IIJ Safousで家庭内IoTへの非VPN式セキュアリモートアクセス
2024年12月24日 火曜日
CONTENTS
【IIJ 2024 TECHアドベントカレンダー 12/24の記事です】
IIJ Safous とは
IIJ Safous(セーファス)は2021年から展開されているグローバルセキュリティサービス群で、主に「Safous ZTA(Zero Trust Access)」が中心サービスです。これはリモートPAM機能をゼロトラスト技術で実現し、エージェントレスでブラウザ上から安全に特権リモートアクセスを提供します。
アーキテクチャとしては、顧客環境にSafous AppGatewayを設置し、世界各地のSafous POPとセキュアトンネルを構築します。従来のVPNと異なり、待ち受け用に固定されたパブリックIPを持たず攻撃対象を減少させ、二要素認証やアプリケーション単位の権限管理によりセキュリティを強化しています。
そういった特性から、よりセキュリティ要件の厳しい環境への特権アクセスや、エージェントレスで動作することを活かして外部業者によるクリティカルなアプリケーションへのアクセス制御に使われている事例が多いです。
IoT/OT環境における組み込み方
近年、IIJ SafousはIT分野に留まらず、OT(オペレーショナルテクノロジー)環境においてもその導入が進んでいます。OT環境では、ランサムウェアなどのサイバー攻撃による被害が特に深刻です。IT環境ではメールが一時的に停止しても業務継続が可能であるのに対し、工場の生産ラインが停止すると甚大な経済的損失が発生します。さらに、OTシステムは機械制御に直結しているため、場合によっては人命に関わるリスクも伴い、被害のインパクトは非常に大きくなります。
IoTも迂闊にデータ送信や制御のための通信経路を作ると、そこから不正アクセスや攻撃されて、OT環境への重大な被害を引き起こす可能性があり、慎重にセキュリティ施策を考える必要があり、その中で IIJ Safous の検討が増えてきています。
一方で、IT環境と違い、工場やOT施設に、簡単に仮想サーバや物理サーバを用意できないケースも多く、物理的なアプライアンスとしての提供も数多く要望としてはありました。
通称 “Safous IoT箱”
どちらが前面か分からないがおそらく向かって左が前面
そこでいくつか試作品を作っており、この通称 “Safous IoT箱” ができました。いわゆるIntel N100 ミニPCです。これは一旦デモ用としており、商用版は完全に同じ箱にはならないかもしれませんが、似た産業用PCを各国で提供できるように準備中です。
早速スペックです。
- 型番: G30W N100 4L
- Brand: BKHD
- CPU: Intel N100 4 cores
- Memory: 8GB
- Storage: 128GB
- Network port 4*Intel i226 2.5G
- 1*mPCIe for Wi-Fi/BT/4G module
- 1*M.2 2230 for Wi-Fi/BT/4G module
今回はこれに、Raspberry PiにSense Hatをくっつけたものをセンサーデバイスとして直結LAN接続します。
色々接続すると以下のようになります。IoT箱はWi-Fi接続も可能ですがSIM搭載もできるので、電源さえとれれば場所に限らず運用可能です。
初期構築に必要なマウスキーボードは折り畳み一体式のもので。モニターはiPadへのHDMIキャプチャで代用。展示会でもこのセットで展示しています。
クラウド側やソフトウェアを含む論理物理構成は以下のようになります。
Sense Hatにより、色々な要素が測定できるようになりますが、今回は温度、湿度、気圧、の3つを計測します。
今回の構成では大きく2つのデータフローがあり、センサーで取得データをクラウド側に送るためのゼロトラストアクセスと、外部からセンサー等を制御するためのゼロトラストアクセスです。
センサーデータをGrafanaサーバに届ける
ユーザがGrafanaデータを参照する、またはユーザがIoT箱やラズパイのデータ参照や遠隔操作を行う
センサーデータはラズパイがクラウドに送信しようとしますが、デフォルトゲートウェイはIoT箱です。このIoT箱は予めクラウド側に仕込んである Safous AppGateway とゼロトラスト接続しています。このIoT箱がさながらVPNルータのような動きをし、クラウド側にデータを送ります。クラウド側で待ち受け用固定パブリックIPアドレスは必要ありません。これによってクラウド側で受け取ったデータはDBに格納され、Grafanaで可視化します。このあたりはアクセスセキュリティのSafousには付随しない独自のアプリケーションになりますので、自分で作る必要があります。
クラウド側に飛ばすデータとは別にラズパイ上のリアルタイムデータもあるので、こちらも念の為Node-REDを使ってローカル可視化もしておきます。Grafanaへは1分間隔でデータ送信していますのでリアルタイムなステータスを見るときに使えます。
ローカル可視化の他に、SSH/RDP接続によるIoT箱やラズパイの操作もできます。もちろんインターネット上への固定パブリックIPアドレスは必要ありません。
まずはSafousユーザポータルにブラウザからログインします
ブラウザ上でSSH操作ができます。ターミナルソフトを使うこともできます。
SSH同様にブラウザ上でRDP操作できます。RDPクライアントも使えます。
まとめ
今回はこのSafous IoT箱を使った簡単な温度/湿度/気圧センサーによる安全なデータ送信と端末制御がメインでしたが、もちろんさらにセンサーをぶら下げることもできますし、インターネット接続していないクリティカルな端末をさらに追加登録し遠隔制御をすることもできます。
工場内の制御システムへの遠隔操作の他にも、ビルメンテナンスや、船や飛行機等の制御操作、といった話もすでに出てきていますので、Safous IoT箱が世界を飛び回る日も近いかもしれません。
Xのフォロー&条件付きツイートで、「IoT米」と「バリーくんシール」のセットを抽選でプレゼント!
応募期間は2024/12/02~2024/12/31まで。詳細はこちらをご覧ください。
今すぐポストするならこちら→
フォローもお忘れなく!
