Q: AWS IoT Device Defender とはどのようなサービスですか?

AWS IoT Device Defender は、IoT 設定を継続的に監視するフルマネージド IoT セキュリティサービスです。AWS IoT Device Defender を使用すると、セキュリティの問題を特定し対処するツールを利用できます。AWS IoT Device Defender でデバイス群を監査してセキュリティのベストプラクティスを実行し、デバイスを継続的にモニタリングし、何らかの異常動作が検知された場合は、セキュリティの問題が発生したことを知らせるアラートが送信され、問題を軽減するためのアクションが提案されます。

Q: AWS IoT Device Defender にはどのような機能がありますか?

監査 AWS IoT Device Defender は、 AWS IoT のセキュリティベストプラクティス (デバイスごとの最小権限や固有の設定など) を鑑み、デバイス関連リソース (X.509 証明書、IoT ポリシー、顧客 ID など) を監査します。また AWS IoT Device Defender は、同じ ID を使用する複数のデバイスや、1 つのデバイスで多くのデバイスのデータ読み込みや更新を許可する寛容すぎるポリシーなど、セキュリティのベストプラクティスを順守していない設定を報告します。

検出 AWS IoT Device Defender では、デバイスや AWS IoT Core からの重要なセキュリティメトリクス (デバイスのリスニング TCP ポート数や認証エラー数など) を継続的に監視することで、何らかの危険を示唆するデバイス動作の異常が検知されます。メトリクスの行動 (ルール) を設定することで、一連のデバイスに対する通常動作をあらかじめ定義することができます。AWS IoT Device Defender は、報告された各データポイントを監視、評価して、ユーザー定義の行動 (ルール) に対するメトリクスを確認し、異常が検出された場合はアラートを送信します。

アラート AWS IoT Device Defender により、AWS IoT Console、Amazon CloudWatch、Amazon SNS にアラートが送信されます。

リスクの軽減 AWS IoT Device Defender では、デバイスのメタデータや統計データ、アラート履歴など、デバイスの使用状況および履歴情報が提供されるため、問題を深く調査することができます。また、AWS IoT Device Management のツールを使用して、権限の無効化、デバイスの再起動、工場出荷時状態へのリセット、セキュリティパッチの適用など、セキュリティ対策のさまざまな手段を実行することができます。

Q: デバイスのセキュリティに AWS IoT を使用する方法と、AWS IoT Device Defender でできることについて教えてください。

AWS IoT Core では、デバイスをクラウドやその他のデバイスに安全に接続できるよう、セキュリティの重要な要素をビルディングブロック方式で提供しています。このため、お客様の設定に合わせてさまざまなセキュリティレベルで認証、権限の付与、監査ログ、エンドツーエンド暗号化などのセキュリティコントロールを実行することができます。AWS の責任共有モデルに従い、お客様はビジネス要件に基づくセキュリティの基本設定を決定できます。しかしながら、人的ミスやシステムエラーにより、あるいは有効な関係者が故意に、セキュリティを脅かすような設定が挿入される場合があります。 

AWS IoT Device Defender なら、セキュリティ設定を絶え間なく監査し、セキュリティのベストプラクティスおよび会社のセキュリティポリシーを順守することができます。いついかなる時でも誤設定は起こり得るため、継続的なモニタリングが不可欠です。さらに、セキュリティ設定は時の流れに影響を受けやすいものであるうえ、新しいリスクは常に発生し続けます。例えば、デバイス証明書にセキュアなデジタル署名を提供していた暗号化アルゴリズムも、コンピュータ技術や暗号解読法が進むにつれ、安全性は弱まってしまいます。

AWS IoT Device Defender なら、AWS IoT セキュリティコントロールを効果的に利用するタイミングがわかります。ただし、デバイスにセキュリティパッチを適用する前にセキュリティの誤設定が修正されなかったり、新しい攻撃パターンが公開されたりした場合、接続されたデバイスのセキュリティが保証されるとは限りません。AWS IoT Device Defender は、すでに被害を受けたデバイスを特定し、攻撃を牽制しながら是正処置を行うことで、AWS IoT のセキュリティコントロールにおける予防的な役割を果たします。

Q: AWS IoT Device Defender を使うには、デバイスのレベルコードを変更する必要がありますか?

はい。デバイス側のメトリクスを収集して AWS IoT Device Defender に報告するには、デバイスのコードを実装する必要があります。サンプルエージェントの実装例は、こちらをご参照ください。AWS Greengrass と Amazon FreeRTOS は、デバイス側とクラウド側両サイドのメトリクスに対して AWS IoT Device Defender と完全に統合されています。

デバイスプラットフォームに、特殊なハードウェアを用いて信頼できる実行環境を用意できる場合は、その環境においてデバイスエージェントを実装することを強くお勧めします。このタイプのデザインを実装する詳しい方法については、ハードウェアセキュリティソリューションベンダーにお問い合わせください。

Q: AWS IoT Device Defender の仕組みを教えてください。

AWS IoT Device Defender を使用すると、監査タスクのスケジュールやデバイスアクティビティの監視を行い、不正結果やデバイスの異常動作などの通知を受信できます。

監査タスクは、お客様が定義した AWS IoT 設定を評価するものです。このタスクは、オンデマンドまたは設定したスケジュールで実行できます。監査の精度を向上して誤検知を最小限に抑えるため、AWS IoT Device Defender では、デバイスの AWS IoT Core とのインタラクションがコンテキストとして使用されます。

AWS IoT Device Defender は、接続されたデバイスおよびその AWS IoT Core とのインタラクションから収集した高価値のセキュリティメトリクスを分析して、デバイスのアクティビティを継続的に監視し、異常動作を検出しています。メトリクスデータは、お客様が提供するセキュリティプロファイルと常に比較されます。デバイスメトリクスの収集および送信はオプションですが、実行することを強くおすすめします。AWS IoT Device Defender では、デバイス側のメトリクスを収集して送信するデバイスエージェントのためのリファレンス実装とドキュメントを提供しています。

監査結果および検出されたデバイスの異常動作は、AWS IoT コンソールに送信され、AWS IoT Device Defender API を通じてアクセス可能になります。さらに、結果を Amazon SNS に送信し、セキュリティダッシュボードと統合したり自動修復ワークフローをトリガーしたりするよう AWS IoT Device Defender を設定することもできます。

Q: AWS IoT Defender を利用できるのは、どの AWS リージョンですか?

IoT Device Defender は以下の AWS リージョンでご利用いただけます。バージニア北部、オハイオ、オレゴン、フランクフルト、アイルランド、ロンドン、ソウル、シンガポール、シドニー、東京。

Q: AWS 無料利用枠で AWS IoT Defender を利用できますか?

はい。詳しくは、AWS IoT Device Defender 料金ページをご覧ください。

Q: AWS IoT Device Defender の使用料を教えてください。

監査機能と検出機能はそれぞれ独立していて料金も個別に設定されているため、予算に合わせてご希望の機能を柔軟に選択することができます。詳しくは、AWS IoT Device Defender 料金ページをご覧ください。

Q: AWS IoT Device Defender を使用しています。検出メトリクスを報告するには AWS IoT Core のメッセージング使用料がかかりますか?

いいえ。デバイス側の検出メトリクスを AWS IoT Device Defender に報告するためのメッセージに料金はかかりません。

Q: AWS IoT Device Defender を使用しています。検出メトリクスを報告するには AWS IoT Core の接続料金がかかりますか?

はい。デバイス側の検出メトリクスを AWS IoT Device Defender に送るという目的のみで AWS IoT Core に接続した場合、接続料金がかかります。詳しくは、AWS IoT Core 料金ページをご覧ください。

Q: デバイスの動作が正常であることを確認するために、AWS IoT Device Defender で適切な値を設定する方法を教えてください。

まず、しきい値の下限などの動作制限を指定したセキュリティプロファイルを作成し、メインのデバイス ThingGroup にアタッチします。AWS IoT Device Defender により、設定範囲を超えた動作に対してデバイスが発行したメトリックデータポイントのアラートが送信されます。ユースケースに合わせてデバイスの動作のしきい値を調整してください。

AWS IoT Device Defender の機能に関する詳細

機能ページをご覧ください
さっそく開始しましょう
サインアップ
ご不明な点がおありですか?
お問い合わせ