View a markdown version of this page

発見的統制 - IoT レンズ

発見的統制

IoT アプリケーションのデータ、メトリクス、ログの規模により、集約とモニタリングは Well-Architected IoT アプリケーションの不可欠な部分です。許可されていないユーザーは、IoT アプリケーションのバグを調査し、個々のデバイスを活用して、他のデバイス、アプリケーション、クラウドリソースにさらにアクセスすることを検討します。IoT ソリューション全体を運用するには、個々のデバイスだけでなく、アプリケーション内のデバイス群全体の検出制御を管理する必要があります。デバイスレベルおよびフリート全体のレベルで問題を検出するには、複数のレベルのログ記録、モニタリング、アラートを有効にする必要があります。

Well-Architected IoT アプリケーションでは、IoT アプリケーションの各レイヤーがメトリクスとログを生成します。少なくとも、アーキテクチャには、物理デバイス、デバイスの接続動作、デバイスごとのメッセージの入出力レート、プロビジョニングアクティビティ、承認試行、アプリケーション間のデバイスデータの内部ルーティングイベントに関連するメトリクスとログが必要です。

IOTSEC 5: クラウドとデバイス間でアプリケーションログとメトリクスをどのように分析していますか?

AWS IoT では、AWS IoT Device Defender、CloudWatch Logs、および CloudWatch メトリクスを使用して発見的統制を実装できます。AWS IoT Device Defender では、デバイスの動作やデバイスの接続動作に関連するログとメトリクスを処理します。また、AWS IoT Device Defender では、デバイスや AWS IoT Core からのセキュリティメトリクスを継続的にモニタリングして、各デバイスに適切な動作として定義したものからの逸脱を確認することもできます。 

デバイスの動作または接続動作が通常のアクティビティから逸脱した場合のデフォルトのしきい値セットを設定します。

Amazon CloudWatch メトリクス、AWS IoT Coreによって生成された Amazon CloudWatch Logs、および Amazon GuardDuty を使用して、Device Defender メトリクスを拡張します。これらのサービスレベルのログは、AWS IoT プラットフォームサービスおよび AWS IoT Core プロトコルの使用に関連するアクティビティについての重要な洞察を提供するだけでなく、エンドツーエンドの IoT アプリケーションの重要なコンポーネントである AWS で実行されているダウンストリームアプリケーションについての洞察も提供します。すべての Amazon CloudWatch Logs は、すべてのソースにわたってログ情報を関連付けるために一元的に分析する必要があります。

IOTSEC 6: IoT アプリケーションで無効な ID をどのように管理していますか?

セキュリティ ID は、IoT アプリケーションに対するデバイスの信頼と承認の重要なポイントです。証明書などの無効な ID を集中管理できることが重要です。無効な証明書は、失効、失効、非アクティブにすることができます。Well-Architected アプリケーションの一部として、無効な証明書をすべてキャプチャするプロセスと、証明書トリガーの状態に基づく自動応答が必要です。無効な証明書のイベントをキャプチャする機能に加えて、デバイスには IoT プラットフォームへの安全な通信を確立するための二次的な手段も必要です。前述のとおり、デバイスに 2 つの形式の ID が使用されるブートストラップパターンを有効にすることで、無効な証明書を検出し、デバイスまたは管理者が修復のために信頼された安全な通信を確立するためのメカニズムを提供するための、信頼性の高いフォールバックメカニズムを作成できます。

Well-Architected IoT アプリケーションは、失効したすべてのデバイス証明書または認証機関 (CA) を追跡する証明書失効リスト (CRL) を確立します。オンボーディングデバイスに独自の信頼できる CA を使用し、IoT アプリケーションに定期的に CRL を同期します。IoT アプリケーションは、有効でなくなった ID からの接続を拒否する必要があります。

AWS では、PKI 全体をオンプレミスで管理する必要はありません。AWS Certificate Manager (ACM) プライベート認証機関を使用して、クラウドで CA をホストします。または、APN パートナーと協力して、IoT デバイスのハードウェア仕様に事前設定されたセキュア要素を追加できます。ACM には、失効した証明書を S3 バケットのファイルにエクスポートする機能があります。同じファイルを使用して、AWS IoT Core に対する証明書をプログラムで取り消すことができます。

証明書のもう 1 つの状態は、有効期限が近いがまだ有効であることです。クライアント証明書は、少なくともデバイスのサービス有効期間にわたって有効である必要があります。有効期限に近いデバイスを追跡し、OTA プロセスを実行して、証明書を更新して後で有効期限のある新しい証明書に更新し、監査目的で証明書のローテーションが必要になった理由に関するログ情報を提供するのはお客様の IoT アプリケーション次第です。

証明書と CA の有効期限に関連する AWS IoT Device Defender 監査を有効にします。Device Defender は、30 日以内に有効期限が切れるように設定された証明書の監査ログを作成します。証明書が有効でなくなる前にデバイスをプログラムで更新するには、このリストを使用します。独自の有効期限ストアを構築して、証明書の有効期限を管理し、プログラムによってデバイス証明書の交換または更新のための OTA のクエリ、識別、トリガーすることもできます。