SORACOMアカウントを作ったら、最初に確認しておきたい設定

こんにちは、テクノロジー・エバンジェリストの松下(ニックネーム: Max)です。

多くの企業や組織で新年度を迎えた中、新たにIoTやDXへ取り組み始めた方も多いのではないでしょうか。

IoTの「つなぐ」を簡単にするサービスを提供しているSORACOMは、IoT向けの通信に加えて、IoTデバイスやクラウド開発の手間を軽減できるため、アイデアを形にする時間を大幅に短縮できます。一方でSORACOMでは、IoT通信回線の管理や、クラウド連携用の認証情報の保管をすることから、SORACOMアカウント自体は大切に運用する必要があります。

そこで本ブログでは、SORACOMアカウントを安心・便利に利用できる「最初に確認しておきたい設定」をご紹介します。すでにSORACOMをご利用中の方も、見直し情報としてご覧ください。

今すぐやっておきたい、トラブルを未然に防ぐ2つの設定

設定額を超えたらお知らせ「ご利用料金アラート」

SORACOMサービスのほとんどが従量課金、すなわち「使ったら使っただけ」の料金体系です。例えばIoT通信データ通信サービス「SORACOM Air」のplan-Dというサブスクリプションのデータ通信料は1MBあたり0.22円で、上限設定はありません。このことに不安を持たれる方もいらっしゃるのではないでしょうか。

そこで設定しておきたいのがご利用料金アラートです。
SORACOMアカウントの月内利用料金が設定額を超えたら、メールでお知らせしてくれる機能です。この機能を設定しておけば、安心してSORACOMをお使いいただけます。設定方法や条件などは、以下のブログをご覧ください。

SORACOM をさらに安心して使える！「ご利用料金アラート機能」を追加しました – SORACOM公式ブログ

みなさま、こんにちは。本日より「ご利用料金アラート機能」がご利用いただけるようになりましたので、お知らせします！ ご利用料金アラート機能は「オペレーターの今月の…

blog.soracom.com

どのくらいの金額を設定したらよいか、目安に使えるツールが料金見積もりツール、見積書作成です。見込みのデータ量を入力すると、その場で料金を表示します。
ちなみに私は、デモ用アカウントの設定金額を2000円にしました。これは約2GB/月程度に相当します。IoT用途でここまで使うことは無いと思うため、今後の様子を見ながら最適な設定金額を探そうと思っています。

SORACOM Airには、地域や回線種類、ユースケースに応じて多くのサブスクリプション(料金プラン)があります。ここでは完全従量課金のplan-Dを例に挙げましたが、月額基本料の中に300MBの通信量をバンドルした “plan-D D-300MB” もあります。このサブスクリプションの詳細はD-300MBのページをご覧ください。また、その他のサブスクリプションはSORACOM Air for セルラーのページにまとまっています。

転ばぬ先の杖、アカウント復旧に「リカバリメールアドレス」

SORACOMのウェブ管理画面「SORACOMユーザーコンソール」は、メールアドレスがログインIDです(プライマリーメールアドレスと言います)。このメールアドレスがわからなくなってしまった場合、ログインができなくなるだけでなく、パスワードリセット用のメール確認できずに復旧もままならない事態が想定されます。

そのような場合に備えて設定しておきたいのが「リカバリメールアドレス」です。
リカバリメールアドレスとは、ログインに利用するプライマリメールアドレスにアクセスできない場合に、ソラコムから確認のためにご連絡させていただくメールアドレスです。リカバリメールアドレスを設定しておけば、仮にログイン情報が失われたとしても、お客様自身でアカウント復旧をしていただくことができます。設定方法や適切な設定例は、以下のブログをご覧ください。

ソラコムのアカウントにリカバリメールアドレス、請求メールアドレスが追加できるようになりました。 – SORACOM公式ブログ

みなさん、こんにちは。これまでソラコムのアカウントでは、1つのメールアドレスが設定でき、ユーザーコンソールへのログイン時にルートアカウントのログインIDとして利用…

blog.soracom.com

リカバリメールアドレスの他にも、経理担当者向けの「請求メールアドレス」や、ソラコムのサポートと技術的な連絡をする方向けの「サポートメールアドレス」も設定可能です。こちらも組織に合わせて設定してください。

よりセキュアな運用に向けた2つの設定

ワンタイムパスワードでセキュアなログイン「多要素認証(MFA)」

SORACOMユーザーコンソールは、ログインIDとパスワードでログインします。万が一、これらの情報が漏洩しても不正ログインされるリスクを低減する方法が、スマートフォン等を用いて一回限りのパスワードを使用する「多要素認証 (Multi-Factor Authentication: MFA)」です。企業のセキュリティポリシーではMFAが必須となっているケースもありますが、SORACOMは対応済みです。

MFAの具体的な設定方法は多要素認証を有効にするをご覧ください。

Getting Started: 多要素認証を有効化する | 多要素認証 | ソラコムユーザーサイト – SORACOM Users

ユーザーコンソールへのセキュアなアクセス

users.soracom.io

MFAによるワンタイムパスワードは、スマートフォンでのアプリ利用が便利です。例えばGoogle 認証システム(Google Authenticator)があります。また、1passwordといったパスワードマネージャーでも管理できます。
MFAはルートユーザー、SAMユーザー(後述)それぞれで設定できます。特にルートユーザーはすべての権限を有していることから、MFAを設定することを強くお勧めします。

担当者毎のユーザー作成と権限設定「SAM (SORACOM Access Management)」

一番最初に作成したアカウントの事を「ルートユーザー」と呼びます。いわゆる管理者アカウントで、すべての権限があるため、ルートユーザーでの作業ミスや、乗っ取りは致命的になる可能性があります。
SORACOMに限らず、クラウドやLinux等の多くのシステムにおいては、ルートユーザーを直接使わず、普段使いのユーザー(アカウント)を作成して運用するのがベストプラクティス(最善の方法)です。

SORACOM Access Management(略称: SAM)は、このベストプラクティスをSORACOM上で実現できる仕組みです。
具体的には、普段使いのユーザー(SAMユーザー)を作成して、必要最小限の権限を設定して利用することになります。SAM自体の全体像や詳細はこちらのブログを、そしてSAMユーザーの作成や権限設定の方法はSAM ユーザーを作成するをご覧いただくとして、ここでは役立つユーザーやロールを紹介します。

ロールとユーザー

SAMユーザーは、作成直後は権限は何も設定されていません。ログインすらできません。
そこで、SAMユーザーに権限を割り当てることで、いろいろなことができるようになります。この権限をまとめる単位(権限集)が「ロール」です。よって、ロールを作成してから権限を割り当てた後、SAMユーザーを作成し、最後にロールをSAMユーザーに割り当てるという手順になります。

権限割り当ては、ロールを使わずにSAMユーザーへ直接割り当ても可能です。しかし、SAMユーザーは1人1人に作成することが望ましいです。例えば異動に伴ってSAMユーザーは増減するため、設定の手間軽減とミス防止を考えると「ロール」という権限のまとまりを作っておくことが良いでしょう。

開発初期向けのロールとユーザ

ここでは開発初期段階で、便利かつ安全に利用できるロールとSAMユーザーの例を紹介します。

この段階では開発チームも限定的であるため、全ての開発者に全権限を割り当てる考え方です。一見するとルートユーザーの運用と変わらないように思えますが、開発者1人1人に許可・不許可が設定できるため、ルートユーザーのログイン情報を共有するより安全に運用できます。
また、「課金情報の参照(表示)」に権限を限定したロールを用いたりすることで、IT系システムに不慣れな経理担当者でも安心して課金情報の確認ができるようになります。この場合、先の「請求メールアドレスの設定」と共に行うと、より効果的でしょう。

ロール	利用できるアクセス権限テンプレート	割り当て先 SAMユーザー
フル管理	全てのAPIを許可	開発者毎にSAMユーザーを作成
支払い管理	課金情報の参照のみ許可	経理担当者毎にSAMユーザーを作成

「利用できるアクセス権限テンプレート」とは、よく利用される権限設定をまとめたテンプレートです。これを利用すれば、手軽に権限設定できます。詳しくはこちらのブログをご覧ください。

権限設定は過不足なく行うことが求められます。アクセス権限テンプレートの利用も便利ですが、加えて検討したいのがSAMデフォルト権限です。
SAMユーザーすべてに対して基礎となる権限を適用できます。例えば「SAMユーザーに自分自身のパスワード変更を許可」といった、一律適用したい権限を設定できます。いわば、独自のテンプレート機能といったところでしょうか。まずはロールで個別運用を行いつつ、共通点が見えていたらSAMデフォルト権限を併用するといった発展的運用が良いでしょう。
一点注意は、作成直後のSAMユーザーにも適用されるため、SAMデフォルト権限は共通かつ最小限の権限を割り当てることをおススメします。

法人でのご利用なら、一度は確認しておきたい2つの設定と情報

IT統制に役立つ「監査ログ」と「セキュリティチェックシート」

IoTやDX活用が進むと求められるのが「IT統制」です。SORACOMでは、先んじてIT監査に対応できる「監査ログ」機能や、セキュリティチェックシートといったドキュメントを用意しています。詳細はこちらのブログをご覧ください。

IT統制に活用できる監査ログの「全記録」が可能となるエンタープライズオプションを提供開始 – SORACOM公式ブログ

IoTプラットフォームSORACOMの監査ログ機能 ソラコムでは監査ログとして、IoTプラットフォームSORACOMの管理コンソールおよびAPI経由でのログイン認証履歴（過去24時間分…

blog.soracom.com

監査ログ機能は、標準でもログイン履歴が取得できます。また、エンタープライズオプション(有料)によって取得できる情報が飛躍的に向上し、より詳細なIT統制にも対応できます。

セキュリティチェックシートの取得や、エンタープライズオプションの有効化は面倒な手続き無く、オンライン上でできるため、今すぐ行う設定というよりも、必要になったときに思い出していただきたい機能として紹介しました。

請求書払いへの変更方法

SORACOMでは法人のお客様を対象に、請求書払いをご用意しています。お支払の手段として、請求書に応じた都度振込、口座振替、コンビニ払いの3種に対応しています。

具体的な切り替え方法や条件については、支払方法の管理 / 請求書払いの詳細をご覧ください。切り替えにはお時間をいただくケースもありますので、お早めの手続きをオススメします。

おわりに

SORACOMアカウントを安心・便利に活用するための「最初に確認しておきたい設定」をご紹介してきました。

これらの機能は、IoTの先駆者のフィードバックが基になっているものばかりです。そして、１つ１つは数分あれば実施でき、また無料で設定できるものでもあります。SORACOMは、このような「ちょっと面倒と思われがちな機能」の提供を通じて、皆さんがIoT開発に専念できればと考えています。

皆さんの声がSORACOMの力の源泉です。ぜひ声をお寄せください！そして、SORACOMの今後のアップデートにもご期待ください！

― ソラコム松下 (Max / @ma2shita)