推進します。TED の提供するクラウドサービス(Microsoft Azure)、セキ ュリティ(マカフィー)、組み込 み技術と、ぷらっとホームの
IoT
ゲートウェイ(OpenBlocks® IoT Family)やデバイスマネジメント(AirManage™ 2) の強みを生かし、
セキュアな