AWS IoT Device Defender

IoT デバイスのセキュリティ管理

AWS IoT Device Defender は、IoT デバイスの保護に役立つ完全マネージド型サービスです。AWS IoT Device Defender は、デバイスに関連付けられたセキュリティポリシーを継続的に監査して、セキュリティのベストプラクティスから逸脱していないことを確認します。セキュリティポリシーは、他のデバイスやクラウドとの通信時に、情報を保護するためにデバイスが従う、一連の技術的コントロールです。AWS IoT Device Defender により、デバイス ID の確認、デバイスの認証と許可、デバイスデータの暗号化といったセキュリティポリシーの維持や適用を簡単に行えるようになります。AWS IoT Device Defender では、事前定義された一連のセキュリティのベストプラクティスに対して、デバイスのセキュリティポリシーが継続的に監査されます。AWS IoT Device Defender では、複数のデバイス間で ID 証明書が共有されている、失効した ID 証明書を使ってデバイスが AWS IoT Core に接続を試みている、といったセキュリティリスクが発生する可能性があるポリシーのギャップが検知されると、アラートが送信されます。

AWS IoT Device Defender を使用すると、デバイスごとに適切な動作として定義した動作から逸脱した動作がないか、デバイスをモニタリングすることもできます。正常でない場合は、AWS IoT Device Defender からアラートが送信されるため、問題を修復するためのアクションを実行できます。  例えば、アウトバウンドトラフィックのトラフィックスパイクは、デバイスが DDoS 攻撃に関与している可能性を示しています。

AWS IoT Device Defender は、AWS IoT コンソールAmazon CloudWatchAmazon SNS にアラートを送信できます。アラートに基づいてアクションを実行する必要があると判断した場合は、AWS IoT Device Management サービスを使用して、セキュリティの修正をプッシュするといった緩和措置を実行できます。

利点

セキュリティの脆弱性についてデバイス設定を監査する

AWS IoT Device Defender では、定義された一連の IoT セキュリティのベストプラクティスに対して、デバイスに関連付けられたセキュリティポリシーが監査されるため、セキュリティギャップが存在する場所を正確に把握できます。監査は、継続的またはその場限りで実行できます。AWS IoT Device Defender には、監査の一部として選択して実行できるセキュリティのベストプラクティスが含まれています。例えば、7 日未満の転送で無効、失効済み、有効期限切れ、保留中の ID 証明書を確認する監査を作成できます。監査により、デバイス設定が変更しても継続的にセキュリティポリシーをモニタリングできます。

異常を識別するためにデバイス動作を継続的にモニタリングする

AWS IoT Device Defender では、受信するデバイスメトリクスやデータをモニタリングし、定義した予期されるデバイス動作と比較することで、デバイスへの侵害の可能性を示すデバイス動作での異常が検知されます。例えば、AWS IoT Device Defender で、デバイスで開くポート数、デバイスで話しかけることができる人物、接続元、データの送受信量を定義できます。これにより、デバイストラフィックがモニタリングされ、デバイスから既知の不正な IP や承認されていないエンドポイントへのトラフィックといった異常が発生すると、アラートが送信されます。

アラートの受信とアクションの実行

AWS IoT Device Defender は、セキュリティポリシー監査に不合格な場合や動作異常が検知された場合、AWS IoT コンソール、Amazon CloudWatch、Amazon SNS にセキュリティアラートをパブリッシュします。このため、根本原因を調査し、特定できます。例えば、AWS IoT Device Defender では、デバイス ID が長期間使用されていない場合やデバイス ID で機密性の高い API にアクセスしている場合、アラートを送信できます。また、AWS IoT Device Defender コンソールでは、アクセス権限の取り消し、デバイスの再起動、工場出荷時のデフォルトへのリセット、すべての接続デバイスへのセキュリティ修正のプッシュといった、セキュリティ問題の影響を最小限に抑えるための推奨アクションを確認することもできます。その後、AWS IoT Device Management サービスを使用して、希望するアクションを実行できます。

仕組み

仕組み – AWS IoT Device Defender

ユースケース

コネクテッドホーム

家の持ち主は、ネットワークやホームのオートメーションアプリーションに含まれているデフォルトのパスワードを使用している場合が多いため、スマート照明、サーモスタット、鍵はハッカーのターゲットになります。AWS IoT Device Defender を使用すると、コネクテッドホームへの接続試行が監査され、データ元が承認されていないエンドポイントである場合、アラートを送信できます。その後、AWS IoT Device Management を使用して、コネクテッドホームのデバイスでクラウドリソースの使用を防止できます。

ヘルスおよびフィットネス

消費者やヘルスケアのプロフェッショナルは、健康向上のために、フィットネストラッカー、ハートモニタ、スマートウォッチといった着用可能な接続デバイスを使用しています。このようなデバイスは、強力なデバイスセキュリティを提供するよりも、使いやすさを重視して設計されている場合があります。AWS IoT Device Defender を使用すると、セキュリティのベストプラクティスのリストから選択して、セキュリティのベストプラクティスに対してウェアラブルデバイスを監査できます。例えば、監査では、ウェアラブルデバイスで膨大なクラウドリソースへのアクセスを許可しているといった、過度に制限がないデバイスポリシーのレポートや、ウェアラブルデバイスが長期間アイドル状態である場合のレポートを行います。

石油およびガス

IoT アプリケーションは、石油およびガス産業では、機器故障の予測、地震波の測定地のモニタリング、特定の油井の採掘現場での埋蔵量予測に使用されています。特に、環境条件、従業員の安全、機器の状態といった機密性の高い IoT データの送受信には、SCADA システムが使用されます。SCADA システムは、10~15 年保管され、その多くは現在のセキュリティ基準を満たすように構築されていないため、このデータが競合他社の手に渡る可能性が高くなってしまいます。AWS IoT Device Defender を使用すると、接続機器の安全な動作を定義し、予期しない動作が発生するとアラートを受信できるため、脅威を緩和するための措置を実施できます。例えば、接続された掘削リグでのみアクセスできる特定の一連の IP アドレスを定義できます。承認されていない IP アドレスにリグがデータをアップロードしようとすると、アラートを受信します。これは、データを紛失や盗難から保護するだけでなく、企業データセキュリティポリシーへのコンプライアンスをサポートするのに役立ちます。

小売

小売業者では、店舗にセンサーやビーコンを設置して、顧客が時間を費やす場所や手に取って確かめる商品を把握しています。小売業者では、このデータを使用して、売り上げを最大限に伸ばすために商品の配置を最適化すると同時に、より効率的なショッピング体験を提供しています。AWS IoT Device Defender を使用すると、認可された位置とコミュニケーションのパターンを指定する商品の動作プロフィールを作成できます。これに基づいて、AWS IoT Device Defender でポリシーがモニタリングされ、認可された位置から商品が移動された場合や、予期しない方法でコミュニケーションが行われると、アラートが送信されます。

ブログ投稿記事

AWS の開始方法

icon1

AWS アカウントにサインアップする

AWS 無料利用枠にすぐにアクセスできます。
icon2

10 分間チュートリアルで学ぶ

簡単なチュートリアルで学習します。
icon3

AWS で構築を開始する

詳細手順のガイドで構築を開始することで、 AWS プロジェクトを開始します。

AWS IoT Device Defender の詳細

サインアップして詳細を知る
ご不明な点がおありですか?
お問い合わせ