IoTのセキュリティ：ゼロから始める人向けのAzure IoTスイート

IoTのセキュリティに関する一連の記事の翻訳を紹介しています。 最初の記事では、Microsoft Azure IoT Suiteの機能の概要に焦点を当てています。

一連の記事「IoTのセキュリティ」

1. ゼロから始める人向けのAzure IoT Suite 。

2. 包括的な保護戦略 。

3. セキュリティシステムアーキテクチャ 。

4. IoT展開のセキュリティ保護 。



注：さらに、ナレーションは著者に代わって実施されます。



Azure IoT Suiteは、すべてのレベルで保護を提供するセキュリティツールが組み込まれた完全なソリューションです。 マイクロソフトでは、ソフトウェアセキュリティは、信頼性が高く安全なソフトウェアを構築するための数十年にわたる原則に従って、開発プロセスの不可欠な部分です。 これを行うには、セキュリティで保護されたアプリケーション開発ライフサイクル（SDL）を使用します。SDLは、一連の運用セキュリティ保証（OSA）セキュリティサービスと組み合わせた基本的なソフトウェア開発方法論であり、Microsoft Digital Crimes Unit、Microsoft Security Response Center、Microsoft Anti-Malware Centerプログラム）。



Azure IoT Suiteには、IoTデバイスの操作を簡単かつ明確に、そして最も重要なこととして安全に準備し、それらに接続し、それらからのデータを保存できる独自の機能があります。 この記事では、強力な保護、プライバシー、コンプライアンスを提供するAzure IoT Suiteのセキュリティコンポーネントとデプロイ戦略について説明します。

はじめに

モノのインターネット（IoT）は、今日、企業がコストを削減し、利益を増やし、ビジネスを変革する真の機会を提供するテクノロジーです。 ただし、多くの企業は、セキュリティ、プライバシー、コンプライアンスの問題に自信がないため、IoTテクノロジの積極的な展開にmoveしています。 最も懸念されるのは、デジタルの世界と物理的な世界が組み合わされたユニークなIoTインフラストラクチャです。 この場合、もちろん、両方の世界に特徴的なリスクも増加します。 IoTインフラストラクチャのセキュリティは、デバイスで実行されるコードの整合性に依存します。 このコードは、デバイスとユーザーの信頼性を検証し、デバイス（およびデバイスによって生成されたデータ）の所有権を決定し、悪意のあるユーザーによるネットワークおよび物理攻撃から保護するために使用されます。



最後に、プライバシーの問題。 企業はデータ転送の透明性を必要としています。 彼らは、どのデータが収集されているのか、なぜ、誰がそれを閲覧できるのか、誰がアクセスを制御するのかなどを理解する必要があります。 同様に重要なのは、機器の安全性と操作中のオペレーターの安全性に関する一般的な問題、および業界標準への準拠の問題です。



多くのセキュリティ、プライバシー、透明性、コンプライアンスの要件を考えると、IoTソリューションプロバイダーの選択は困難な作業になります。 異なるベンダーの個別のIoTアプリケーションとサービスが1つのソリューションに統合されている場合、セキュリティ、プライバシー、コンプライアンスの脆弱性を避けることはできません。 多くの場合、除去は言うまでもなく、検出することさえ非常に困難です。 IoTソフトウェアおよびサービスの信頼できるプロバイダーは、さまざまなレベルのインフラストラクチャ、地理的な場所にまたがるサービスの開発に豊富な経験を持ち、安全で透過的な水平スケーリングのためのツールを提供する必要があります。 選択されたプロバイダーにとっての大きな利点は、世界中の数十億台のコンピューターにインストールされた安全なソフトウェアの開発における長年の経験と、モノのインターネット技術の実装に関連する脅威を迅速かつ専門的に評価して排除する能力です。

インフラストラクチャをゼロから保護

Microsoftクラウドインフラストラクチャは、127か国の10億を超える顧客によって使用されています。 企業ソフトウェアの開発と最大のネットワークサービスのサポートに関する豊富な長期経験により、ほとんどの顧客が単独で達成する可能性が低いレベルのセキュリティ、機密性、コンプライアンス、およびリスク管理を提供できます。



Microsoftのセキュアアプリケーション開発ライフサイクル（ SDL ）を使用すると、会社のすべてのレベルを開発プロセスに強制的に組み込むことができます。その目的は、ソフトウェアライフサイクル全体にわたってセキュリティコンポーネントを実装することです。 運用プロセスがすべての安全要件を満たしていることを確認するため、運用セキュリティ保証（OSA）プロセスで開発された厳格なセキュリティポリシーを使用しています。 サードパーティの監査サービスプロバイダーと協力して、すべての要件と規制へのコンプライアンスを検証するように関与しています。 コンピテンスセンター（Microsoft Digital Crimes Unit、Microsoft Security Response Center、およびMicrosoft Malware Protection Center）を作成する際にも、適切なセキュリティ対策を講じます。

Microsoft Azure-あらゆる企業プロファイルに対応した信頼性の高い安全なIoTインフラストラクチャ

Microsoft Azureは、拡大を続ける統合クラウドサービス（分析、機械学習、ストレージ、セキュリティ、ネットワーク、およびWebサービス）のセットを、業界をリードするデータ保護およびプライバシーテクノロジーと統合する包括的なクラウドソリューションです。 私たちのハッキング戦略は、ソフトウェアセキュリティの専門家で構成されるレッドチームによって実装されています。 攻撃をシミュレートすることにより、Azureが新たな脅威を検出する能力をテストし、効果的な保護とデータ回復を提供します。 弊社のグローバルインシデントレスポンススペシャリストは24時間年中無休で作業し、ユーザーが攻撃や悪意のある活動の影響を排除できるよう支援しています。 当社のスペシャリストは、インシデント管理の確立された手順を順守し、ユーザーに通知し、攻撃の結果を排除し、最も透明で予測可能なチャネルを通じて組織内および外部のパートナーとやり取りします。



当社のシステムは、侵入の検出と防止を継続的に実行し、サービスに対する攻撃をブロックし、侵入テストを定期的に実行し、脅威をタイムリーに特定して排除するのに役立つ分析ツールを広く使用しています。 多要素認証は、ネットワークへのエンドユーザーアクセスに追加のセキュリティレイヤーを提供します。 アプリケーションおよびリモートアクセスプロバイダーは、完全なアクセス制御、監視ツール、脆弱性のウイルス対策スキャン、修正および構成ツールを提供します。



Microsoft Azure IoT Suiteには、Microsoftソフトウェアの安全な開発と運用に使用される、SDLおよびOSAプロセスに加えて、Azureの組み込みセキュリティおよびプライバシー機能が含まれています。 これらの手順を使用して、インフラストラクチャとネットワーク保護、およびソリューション内のセキュリティを確保するための鍵となる識別および管理機能が実装されます。



IoT SuiteのAzure IoT Hubコンポーネントは、特定のデバイスごとに個別の資格情報を使用して、IoTデバイスとAzureサービス（ Azure Machine Learning ServicesやAzure Stream Analyticsなど ）間の双方向通信を強力に保護する完全に管理されたサービスです。それへのアクセス制御。



Azure IoT Suiteの組み込みのセキュリティおよびプライバシーコンポーネントを完全に提示するために、3つの主要なセキュリティ分野のコンテキストでソフトウェアパッケージを検討します。

安全なデバイスのプロビジョニングと認証

Azure IoT Suiteは、フィールドにいるデバイスを保護します。 これを行うために、各デバイスには、インフラストラクチャが使用中のデバイスと通信するために使用する一意のIDキーがあります。 この手順のセットアップは複雑ではなく、それほど時間がかかりません。 ユーザーが指定したデバイス識別子を持つキーに基づいて、トークンが作成され、デバイスとAzure IoT Hubサービス間のすべてのデータ転送セッションで使用されます。



製造段階で識別子をデバイスに関連付ける（つまり、それらをハードウェアの信頼できるモデルに追加する）か、既存の固定ID（たとえば、CPUのシリアル番号）をプロキシとして使用できます。 このデバイスIDの変更は簡単ではありませんが、論理識別子を使用することも重要です。 したがって、デバイスの基本的なハードウェア特性が変化しても、その論理特性は変わりません。 場合によっては、展開段階でデバイスIDマッピングを実行できます（つまり、技術者は、IoTソリューションのサーバー側とのデータ交換中に新しいデバイスを直接物理的に構成します）。 Azure IoT Hub ID レジストリは、デバイスのIDとソリューションのセキュリティキーを安全に保存するように設計されています。 個々のデバイスIDまたはIDグループをホワイトリストまたはブラックリストに追加することにより、デバイスへのアクセスを完全に制御できます。



Azure IoT Hubに実装されたクラウドアクセス制御ポリシーを使用して、デバイスIDを有効または無効にし、必要に応じてIoT展開からデバイスをアンマウントできます。 デバイスのマッピングとマッピング解除は、特定の各デバイスのIDを使用して実行されます。



さらに、次のデバイスセキュリティ機能を使用できます。

• デバイスは、一方的な着信接続を受け入れません。 発信接続とルートのみがサポートされます。 サーバーからコマンドを受信するには、デバイスが独自に接続を開始し、処理を待機しているコマンドを確認する必要があります。 デバイスとIoT Hubサービスの間に安全な接続が確立されると、クラウドとデバイス間、および異なるデバイス間のメッセージングに暗号化は必要ありません。
• デバイスは、それと同じレベルにある有名な信頼できるサービス（Azure IoT Hubなど）にのみルートを接続および設定できます。
• デバイスの承認は、システムレベルでの承認と認証に使用されます。これにより、資格情報とアクセス許可をほぼ瞬時に取り消すことができます。

安全な接続

継続的かつ持続的なデータ交換は、あらゆるIoTソリューションにとって重要です。 IoTデバイスがインターネットまたは他の同様のネットワークを介して接続されている場合、コマンドの配信とデバイスからのデータの受信の継続性は特に重要であり、そのような接続は信頼できない場合があります。 Azure IoT Hubは、受信したメッセージの確認システムを使用して、クラウドとデバイス間でデータを交換するときに必要な安定性を提供します。 IoT Hubのメッセージキャッシュにより、メッセージングの復元力が向上します。 キャッシュされたメッセージは、7日間（テレメトリ）または2日間（チーム）保存されます。



リソースを節約し、限られたリソースの環境で作業するときは、効率を確保することが不可欠です。 HTTPS（HTTPセキュア）は、一般的なHTTPプロトコルの業界標準のセキュアバージョンです。 Azure IoT Hubでは、HTTPSプロトコルが最も効率的なデータ交換を担当します。 Azure IoT HubサービスでもサポートされているAMQPおよびMQTTプロトコルは、リソース消費の面で効率を提供するだけでなく、信頼性の高いメッセージ配信を保証します。



スケーリングには、さまざまなデバイスとの安全な相互作用が必要です。 Azure IoT Hubは、IPをサポートするデバイスとIPをサポートしないデバイスの両方に安全な接続を提供します。 IP対応デバイスは、IoT Hubサービスに直接接続し、安全な接続を介してデータを交換できます。 IPプロトコルをサポートしないデバイスは限られた量のリソースを使用し、短距離の通信プロトコル（Z-Wave、ZigBee、およびBluetooth）を使用してのみ接続を確立できます。



フィールドゲートウェイを使用して、これらのデバイスを集約し、プロトコルをブロードキャストします。これにより、クラウドとの安全な双方向データ交換が実現します。



さらに、次の接続保護機能を使用できます。

• デバイスやゲートウェイとAzure IoT Hub間の通信は、業界標準のTLSによって保護されています。 Azure IoT Hub認証は、X.509プロトコルを使用して実行されます。
  
  
  
  
• 求められていない着信接続からデバイスを保護するために、Azure IoT Hubサービスはこのデバイスへのすべての接続要求をブロックします。 デバイスは常に独自に接続を開始します。
  
  
  
  
• Azure IoT Hubは、デバイス宛てのメッセージを安全なストレージに保存し、デバイスが独自に接続を開始するまで待機します。 コマンドは2日間保存されます。これにより、必要に応じて、電源または接続の性質により、デバイスが散発的にコマンドを受信するための接続を確立できます。 Azure IoT Hubは、デバイスごとに個別のキューも作成します。

安全なクラウド処理とストレージ

Azure IoT Hubは、暗号化からクラウドでの処理まで、あらゆるレベルのデータ転送で包括的な保護を提供します。 このサービスは、必要な柔軟性と適応性を提供し、セキュリティキーの暗号化と高度なキー管理機能の追加の方法を適用できるようにします。 Azure IoT Hubは、Azure Active Directory（AAD）を使用してユーザーを認証および承認します。 Azure IoT Suiteには、アクセス制御を簡素化し、検証および監査機能を提供するポリシーベースのクラウドデータ承認モデルがあります。 これにより、クラウド内のデータアクセス許可をほぼ瞬時に取り消すことができ、Azure IoT Suiteに接続されているデバイスをブロックできます。



クラウドに転送されたデータは、ユーザー定義のワークフローで処理および保存できます。 Azure Active Directoryは、使用するストレージサービスに応じて、データのさまざまなセクションへのアクセスを制御します。



IoTインフラストラクチャで使用されるすべてのキーは、安全なクラウドストレージに保存されます。 再プロビジョニングが必要な場合は変更できます。 データはDocumentDBデータベースまたはSQLデータベースに保存されます 。これにより、必要なセキュリティレベルを決定できます。 さらに、Azureには、データアクセスを監視および監査し、侵入または不正アクセスをユーザーに通知するための効果的なツールがあります。

おわりに

モノのインターネットは、モノから始まります。 現代の企業にとって最も重要なものそのものから。 IoTテクノロジーは、企業に信じられないほどのメリットをもたらします-コスト削減、利益の増加、ビジネスの変革。 このような変換の成功は、ソフトウェアおよびIoTサービスの信頼できるプロバイダーを選択することに大きく依存します。 言い換えれば、すべてのニーズを理解し、ビジネスを正しく変革するだけでなく、セキュリティ、プライバシー保護、透明性、コンプライアンスを保証するアプリケーションとサービスを提供するプロバイダーを見つける必要があります。



Microsoft Azure IoT Suiteは、組み込みのセキュリティおよび安全なリソース監視ツールを提供します。 これらのツールは、生産性と運用効率を高め、高度なデータマイニングテクノロジーを革新し、活用してビジネスを変革します。 セキュリティ、さまざまなセキュリティコンポーネント、Azure IoT Suiteアーキテクチャテンプレートへのマルチレベルのアプローチは、インフラストラクチャの展開に役立ちます。インフラストラクチャは、ビジネスを変革する上で信頼性の高いアシスタントになります。

追加情報

Azure IoT Suite内のすべての事前構成済みソリューションは、次のAzureサービスインスタンスを作成します。

• Azure IoT Hub クラウドと「モノ」の間で接続が確立されるゲートウェイ。 各ハブへの数百万の接続を構成してインフラストラクチャを拡張し、すべてのデバイスの認証で膨大な量のデータを処理できます。これにより、ソリューション全体のセキュリティと保護が保証されます。
  
  
  
  
• Azure DocumentDB 。 半構造化データの格納に使用される、スケーラブルで完全にインデックス可能なデータベースサービス。 作業の準備として、デバイスのメタデータ（属性、構成、およびセキュリティ設定）を管理します。 DocumentDBは、高いパフォーマンスとデータスループット、スキーマフリーのインデックス作成、およびSQLクエリを作成するための改良されたインターフェイスを提供します。
  
  
  
  
• Azure Stream Analytics 。 クラウドのリアルタイムストリーミング処理により、低コストの分析ソリューションを迅速に開発および展開して、デバイス、センサー、インフラストラクチャ、およびアプリケーションからのデータをリアルタイムで分析できます。 この完全に管理されたサービスからのデータは、高いスループット、復元力、および低遅延を維持しながら、制限なしにスケーリングできます。
  
  
  
  
• Azure App Services 。 クラウド内とローカルの両方のデータに接続できる強力なWebおよびモバイルアプリケーションを開発するためのクラウドプラットフォーム。 iOS、Android、およびWindowsプラットフォーム向けの魅力的なモバイルアプリケーションの開発。 多数のクラウドサービスおよびエンタープライズアプリケーションへの組み込み接続により、SaaSアプリケーションおよびエンタープライズソフトウェアと統合することができます。 好みの言語とIDE（.NET、NodeJS、PHP、Python、またはJava）でコードを記述する機能を使用すると、WebアプリケーションとAPIをさらに高速に作成できます。
  
  
  
  
• ロジックアプリケーション 。 Azure Application Serviceのアプリケーションロジック機能を使用すると、IoTソリューションを既存のビジネスシステムに統合し、ワークフローを効率的に自動化できます。 開発者は、ロジックアプリケーションを使用して、トリガーによってトリガーされるワークフローを作成し、一連のアクション（効率的なコネクターを使用して既存の企業ビジネスプロセスと統合するルールと操作）を実行できます。 ロジックアプリケーションは、SaaSエコシステム、クラウド、およびオンプレミスアプリケーションへのビルトイン接続も提供します。
  
  
  
  
• BLOBストレージ 。 デバイスからクラウドに送信されるデータ用の信頼性が高く費用対効果の高いクラウドストレージ。

便利な資料

また、事前に構成されたIoT Suiteソリューションの他の機能や機能についても知ることができます。

• 事前構成済みソリューションの予測メンテナンス機能の概要 。
• IoT Suite：よくある質問 。

翻訳に誤りがある場合は、プライベートメッセージで報告してください。