IoT ソリューションのセキュリティに関するベスト プラクティス

この概要では、一般的な Azure IoT ソリューションのセキュリティ保護に関する主な概念について説明します。 各セクションには、追加の詳細とガイダンスを提供するコンテンツへのリンクが含まれています。

エッジ ベースのソリューション

次の図は、一般的なエッジ ベースの IoT ソリューションでのコンポーネントの概要を示したものです。 この記事では、エッジベースの IoT ソリューションのセキュリティについて説明します。

エッジベースの IoT ソリューションのセキュリティは、次の 3 つの領域に分割できます。

• 資産セキュリティ: 管理、監視、データ収集を行う物理的または仮想的な価値のある項目を保護します。

• 接続のセキュリティ: 資産、エッジ、クラウド サービス間で転送中のすべてのデータが機密情報として扱われ、改ざんを防ぎます。

• エッジ セキュリティ: データの移動中にデータをセキュリティで保護し、エッジに格納します。

• "クラウド セキュリティ": データが移動し、クラウドに保存される間、データを保護します。

通常、エッジ ベースのソリューションでは、Azure のセキュリティ機能を使用してエンド ツー エンドの操作をセキュリティで保護する必要があります。 Azure IoT Operations には、シークレット管理、証明書管理、Azure Arc 対応 Kubernetes クラスターでのセキュリティ設定などのセキュリティ機能が組み込まれています。 Kubernetes クラスターが Azure に接続されると、Azure への送信接続が開始され、業界標準の SSL を使用して転送中のデータをセキュリティで保護し、次のような他のいくつかのセキュリティ機能が有効になります。

• コンテナーに対して Azure Monitor を使用して、クラスターを表示および監視する。
• Microsoft Defender for Containers を使用して脅威保護を適用する。
• Kubernetes 用の Azure Policy を使用してポリシーを適用することによってガバナンスを確保します。
• アクセス権を付与し、どこからでも Kubernetes クラスターに接続し、クラスターで Azure ロールベースのアクセス制御 (Azure RBAC) を使用してアクセスを管理する。

Microsoft Defender for IoT および Microsoft Defender for Containers

Microsoft Defender for IoT は、IoT およびオペレーショナル テクノロジ (OT) デバイス、脆弱性、脅威の特定に特化して構築された統合セキュリティ ソリューションです。 Microsoft Defender for Containers は、コンテナー化された資産 (Kubernetes クラスター、Kubernetes ノード、Kubernetes ワークロード、コンテナー レジストリ、コンテナー イメージなど) とそのアプリケーションのセキュリティをマルチクラウド全体とオンプレミス環境で改善、監視、維持するためのクラウドネイティブ ソリューションです。

Defender for IoT と Defender for Containers の両方で、この記事に含まれる推奨事項の一部を自動的に監視できます。 Defender for IoT と Defender for Containers は、エッジベースのソリューションを保護するための防御の最前線である必要があります。 詳細については、以下をご覧ください。

• Microsoft Defender for Containers - 概要
• 組織向けの Microsoft Defender for IoT - 概要

資産のセキュリティ

• シークレットの管理: Azure Key Vault を使用して、キー、パスワード、証明書、シークレットなどの資産の機密情報を格納および管理します。 Azure IoT Operations は、クラウドでの管理されたコンテナー ソリューションとして Azure Key Vault を使い、Kubernetes 用 Azure Key Vault Secret Store 拡張機能を使ってクラウドからシークレットを同期して、それらを Kubernetes シークレットとしてエッジに格納します。 詳細については、「Azure IoT Operations デプロイ用のシークレットの管理」を参照してください。

• 証明書管理: 資産とエッジ ランタイム環境間の安全な通信を確保するには、証明書の管理が重要です。 Azure IoT Operations には、証明書の発行、更新、取り消しなど、証明書を管理するためのツールが用意されています。 詳細については、「Azure IoT Operations の内部通信用の証明書管理」を参照してください。

• 資産の改ざん防止ハードウェアを選択する: デバイス カバーの開放やデバイスの一部の取り外しなど、物理的な改ざんを検出するメカニズムが組み込まれた資産ハードウェアを選択します。 これらの改ざん信号は、クラウドにアップロードされるデータ ストリームに含めることができます。これにより、このようなイベントをオペレーターに警告できます。

• 資産ファームウェアのセキュリティで保護された更新プログラムを有効にする: 資産の無線更新を有効にするサービスを使用します。 更新プログラムのセキュリティで保護されたパスとファームウェア バージョンの暗号化保証を使用して資産を構築し、更新中および更新後に資産をセキュリティで保護します。

• 資産ハードウェアを安全に展開する: 資産ハードウェアの展開においては、特にパブリック スペースや監視されていないロケールなどの安全でない場所では、可能な改ざん防止策を施します。 必要な機能のみを有効にし、USB ポートが必要でない場合はしっかりとカバーするなど、物理的な攻撃フットプリントを最小限に抑えます。

• デバイス製造元のセキュリティと展開のベスト プラクティスに従う: デバイスの製造元がセキュリティとデプロイのガイダンスを提供している場合は、この記事に記載されている一般的なガイダンスに加えて、そのガイダンスに従ってください。

接続のセキュリティ

• トランスポート層セキュリティ (TLS) を使用して資産からの接続をセキュリティで保護する: Azure IoT Operations 内のすべての通信は TLS を使用して暗号化されます。 エッジベースのソリューションが攻撃者に対して不注意で公開されるのを最小限に抑える既定のセキュリティで保護されたエクスペリエンスを提供するために、Azure IoT Operations は TLS サーバー証明書用の既定のルート CA と発行者を使用してデプロイされます。 運用環境へのデプロイの場合、独自の CA 発行者とエンタープライズ PKI ソリューションを使用することをお勧めします。

• エンタープライズ ファイアウォールまたはプロキシを使用して送信トラフィックを管理することを検討する: エンタープライズ ファイアウォールまたはプロキシを使用する場合は、Azure IoT Operations エンドポイントを許可リストに追加します。

• メッセージ ブローカーの内部トラフィックを暗号化する: エッジ インフラストラクチャ内の内部通信のセキュリティを確保することは、データの整合性と機密性を維持するために重要です。 MQTT ブローカーのフロントエンド ポッドとバックエンド ポッドの間で内部トラフィックと転送中のデータを暗号化するように MQTT ブローカーを構成する必要があります。 詳細については、「ブローカーの内部トラフィックと内部証明書の暗号化を構成する」を参照してください。

• MQTT ブローカーのリスナーの自動証明書管理を使用して TLS を構成する: Azure IoT Operations は、MQTT ブローカーのリスナーに対して自動証明書管理を提供します。 これにより、証明書を手動で管理する管理オーバーヘッドが軽減され、タイムリーな更新が保証され、セキュリティ ポリシーへのコンプライアンスを維持するのに役立ちます。 詳細については、「BrokerListener を使用して MQTT ブローカー通信をセキュリティで保護する」を参照してください。

• OPC UA サーバーへのセキュリティで保護された接続を設定する: OPC UA サーバーに接続するときは、セッションを安全に確立するために信頼する OPC UA サーバーを決定する必要があります。 詳細については、「OPC UA 用コネクタの OPC UA 証明書インフラストラクチャを構成する」を参照してください。

エッジ セキュリティ

• エッジ ランタイム環境を最新の状態に保つ: クラスターと Azure IoT Operations のデプロイを最新の修正プログラムとマイナー リリースを使用して最新の状態に保ち、使用可能なすべてのセキュリティとバグ修正を取得できるようにします。 運用環境へのデプロイの場合は、Azure Arc の自動アップグレードをオフにして、クラスターに新しい更新プログラムが適用されるタイミングを全面的に制御します。 代わりに、必要に応じてエージェントを手動でアップグレードします。

• Docker イメージと helm イメージの整合性を確認する: イメージをクラスターにデプロイする前に、イメージが Microsoft によって署名されていることを確認します。 詳細については、「イメージの署名を検証する」を参照してください。

• MQTT ブローカーでの認証には、常に X.509 証明書または Kubernetes サービス アカウント トークンを使用する: MQTT ブローカーは、クライアントに対して複数の認証方法をサポートしています。 リスナー ポートごとに、BrokerAuthentication リソースに関する固有の認証設定を構成できます。 詳細については、「MQTT ブローカー認証を構成する」を参照してください。

• MQTT ブローカーでトピック資産に必要な最小限の特権を提供する: 認可ポリシーは、クライアントがブローカーに対して実行できるアクション (トピックへの接続、公開、サブスクライブなど) を決定します。 BrokerAuthorization リソースで 1 つまたは複数の認可ポリシーを使うように MQTT ブローカーを構成します。 詳細については、「MQTT ブローカー認可を構成する」を参照してください。

• Azure IoT Layered Network Management (プレビュー)を使用して分離ネットワーク環境を構成する: Azure IoT Layered Network Management (プレビュー) は、分離されたネットワーク環境での Azure とクラスター間の接続を容易にするコンポーネントです。 産業シナリオでは、分離ネットワークは ISA-95/Purdue Network アーキテクチャに準拠します。 詳細については、「Azure IoT Layered Network Management (プレビュー) とは」を参照してください。

クラウド セキュリティ

• クラウド接続にユーザー割り当てマネージド ID を使用する: 常にマネージド ID 認証を使用します。 可能な場合は、データ フロー エンドポイントでユーザー割り当てマネージド ID を使用し、柔軟性と監査可能性を確保します。

• 可観測性リソースをデプロイし、ログを設定する: 監視機能により、Azure IoT Operations 構成のすべてのレイヤーが可視化されます。 これは、問題の実際の動作に関する分析情報を提供し、サイト信頼性エンジニアリングの有効性を高めます。 Azure IoT Operations を使用すると、Azure でホストされているカスタム キュレーションされた Grafana ダッシュボードを通じて、可観測性が提供されます。 これらのダッシュボードは、Prometheus 用の Azure Monitor マネージド サービスと Container Insights を利用しています。 Azure IoT Operations をデプロイする前に、クラスターに監視リソースをデプロイします。

• Azure RBAC を使用して資産と資産エンドポイントへのアクセスをセキュリティで保護する: Azure IoT Operations の資産と資産エンドポイントには、Kubernetes クラスターと Azure portal の両方に表現があります。 Azure RBAC を使用して、これらのリソースへのアクセスをセキュリティで保護できます。 Azure RBAC は、Azure リソースへのアクセスを管理できる承認システムです。 Azure RBAC を使用して、特定のスコープ内のユーザー、グループ、アプリケーションにアクセス許可を付与できます。 詳細については、「資産と資産エンドポイントへのアクセスをセキュリティで保護する」を参照してください。

クラウドベースのソリューション

次の図は、一般的なクラウドベースの IoT ソリューションでのコンポーネントの概要を示したものです。 この記事では、クラウドベースの IoT ソリューションのセキュリティについて説明します。

クラウドベースの IoT ソリューションのセキュリティは、次の 3 つの領域に分割できます。

• "デバイスのセキュリティ:" IoT デバイスが実際の環境に展開されている間、そのデバイスを保護します。

• "接続のセキュリティ": IoT デバイスと IoT クラウド サービスの間で送信されるすべてのデータの機密性と改ざん防止を確保します。

• "クラウド セキュリティ": データが移動し、クラウドに保存される間、データを保護します。

この記事のレコメンデーションを実装すると、共有責任モデルで説明されているセキュリティの義務を満たすのに役立ちます。

Microsoft Defender for IoT

Microsoft Defender for IoT では、この記事に含まれるレコメンデーションの一部を自動的に監視できます。 Microsoft Defender for IoT を、クラウドベースのソリューションを保護するための防御の最前線にする必要があります。 Microsoft Defender for IoT では、Azure リソースのセキュリティ状態を定期的に分析し、潜在的なセキュリティ脆弱性を特定します。 その後、それらに対処する方法の推奨事項を提供します。 詳細については、以下をご覧ください。

• セキュリティに関する推奨事項を使用してセキュリティ体制を強化する。
• 組織向けの Microsoft Defender for IoT とは。
• デバイス ビルダー向け Microsoft Defender for IoT とは。

デバイス セキュリティ

• ハードウェアのスコープを最小要件に絞る: 操作に必要な最小限の機能を含むデバイス ハードウェアを選択します。それ以上の機能は含めません。 たとえば、USB ポートは、ソリューション内のデバイスの操作に必要な場合にのみ含めます。 デバイスに機能を追加すると、不要な攻撃ベクトルにさらされる可能性があります。

• 改ざん防止ハードウェアを選択する: デバイス カバーの開放、やデバイスの一部の取り外しなど、物理的な改ざんを検出するメカニズムが組み込まれたデバイス ハードウェアを選択します。 これらの改ざん信号は、クラウドにアップロードされるデータ ストリームに含めることができます。これにより、このようなイベントをオペレーターに警告できます。

• セキュリティで保護されたハードウェアを選択する: 可能な場合は、トラステッド プラットフォーム モジュールに基づいた、セキュリティで保護された暗号化されたストレージや、ブート機能などのセキュリティ機能を含むデバイス ハードウェアを選択します。 これらの機能により、デバイスのセキュリティが強化され、IoT インフラストラクチャ全体の保護に役立ちます。

• セキュリティで保護された更新プログラムを有効にする: IoT デバイスの無線更新には、Device Update for IoT Hub などのサービスを使用します。 更新中および更新後にデバイスをセキュリティで保護するために、更新プログラム用のセキュリティで保護されたパスとファームウェア バージョンの暗号化保証を使用してデバイスを構築します。

• セキュリティで保護されたソフトウェアの開発方法に従う: セキュリティで保護されたソフトウェアの開発には、プロジェクトの開始からその実装、テスト、およびデプロイに至るまで、セキュリティを初期段階から考慮する必要があります。 Microsoft セキュリティ開発ライフサイクルは、セキュリティで保護されたソフトウェアを構築するためのステップ バイ ステップ アプローチを提供します。

• 可能な場合はデバイス SDK を使用する: デバイス SDK は、堅牢で安全なデバイス アプリケーションの開発に役立つ暗号化や認証などのさまざまなセキュリティ機能を実装します。 詳しくは、「Azure IoT SDK」をご覧ください。

• オープンソース ソフトウェアを慎重に選択する: オープンソース ソフトウェアは、ソリューションを簡単に開発する機会を提供します。 オープン ソース ソフトウェアを選択する際には、オープン ソース コンポーネントごとにコミュニティのアクティビティ レベルを考慮します。 アクティブなコミュニティでは、確実にソフトウェアがサポートされ、問題が検出されて対処がなされます。 不明瞭な非アクティブなオープン ソース ソフトウェア プロジェクトはサポートされず、問題が検出されない可能性が高くなります。

• ハードウェアを安全にデプロイする: IoT の配置では、公共施設や監視されていないロケールなど、セキュリティで保護されていない場所にハードウェアを配置することが必要な場合があります。 このような状況では、ハードウェアの展開に対し可能な限り改ざん防止策を施し、物理的な攻撃フットプリントを最小限に抑えるために必要な機能のみを有効にします。 たとえば、ハードウェアに USB ポートがある場合は、安全にカバーされていることを確認します。

• 認証キーを安全に保管する: デプロイ中、各デバイスはデバイス ID、およびクラウド サービスによって生成される関連する認証キーを必要とします。 これらのキーを物理的に安全に保ち、更新可能な資格情報を使用します。 悪意のあるデバイスは、侵害されたキーを使用して既存のデバイスを偽装できます。

• システムを常に最新の状態に保つ: デバイスのオペレーティング システムとすべてのデバイス ドライバーが最新バージョンにアップグレードされることを確認します。 オペレーティング システムを最新の状態に保つことは、悪意のある攻撃からの保護を保証するのに役立ちます。

• 悪意のあるアクティビティから保護する: オペレーティング システムで許可される場合は、各デバイスのオペレーティング システムに最新のウイルス対策とマルウェア対策機能をインストールします。

• 頻繁に監査を行う: セキュリティ インシデントに対応するときには、セキュリティ関連の問題について IoT インフラストラクチャを監査することが重要です。 ほとんどのオペレーティング システムは、組み込みのイベント ログを提供します。これらを頻繁に監査して、セキュリティ違反が発生していないかどうかを確認する必要があります。 デバイスは、独立した製品利用統計情報ストリームとしてクラウド サービスに送信して分析可能な監査情報を送信できます。

• デバイス製造元のセキュリティと展開のベスト プラクティスに従う: デバイスの製造元がセキュリティとデプロイのガイダンスを提供している場合は、この記事に記載されている一般的なガイダンスに加えて、そのガイダンスに従ってください。

• フィールド ゲートウェイを使用して、レガシ デバイスまたは制約付きデバイスのセキュリティ サービスを提供する: レガシ デバイスと制約付きデバイスでは、データの暗号化、インターネットとの接続、高度な監査を提供する機能が不足している可能性があります。 このような場合は、セキュリティで保護された最新のフィールド ゲートウェイによってレガシ デバイスからデータを集計し、これらのデバイスをインターネット経由で接続するために必要なセキュリティを提供できます。 IoT Edge デバイスはゲートウェイとして使用でき、セキュリティで保護された認証、暗号化されたセッションのネゴシエーション、クラウドからのコマンドの受信など、多数のセキュリティ機能を提供します。 Azure Sphere は、信頼された接続用に設計されていない既存のレガシ システムなど、他のデバイスをセキュリティで保護するためのガーディアン モジュールとして使用できます。

接続のセキュリティ

• X.509 証明書を使用して、IoT Hub または IoT Centralに対してデバイスを認証する: IoT Hub と IoT Central では、デバイスの認証方法として X509 証明書ベースの認証とセキュリティ トークンの両方がサポートされます。 可能であれば、運用環境では、セキュリティが強化される X509 ベースの認証を使用します。 詳細については、「デバイスを IoT Hub に認証」と「IoT Central のデバイス認証の概念」をご覧ください。

• トランスポート層セキュリティ (TLS) 1.2 を使用してデバイスからの接続をセキュリティで保護する: IoT Hub と IoT Central では、TLS を使用して IoT デバイスとサービスからの接続をセキュリティで保護します。 現在、TLS プロトコルの 3 つのバージョン (1.0、1.1、1.2) がサポートされています。 TLS 1.0 と 1.1 はレガシと見なされます。 詳細については、「IoT Hub でのトランスポート層セキュリティ (TLS) のサポート」および「Azure IoT Hub Device Provisioning Service (DPS) の TLS サポート」を参照してください。

• デバイスで TLS ルート証明書を更新する方法があることを確認する: TLS ルート証明書の有効期間は長いですが、それでも有効期限切れ、または取り消しの可能性があります。 デバイスで証明書を更新する方法がない場合、デバイスは IoT Hub、IoT Central、または他のクラウド サービスに後日接続できない可能性があります。 詳細については、「X.509 デバイス証明書をロールする方法」を参照してください。

• Azure Private Linkの使用を検討する: Azure Private Link を使うと、デバイスを仮想ネットワーク上のプライベート エンドポイントに接続して、IoT ハブのパブリック デバイス向けエンドポイントへのアクセスをブロックできます。 詳細については、「Azure Private Link を使用した IoT Hub へのイングレス接続」と、プライベート エンドポイントを使用する IoT Central のネットワーク セキュリティに関するページをご覧ください。

クラウド セキュリティ

• セキュリティで保護されたソフトウェアの開発方法に従う: セキュリティで保護されたソフトウェアの開発には、プロジェクトの開始からその実装、テスト、およびデプロイに至るまで、セキュリティを初期段階から考慮する必要があります。 Microsoft セキュリティ開発ライフサイクルは、セキュリティで保護されたソフトウェアを構築するためのステップ バイ ステップ アプローチを提供します。

• オープンソース ソフトウェアを慎重に選択する: オープンソース ソフトウェアは、ソリューションを簡単に開発する機会を提供します。 オープン ソース ソフトウェアを選択する際には、オープン ソース コンポーネントごとにコミュニティのアクティビティ レベルを考慮します。 アクティブなコミュニティでは、確実にソフトウェアがサポートされ、問題が検出されて対処がなされます。 不明瞭な非アクティブなオープン ソース ソフトウェア プロジェクトはサポートされず、問題が検出されない可能性が高くなります。

• 注意深く統合を行う: ソフトウェア セキュリティの欠陥の多くは、ライブラリと API の境界に存在します。 現在の配置には必要ない可能性がある機能でも、API レイヤーを介して利用できる場合があります。 全体のセキュリティを確保するために、統合するコンポーネントのすべてのインターフェイスにセキュリティ上の欠陥がないことを確認します。

• クラウドの資格情報を保護する: 攻撃者は、IoT デプロイの構成と運用に使用するクラウド認証資格情報を使用して、IoT システムにアクセスして侵害できます。 パスワードを頻繁に変更し、パブリック マシンでこれらの資格情報の使用を控えることで、資格情報を保護します。

• IoT ハブのアクセス制御を定義する: 必要な機能に基づいて、IoT Hub ソリューション内の各コンポーネントが必要とするアクセスの種類を理解し、定義します。 サービス API に IoT ハブに接続するためのアクセス許可を付与するには、Microsoft Entra ID と Shared Access Signatureの 2 つの方法があります。 可能であれば、運用環境では、セキュリティが強化される Microsoft Entra ID を使用します。

• IoT Central アプリケーションのアクセス制御を定義する: IoT Central アプリケーションに対して有効にするアクセスの種類を理解し、定義します。 詳細については、以下をご覧ください。

  • IoT Central アプリケーションでユーザーとロールを管理する
  • IoT Central 組織を管理する
  • 監査ログを使用して IoT Central アプリケーションのアクティビティを追跡する
  • IoT Central REST API 呼び出しを認証および承認する方法

• バックエンド サービスのアクセス制御を定義する: 他の Azure サービスは、IoT Hub または IoT Central アプリケーションがデバイスから取り込むデータを使用できます。 デバイスから他の Azure サービスにメッセージをルーティングできます。 IoT Hub または IoT Central がこれらのサービスに接続するための適切なアクセス許可を理解して構成します。 詳細については、以下をご覧ください。

  • デバイスからクラウドへのメッセージを IoT Hub 組み込みのエンドポイントから読み取る
  • IoT Hub メッセージ ルーティングを使用して device-to-cloud メッセージを別のエンドポイントに送信する
  • IoT Central データのエクスポート
  • Azure Virtual Network 上のセキュリティで保護された宛先に IoT Central データをエクスポートする

• クラウドから IoT ソリューションを監視する: Azure Monitor の IoT Hub メトリックを使用して IoT ソリューションの全体的な正常性を監視するか、IoT Central アプリケーションの正常性を監視します。

• 診断の設定: ソリューションでイベントをログに記録し、診断ログを Azure Monitor に送信して、操作を監視します。 詳細については、「IoT ハブでの問題の監視と診断」をご覧ください。

次のステップ

IoT セキュリティの詳細については、次をご覧ください。

• Azure Arc 対応 Kubernetes の Azure セキュリティ ベースライン
• クラウドネイティブ ワークロードのセキュリティを維持するための概念
• Azure IoT Hub 用の Azure セキュリティ ベースライン
• IoT Central セキュリティ ガイド
• Azure IoT Hub に関する Well-Architected フレームワークの観点