はじめに
ソラコム CTO の安川です。
2015年9月30日に IoT プラットフォームをローンチし、SORACOM Air, SORACOM Beam を世に送り出しました。その後、Air, Beam にも多くの新機能をリリースしてきましたが、その度にお客様やパートナーの皆様から「Cはまだですか?」「先日発表した新機能が”C”ですか?」とご質問を頂いてました。
そんな皆様のご期待に本日お応えできることを大変嬉しく思います。新サービスとして、プライベート接続サービス SORACOM Canal、専用線接続サービス SORACOM Direct を発表しました!
- SORACOM Canal – AWS Tokyo リージョンに構築されたお客様のシステムと SORACOM とを Amazon VPC の Peering 機能を利用して接続し、プライベート接続を実現するサービス
- SORACOM Direct – 任意の環境に構築されたお客様のシステムと SORACOM とを AWS Direct Connect を活用して専用線で直接接続するサービス
どちらもお客様からご要望の多かった、インターネットに出ないモバイルネットワークを実現するサービスとなっております。その背景と接続の技術詳細について、順に解説していきたいと思います。
背景:閉じた IoT システムへのニーズ
IoT システムを構築するにあたって、セキュリティは最も重要な課題です。SORACOM を活用することで、SIM によるデバイス認証、SORACOM Air が提供する 3G/LTE による SORACOM プラットフォームへの安全な通信路及び第3者からの直接アクセスからデバイスを保護するステートフルファイアウォール、SORACOM Beam による暗号化やサーバ認証情報管理のクラウド化などにより、セキュアな IoT システムを構築しやすくなりますが、これまで直接的に解決方法を提供できていなかった課題として下記の点が挙げられます。
- IoTシステムのインターネットに公開しているエンドポイントへのサービス妨害攻撃やシステム侵入のリスク
- デバイス自体にマルウェア等を仕込まれて第3者のサーバに情報を漏洩させたり、攻撃に加担したりしてしまうリスク
これは The Internet に繋がっている以上、完全に避けることは出来ないのではないかと言われるかもしれません。私もそう思います。これに対処する効果的な方法としては、デバイスと IoT システムのバックエンドを閉域網にしてしまうことかと思います。
SORACOM Canal, SORACOM Direct は正に、SORACOM Air で繋がったデバイスとシステムに、その選択肢を与えるためのサービスだと言えます。
SORACOM Canal / Direct の接続形態
SORACOM Canal / Direct をご利用のお客様には、接続先に対応する SORACOM Virtual Private Gateway(VPG) が提供されます。
SORACOM VPG は、SORACOM Air で繋がったデバイスと、Canal / Direct で接続されたお客様のシステムとを接続する仮想のゲートウェイです。AWS VPC 上に構築されており、その VPC と Peering あるいは Direct Connect 接続することで、お客様のシステムとデバイスとの閉域網接続を可能にします。
SORACOM Canal でお客様のシステムをプライベート接続
SORACOM Direct でお客様のシステムを専用線接続
SORACOM Air を装着したデバイスが SORACOM VPG を利用するかどうかは、SORACOM Air の接続に関するオプションとなっており、SIM の Group ごとに設定することが可能です。具体的には、VPG を使うかどうかのフラグと、利用する VPG の ID を GroupのSORACOM Air 関連設定として入れて頂きます。
{
SoracomAir: {
useVpg: true,
vpgId: <SORACOM Canal/Direct に接続するための VPG の ID>
}
}
上記のように設定すると、次回の接続開始時から、通常使われるインターネットへのゲートウェイの代わりに指定された VPG が利用されるようになり、お客様のシステムへの直接接続可能な SIM とすることが出来ます。
SORACOM Air の各種機能や、Beam との併用も可能ですので、例えば SORACOM Air のカスタム DNS オプションを利用して、閉域網の中に構築した DNS サーバでプライベートな名前解決を行ったり、Beam のプロトコル変換を利用して通信のオーバーヘッドを削減したりといったことも可能です。
SORACOM Canal / Direct をご利用頂くには
2016年1月現在、SORACOM Canal / Direct は Limited Preview というステータスでご提供させていただいております。ご利用をご希望のお客様は下記の申し込みページより、ご利用予定のユースケースの説明を添えてお申し込み下さい。
ご提供可能となり次第、ソラコムからご連絡をさせて頂くという形を取っております。ご希望のお客様は是非ご検討のユースケース等をお知らせ頂ければと思います。
おわりに
プライベート接続サービス SORACOM Canal と、専用線接続サービス SORACOM Direct、いかがでしたでしょうか?
少し裏話をさせていただきますと、閉域網接続はお客様からご要望の強い機能だったのですが、実現するにはいくつか技術的な課題がありました。その課題を克服出来たのは両サービスを実現するにあたっての重要な役割を果たしている VPG のコンセプトです。
思えばこの仕組みを思いついたのはまだ SORACOM を発表する前、当時はまだ外の人だった moto こと松井さんとお昼ごはんを食べ終わって歩いている時でした。元々 SORACOM Air のきっかけになった思いつきも代表の玉川と飲んでいる時でしたし、振り返ってみると、アイデアが出てくるのはいつも最高の仲間と飲んだり食べたり、ワイワイ楽しく技術話をしている時か、一緒に未来を向いて本気のフィードバックをくれるお客様やパートナーの皆様とのコミュニケーションだなとしみじみ思います。
というわけで、毎度おなじみの締めくくりとなりつつ有りますが、これからも SORACOM は皆様のフィードバックを受けて進化を続けていきますので、どうぞ皆様のフィードバックをお聞かせ下さい!
ソラコム 安川