IoT セキュリティ対策に Microsoft Azure を活用

執筆者: Sam George (Partner Director, Azure IoT)

このポストは、3 月 24 日に投稿された How Microsoft Azure engineers for IoT security の翻訳です。

 

ビジネスに IoT を取り入れようと考えたとき、一番の懸案事項となるのは、クラウドとデバイスのセキュリティではないでしょうか? マイクロソフトでは、業界標準に対応し、わかりやすく高い透明性を維持することを重視しています。マイクロソフトが推奨するベスト プラクティスはこちらの記事 (英語) でご覧いただけます。また、お客様への献身的なサポートという意味で、特に Azure IoT テクノロジのセキュリティとコンプライアンスに関して寄せられた一般的なご質問に対する回答を公開しています。今回この記事では、その中から IoT のセキュリティ対策に関してよく寄せられる質問についてお答えします。

インフラストラクチャの根本的な安全性のために、どのようなことに取り組んでいますか。

Azure IoT Suite の基盤となる信頼性の高い Microsoft Azure クラウドは、27 か国 10 億人以上のユーザーをサポートしています。インフラストラクチャの安全を確保するために、マイクロソフトではセキュリティ開発ライフサイクル (SDL) を制定し、セキュリティに関する開発プロセスを社内全体で遵守しています。この SDL と共に、Microsoft デジタル クライム ユニット、Microsoft セキュリティ レスポンス センター、Microsoft マルウェア プロテクション センターなどの専門チームが Microsoft Operational Security Assurance プロセスや Cyber Defense Operations Center などのインフラストラクチャ レベルのセキュリティ サービスもホストしています。

Microsoft Azure の安全な IoT インフラストラクチャをビジネスに利用できるでしょうか。

ぜひご利用ください。Microsoft Azure では、分析、機械学習、ストレージ、ネットワークなどのクラウド サービスを、データのプライバシーや保護などの実績ある取り組みと併せて、最高レベルの安全性を持つ企業向け IoT インフラストラクチャを提供しています。マイクロソフトでは、侵害を想定する (英語) 戦略として、ソフトウェア セキュリティ専門家で編成された「レッド チーム」が攻撃のシミュレーションを行い、Azure での新しい脅威の検出とそれに対する保護、侵害からの復旧を試験しています。マイクロソフトのグローバル インシデント対応チームは、攻撃や悪意のある活動による影響を緩和するために 24 時間体制で取り組んでいます。Azure システムでは、継続的な侵入の検知や防御、サービスへの攻撃の防御、定期的な侵入テスト、脅威の識別や軽減を支援するフォレンジック ツールを提供しています。クラウド ポータルで多要素認証を使用すると、エンド ユーザーがネットワークにアクセスする場合のセキュリティがさらに強化されます。アプリケーション プロバイダーやホスト プロバイダーではアクセス制御や監視、マルウェア対策、脆弱性スキャン、修正プログラムの適用、構成管理などの機能を使用できます。

Azure IoT Suite では Azure プラットフォームに組み込まれているセキュリティ機能をどのように活用できますか。

Azure IoT Suite は主に IoT の 3 つの領域に対するセキュリティ機能を提供しています。

• デバイスのセキュリティ: Azure IoT Suite では、デバイスの安全性を確保するために各デバイスに一意の ID キーを発行します。このキーは、IoT インフラストラクチャが運用中に各デバイスと通信する際に使用されます。Azure IoT Hub の ID レジストリでは、各ソリューションで使用されるデバイス ID やセキュリティ キーを安全に保存できます。Azure IoT Hub がクラウドで使用するアクセス制御ポリシーではすべてのデバイス ID のアクティブ化と非アクティブ化ができるので、各デバイスを容易に IoT デプロイから切り離すことができます。Azure IoT インフラストラクチャでは、この他にも重要なセキュリティ機能を提供しています。たとえば、不明な接続先からのネットワーク接続要請を拒否したり、デバイスからの接続先やルーティング先を Azure IoT Hub など既知のピアリング サービスのみに限定することができます。
• 接続のセキュリティ: デバイスと Azure IoT Suite の間の接続は、X.509 を基盤とする証明書を使用して TLS などの業界標準の暗号化テクノロジで安全が確保されています。メッセージングの耐久性はあらゆる IoT ソリューションで重要であるため、Azure IoT Hub ではメッセージへの受信確認応答を利用してクラウドとデバイスの間のメッセージングの耐久性を確保しています。メッセージは IoT Hub にキャッシュされ、テレメトリでは 7 日間、コマンドでは 2 日間使用できます。Azure IoT Hub では業界標準の HTTPS プロトコルと Advanced Message Queuing Protocol がサポートされています。また、スケーラビリティ強化のために、Azure IoT Hub では IP の有効化されたデバイスとされていないデバイスのどちらでも安全に接続可能です。
• クラウド セキュリティ: Azure IoT Suite では、通信の暗号化からクラウドでのデータ処理までデータを守るためのさまざまな機能を提供しており、高度な暗号化やセキュリティ キーの管理の実装なども柔軟にできます。ユーザーの認証や承認を Azure Active Directory (AAD) で行うことで、クラウドのデータにポリシー ベースの承認モデルを使用できるため、容易に監査やレビューができるアクセス管理が実現します。IoT インフラストラクチャのセキュリティ キーはすべてクラウドの安全なストレージに保存されます。また、DB 形式で保存されたデータをセキュリティ レベルの定義に使用できます。Azure ではデータに対する侵入や不正アクセスの監視や監査を行うこともできます。

Windows 10 IoT Core で提供されるセキュリティ機能について教えてください。

Windows のセキュリティ機能は、既知のものと新しいものを含めさまざまな種類の攻撃から保護します。

• ID とアクセス制御: 機能の大幅な拡張により、ユーザー認証がより安全でシンプルになりました。Windows Hello や Microsoft Passport では、デプロイが容易で使用しやすい多要素認証 (MFA) によりユーザー ID の保護が強化されました。また、新機能の Credential Guard では仮想化ベースのセキュリティ (VBS) により Windows の認証サブシステムとユーザーの資格情報を保護します。
• 情報の保護: 保存中、処理中、通信中の情報を保護します。BitLocker や BitLocker To Go による保存中のデータの保護のほかに、Windows 10 ではファイル レベルでデータを暗号化して隔離や封じ込めることができます。また Rights Management サービスと組み合わせると、データを暗号化したままで企業ネットワーク外に送信することもできます。さらに、Windows 10 では仮想プライベート ネットワーク (VPN) とインターネット プロトコル セキュリティによりデータの安全が確保されています。
• マルウェアへの対抗: 中核的なシステムやセキュリティ コンポーネントを脅威から隔離するようにアーキテクチャが変更されました。Windows 10 では、 VBS、Device Guard、Microsoft Edge などの複数の新機能の導入や Windows Defender の強化により、マルウェアの脅威が軽減されています。このほか、Windows 8.1 からもアプリケーションのサンドボックスに使用される AppContainers や Trusted Boot をはじめとする各種ブート保護機能など、多数のマルウェア対策機能が Windows 10 に継承され強化されています。

ホワイトペーパー「IoT のセキュリティをゼロから構築 (英語)」では、クラウド コンピューティングにおける経験やオペレーティング システムの安全性などの専門知識を基に、マイクロソフトが Azure IoT Suite のセキュリティ機能やコンプライアンス機能を構築してきたプロセスをご紹介しています。ぜひご覧ください。企業で IoT を活用する方法については、www.InternetofYourThings.com (英語) を参照してください。