こんにちは、ソリューションアーキテクト豊福 (ニックネーム : toyo) です。
本ブログでは、デバイス〜クラウド間通信を保護するアプローチの特徴と比較、SORACOM の活用方法について前後編に分けて解説します。
SORACOM Beam・Funnel・Funk と SORACOM Canal・Door・Direct の使い分け
暗号化とプライベート接続はいずれも通信内容を保護する手段ですが、業界や企業のセキュリティポリシーによっては、暗号化されていたとしても、インターネット上の通信そのものが許容されないこともあるでしょう。そのようなケースでは、SORACOM Canal・Door・Direct によるプライベート接続が有効な選択肢になります。
暗号化とプライベート接続のいずれを選ぶべきか判断する際は、具体的な要件や利用シナリオを考慮することが重要です。選択肢を絞り込むためには、デバイスとクラウド間の連携形式や、サービス利用に伴うコストの観点から比較検討を行うと効果的です。以下では、それぞれの観点について解説します。
デバイス〜クラウド間連携の形式
求められるデバイス〜クラウド間連携の形式に対して、SORACOM Beam・Funnel・Funk と SORACOM Canal・Door・Direct の使い分けを考えてみましょう。
【1】 デバイスからクラウド方向の片方向通信のみ必要
「デバイスのデータをクラウドや顧客システムにアップロードしたい」といったシンプルな要件の場合、SORACOM Beam・Funnel・Funk を利用することで、デバイス側や運用管理の負担を軽減しつつ、暗号化によるセキュリティ確保が可能です。
【2】クラウドからデバイス方向を含む双方向通信が必要
デバイス〜クラウド間で双方向通信(例:遠隔制御、遠隔監視、デバイス連携など)を実現する場合、考慮すべき点が増え、実装も複雑になりがちです。まずは双方向通信が本当に必要かどうか、また要件を簡素化できないか検討することが重要です。
双方向通信が不可欠である場合は、こちらの資料をご覧ください。通信保護の手法 (暗号化 or プライベート接続) と併せて、実現したい IoT システムに最適なデザインパターン(「アプリケーションパターン」、「デバイスリードパターン」、「IPアクセスパターン」)を検討する必要があります。
IPアクセスパターンの双方向通信については、VPG Type-F2 によって、シンプルな構成で実現可能です。VPG Type-F2 については以下ブログもご覧ください。
【3】SORACOM Beam・Funnel・Funk がサポートしないクラウド連携が必要
SORACOM Beam は任意のサーバへのデータ転送を、SORACOM Funnel・Funk は特定のクラウドサービスへの連携をサポートしますが、すべてのデバイス〜クラウド間連携をカバーできるわけではありません。
実現したいデバイス〜クラウド間連携が SORACOM Beam・Funnel・Funk でサポートされない場合は、SORACOM Canal・Door・Direct の利用を検討する必要があります。
利用コスト
IoT システムの設計においてコスト管理も重要です。SORACOM Beam・Funk・Funnel と SORACOM Canal・Door・Direct の利用料を比較してみましょう。
SORACOM Beam・Funnel・Funk と SORACOM Canal・Door・Direct の料金体系概要は以下の通りです。料金詳細については、各サービスの料金プランを参照頂くか、ソラコムのセールスチームにご相談ください。
| SORACOM Beam・Funnel・Funk | SORACOM Canal・Door・Direct (VPG 有効時オプション機能) | |
|---|---|---|
| 通信内容の 保護手法 | SORACOM〜クラウド間通信の暗号化 | SORACOM〜クラウド間プライベート接続 |
| 基本料金 | 無し | 有り (VPG 基本料金 + SORACOM Canal・Door・Direct 利用料金) |
| 従量課金料金 (データ転送量) | 有り (無料利用枠有り) | 無し |
| 従量課金料金 (使用時間) | 無し | 有り (無料利用枠有り) |
| コスト比較 (SORACOM IoT SIMのデータ通信利用料は含みません) | 月額基本料金不要なため、デバイス数・通信量が少ないケースで SORACOM Canal・Door・Directより低コストとなり得る | データ転送量に依存しないため、デバイス数・通信量が多いケースでSORACOM Beam・Funnel・Funk より低コストとなり得る |
料金体系の違いから、データ通信量が少ないケースでは SORACOM Beam・Funnel・Funk が低コストになりやすく、多い場合は SORACOM Canal・Door・Direct が有利になる場合があります。
暗号化とプライベート接続のどちらが低コストとなるかイメージを掴むために、SORACOM Beamを例として、以下条件で月間利用料を計算してみましょう。(各サービスの詳細については、こちらを参照ください)
- デバイス数 : 50
- データ送信頻度 : 1回/分/デバイス
- SORACOM Beam では1回のデータ送信を「2リクエスト」とカウントします
この条件では、SORACOM Beam の月間リクエスト数は以下の通りです。
50 [台] × 2 [リクエスト/分/台] × 60 [分] × 24 [時間] × 31 [日] = 4,464,000 [リクエスト]
SORACOM Beam の月間無料枠100,000 [リクエスト] を考慮すると、SORACOM Beamの月間利用料 (31日想定) としては以下のようになります。
(4,464,000 – 100,000) [リクエスト] × 0.00099 [円/リクエスト] = 4,320 [円/月]
プライベート接続の場合、 VPG Type-F と SORACOM Direct (専用線接続サービス) を利用する場合、SORACOM のプライベート接続に対する月額利用料 (31日想定) は以下の通りです:
40,920 [円/月] (VPG Type-F 基本料金) + 8,184 [円/月] = (SORACOM Direct 利用料金) = 49,104 [円/月]
プライベート接続の場合、上記 SORACOM の利用料に加えて、お客様クラウド側でプライベート接続を終端するための追加料金が発生します。
この条件 (50台で1回/分/デバイスのデータ送信頻度) では、SORACOM Beam (暗号化) の方が VPG + SORACOM Direct (プライベート接続) よりも低コストでの運用が可能です。
一方、データ通信量がさらに多い場合 (例: 5,000台で1回/分/デバイスのデータ送信頻度)、SORACOM Canal・Door・Direct を利用したプライベート接続が低コストとなる可能性があります。
SORACOM Beam・Funnel・Funk は、お客様専用ゲートウェイ VPG (Virtual Private Gateway) (全てのType) と併用可能です。VPG を利用する場合、「アプリケーションサービス等利用料割引」によってSORACOM Beam・Funnel・Funk の従量課金は発生せず、VPGの月額利用料 (VPG Type-E 8,184 円/月〜) に組み込まれます。
SORACOM Beam・Funnel・Funk のコストを抑えたい場合、または VPGの機能も必要な場合、SORACOM Beam・Funnel・Funk と VPG の併用構成もご検討ください。
SORACOM Beam・Funnel・Funk と SORACOM Canal・Door・Direct の併用構成
SORACOM Beam・Funnel・Funk と SORACOM Canal・Door・Direct の使い分けについてご紹介してきましたが、IoT システムの要件によっては両方が必要なケースも考えられます。
1つの SIMグループに対して SORACOM Beam・Funnel・Funk と VPG (SORACOM Canal・Door・Direct も有効) を有効化することで、暗号化された通信で効率的にクラウドと連携しつつ、機密性の高いデータはプライベート接続先に転送する、といった併用構成も可能です。
なお併用構成上の注意点として以下をご留意ください。
- SORACOM Beam・Funnel・Funk のデータ転送先 FQDN(Fully Qualified Domain Name)の名前解決のため、VPG (Type-F・G・F2) の設定で「インターネットゲートウェイ」を有効化してください。
- デバイスの VPG 経由のインターネットアクセスを禁止したい場合、VPGのアウトバウンドルーティングフィルターで制御可能です。
- デバイス側で SORACOM Beam・Funnel・Funk と SORACOM Canal・Door・Direct の通信先を分けてデータ送信する。
- 暗号化向け通信は、デバイスから SORACOM Beam・Funnel・Funk または Unified Endpoint のエンドポイント宛にデータを送信
- プライベート接続向け通信は、デバイスからの通信先が SORACOM Canal・Door・Direct の接続先設定 (例: SORACOM Canal での Amazon VPC アドレスレンジ) に含まれるよう設定する。必要に応じて SORACOM Junction Redirection や、VPG Type-F2 のルーティングテーブルを利用して経路制御を行う。
まとめ
IoTシステムを設計する際は、デバイスの処理負荷やクラウド連携の形式、利用コストなどをバランスよく考慮しながら、SORACOMの暗号化やプライベート接続を適切に組み合わせることが大切です。それぞれのサービスの特徴を踏まえて検討し、ご自身の環境に合った方法を選んでみてください。
SORACOM は IoTシステムを実現するための多彩なサービスを提供していますが、どのサービスを選ぶのが最適か迷われることもあるかもしれません。このブログの内容が少しでも検討のお役に立てば幸いです。何かご不明な点があれば、ソラコムのセールスチームまでお問い合わせください。
また、IoT の基礎知識から実践的な活用方法までを学べる書籍として、ソラコムのメンバーが執筆した「IoTの知識地図」が発売されています。本ブログでは触れきれなかった内容も含め、IoT に関するさまざまな視点を網羅的に解説していますので、ぜひお手に取ってご覧ください。
― ソラコム 豊福 (toyo)