投稿日

閉域網とは?IoTデバイスとデータを保護する方法とSORACOM

こんにちは!
IoTの世界ではセキュリティが非常に重要なテーマです。お客様から「ソラコムって “閉域” なんですか?」といったお問い合わせをよくいただきます。そこで今回は、この疑問にお答えしつつ、ソラコムが提供する閉域網サービスについてもご紹介します。

閉域・閉域網とは?

閉域網とは、一般的にインターネットとは別に構築されたプライベートなネットワークのことを指します。
このネットワークを利用することで、外部からの不正アクセスやデータ漏洩のリスクを低減させることができます。特に、セキュリティが重要視される金融機関や医療機関、インフラ関連企業などでは、閉域網の利用が一般的です。また、その他の分野でも、企業が独自に構築したネットワークを利用している場合は閉域網となります。

オフィスの拠点が1箇所の場合は独自に構築したネットワークが閉域網であることが多いですが、複数の拠点にまたがる場合はどうでしょう。拠点間を結ぶネットワークには、通信キャリアやインターネット企業などが提供する、専用線サービス、広域イーサネットサービス、IP-VPNサービスなどがあります。これらも閉域網ですね。

最近ではリモートワークを導入する企業が増えており、従業員が自宅から企業ネットワークに接続できるインターネットVPNサービスも提供されています。これは名前からもインターネットを経由してはいますが、VPNを使って論理的に構築されたプライベートなネットワークなので、閉域網の一種と言えるかもしれません。

IoTプラットフォーム「SORACOM」のネットワーク

さて、ここからはIoTのネットワークについて考えてみましょう。一般的にIoTでは、企業網の中に構築する場合を除き、モノが複数の拠点に分散され、こちらの図のように直接インターネットに繋がっていることが多いです。そのため、インターネットを利用する前提での、データの暗号化やVPNのようなセキュリティの考慮が必要となります。

それに対し、SORACOMは、クラウド上にモバイルコアシステム(LTEや5Gといったセルラー通信の中核となるシステム)を構築することによって、インターネットとクラウドの接続順序を逆転させています。では、モノとクラウドが直接通信できると何が良くなるのか?
実は、モノとクラウドの間に「閉域網」を簡単に構築することができるのです。

モバイル通信機能を備えた「モノ」は、通信キャリアのネットワークを通じてSORACOMに接続されます。そのため、お客様のIoTのシステムがSORACOMプラットフォーム上(もしくはSORACOMと同じAWS上)にある場合には、インターネットに出ること無く閉域でシステムを作ることが可能です。

デバイスとSORACOM間の閉域網(Secure By Default)

ではもう少し、SORACOMの閉域の仕組みを見ていきましょう。

左側の「暗号化」と書かれたLTE や 5G (セルラー通信) の無線通信部分は、標準化された技術で暗号化されています。また、「閉域網」の部分は通信キャリアの閉域ネットワークで基地局と交換局とが繋がれており、さらにSORACOMへは「専用線」でつなげています。

この構成は、利用国によらず同様に構築され、世界中の通信キャリアのネットワークと閉域接続を実現しています。そのため、SORACOMのどのプランをお使いの場合でも、標準の機能として閉域での接続が担保されているということになります。モノとクラウドが直接通信できるからこその利点ですね。

また、ここで注目したいのは、世界中の通信キャリアと閉域接続ができるということは、SORACOMを介してグローバルな閉域網を構築できるということです。複数の国を跨る閉域網を構築するには、契約の手間や高額なデータ費用が発生してしまいがちですが、これらの問題を回避できることで、さらなるユースケースに適用できると考えています。

SORACOMと外部ネットワーク・クラウドとの閉域網(ソラコムの閉域網サービス)

お客様のシステムが他のクラウドサービスやオンプレミスにあり、それらを閉域網の中に取り込みたい場合は、SORACOMと外部との閉域網を構築することで実現できます。

外部との接続には、お客様システムに応じて様々な接続形態が求められます。SOARCOMでは、接続形態に応じた閉域接続サービスをご用意しています。

  • Amazon VPC Peering による閉域接続 ― SORACOM Canal(カナル)
  • IPSec VPN による閉域接続 ― SORACOM Door(ドア)
  • 専用線によるクラウド・オンプレミス接続 ― SORACOM Direct(ダイレクト)

なお、これらのサービスを使わずに外部へ直接データを送る場合は、前述の通りパブリックなインターネットを通過するため、デバイスとサービス間での暗号化が不可欠です。

SORACOMのデータ転送系サービス SORACOM Beam等を利用する場合もパブリックなインターネットを通過しますが、SORACOM Beam等で暗号化処理ができるため、デバイスとSORACOM間の閉域網内は平文での通信が可能です。詳しくは「IoTプロジェクトの課題から考えるSORACOM Beam・Funk・Funnelのメリットと選び方」の記事を併せてご覧ください。

SORACOMとAWSクラウド間は、標準で閉域ではないのか?

こちらも、よくお問い合わせ頂く内容です。
結論としては、SORACOMとAWS間は標準では閉域ではありません。Amazon VPC Peering による閉域網構築サービス「SORACOM Canal」を利用いただくことで閉域網を構築いただけます。

ここからは、その背景を技術面を含めて紹介します。

このお問い合わせの背景は「SORACOMのコアネットワークが、AWSクラウド上で動いている」という点にあります。SORACOMとAWSの関係をご理解いただいているお客様ほど、この疑問に行き着くようです。

AWSのFAQには、以下のように記載があります。

2 つのインスタンスがパブリック IP アドレスを使用して通信する場合、またはインスタンスがパブリックな AWS のサービスエンドポイントと通信する場合、トラフィックはインターネットを経由しますか?
いいえ。パブリック IP アドレスを使用する場合、AWS でホストされているインスタンスとサービス間のすべての通信は AWS のプライベートネットワークを使用します。AWS ネットワークから発信され、AWS ネットワーク上の送信先を持つパケットは、AWS 中国リージョンとの間のトラフィックを除いて、AWS グローバルネットワークにとどまります。

https://aws.amazon.com/jp/vpc/faqs/ より

「AWSクラウド上のシステム間通信は、AWSクラウド内で閉じている」ことから、AWS上に構築されたSORACOMは、お客様システムも同じAWS上に存在している場合、外部に出ずに閉域に接続できるのでは?といった考え方です。

こちらに技術的な記載もありますが、ソラコムが普段運用・提供しているPGW (PDN Gateway) は、複数のインスタンスやリージョンで構成していますが、IoT通信の安定した接続性を提供する目的から、単純なAWSのインスタンスとして直接外部と通信しているわけでは無いのです。ですので、このFAQには当てはまらず、インターネットを経由するケースがあることにご注意ください。

一方で、閉域接続サービスでご利用いただく、お客様専用のPGWである VPG (Virtual Private Gateway) は、純粋にAWSのEC2 インスタンスとして提供されます。そのため、このFAQのとおりAWSのプライベートネットワークを利用していると言えます。但し、これらの仕様が将来的にも保証されているわけではありませんので、AWS内のデータ通信であっても大切なデータを将来に渡って安全に扱うためには、やはりSORACOM Canal 等の閉域接続サービスのご利用をお勧めします。

まとめ

ソラコムは、お客様のセキュリティ要件に応じて、柔軟な閉域網ソリューションを提供しています。セキュリティとコストのバランスを考えながら、最適な通信環境を構築することが重要です。

ソラコムの閉域網サービスについてさらに詳しく知りたい方は、SORACOM Discovery 2024 の ”閉域網” ブースへお越し頂きご相談ください。
「SORACOM Discovery 2024」のページからお申込みいただけます!

“製造現場DX/IoTに不可欠な「閉域ネットワーク」の作り方” セッションのご案内

SORACOM Discovery では、SORACOMの閉域網を活用して、これまで ”インターネットにつながない” 前提の現場と、事務所やデータセンターをつなげるための安全なIoTの始め方をセッションとしてご紹介します。ご参加ください!

― ソラコム 渡邊(dai)