AWS IoT Device Defender のよくある質問

AWS IoT Device Defender は、IoT 設定を継続的に監視するフルマネージド IoT セキュリティサービスです。AWS IoT Device Defender を使用すると、セキュリティの問題を特定し対処するツールを利用できます。AWS IoT Device Defender でデバイス群を監査してセキュリティのベストプラクティスを実行し、デバイス群を継続的にモニタリングし、何らかの異常動作が検知された場合は、セキュリティの問題が発生したことを知らせるアラートが送信され、問題を軽減するための組み込みの緩和アクションが提案されます。

監査: AWS IoT Device Defender では、AWS IoT のセキュリティベストプラクティス (デバイスごとの最小特権の原則や固有の設定など) に照らして、デバイス関連リソース (X.509 証明書、IoT ポリシー、顧客 ID など) を監査できます。また AWS IoT Device Defender は、同じ ID を使用する複数のデバイスや、1 つのデバイスで多くのデバイスのデータ読み込みや更新を許可する寛容すぎるポリシーなど、セキュリティのベストプラクティスを順守していない設定を報告します。

ルール検出: AWS IoT Device Defender では、デバイスや AWS IoT Core からの重要なセキュリティメトリック (デバイスのリスニング TCP ポート数や認証エラー数など) を継続的に監視することで、何らかの危険を示唆するデバイス動作の異常が検知されます。メトリックの動作 (ルール) を設定することで、一連のデバイスに対して通常動作をあらかじめ定義することができます。AWS IoT Device Defender は、報告された各データポイントを監視、評価して、ユーザー定義の行動 (ルール) に対するメトリクスを確認し、異常が検出された場合はアラートを送信します。

ML 検出 AWS IoT Device Defender は、直近 14 日間の 6 つのクラウド側メトリクス (認証失敗カウント、メッセージ送信カウントなど) および 7 つのデバイス側メトリクス (出力パケット数、リッスンしている TCP ポート数など) にわたるデバイスデータを使用したトレーニングにより、機械学習 (ML) モデルでデバイスの動作を自動的に設定します。次に、(モデルのトレーニングに十分なデータがある限り) モデルを毎日再トレーニングして、最初のモデルが構築されてから 14 日後の最新のトレーニングに基づいて予想されるデバイスの動作を更新します。AWS IoT Device Defender は、ML モデルを使用してこれらのメトリックの異常なデータポイントを監視および識別し、異常が検出された場合にアラームをトリガーします。ルール検出と比較すると、この機能の主なベネフィットは次のとおりです。通常のデバイスアクティビティのしきい値を定義しなくても、フリートデバイス全体の運用およびセキュリティの異常を自動的に検出し、デバイスからの新しいデータトレンドに基づいて予想されるデバイスの動作を動的に更新して、誤検知を減らします。

アラート: AWS IoT Device Defender により、AWS IoT コンソール、Amazon CloudWatch、Amazon SNS にアラームが送信されます。

リスクの軽減: AWS IoT Device Defender では、デバイスのメタデータや統計データ、アラート履歴など、デバイスの使用状況および履歴情報が提供されるため、問題を詳しく調査することができます。AWS IoT Device Defender の組み込み緩和アクションを使用して、Thing グループへの Thing の追加、デフォルトのポリシーバージョンの置き換え、デバイス証明書の更新など、監査および検出アラームの緩和手順を実行することもできます。

AWS IoT Core では、デバイスをクラウドやその他のデバイスに安全に接続できるよう、セキュリティの重要な要素をビルディングブロック方式で提供しています。このため、お客様の設定に合わせてさまざまなセキュリティレベルで認証、権限の付与、監査ログ、エンドツーエンド暗号化などのセキュリティコントロールを実行することができます。AWS の責任共有モデルに従い、お客様はビジネス要件に基づくセキュリティの基本設定を決定できます。ただし、人的ミスやシステムエラーにより、あるいは認証されたアクターによって故意に、セキュリティを脅かすような設定が挿入される場合があります。 

AWS IoT Device Defender なら、セキュリティ設定を絶え間なく監査し、セキュリティのベストプラクティスおよび会社のセキュリティポリシーを順守することができます。いついかなる時でも誤設定は起こり得るため、継続的なモニタリングが不可欠です。さらに、セキュリティ設定は時の流れに影響を受けやすいものであるうえ、新しいリスクは常に発生し続けます。例えば、デバイス証明書にセキュアなデジタル署名を提供していた暗号化アルゴリズムも、コンピュータ技術や暗号解読法が進むにつれ、安全性は弱まってしまいます。

AWS IoT Device Defender なら、AWS IoT セキュリティコントロールを効果的に利用するタイミングがわかります。ただし、デバイスにセキュリティパッチを適用する前にセキュリティの誤設定が修正されなかったり、新しい攻撃パターンが公開されたりした場合、接続されたデバイスのセキュリティが保証されるとは限りません。AWS IoT Device Defender は、すでに被害を受けたデバイスを特定し、攻撃を牽制しながら是正処置を行うことで、AWS IoT のセキュリティコントロールにおける予防的な役割を果たします。

いいえ。コンソールで数回クリックするだけで、IoT 設定を監査することや、クラウド側のすべてのメトリクスをモニタリングすることができます。デバイス側のメトリクスをモニタリングする場合は、デバイスコードを多少変更して、デバイス側のメトリクスを AWS IoT Device Defender にパブリッシュする必要があります。サンプルエージェントの実装例は、を参照してください。AWS IoT Greengrass と FreeRTOS は、デバイス側とクラウド側両方のメトリクスに対して AWS IoT Device Defender と完全に統合されています。

デバイスプラットフォームに、特殊なハードウェアを用いて信頼できる実行環境を用意できる場合は、その環境においてデバイスエージェントを実装することを強くお勧めします。このタイプのデザインを実装する詳しい方法については、ハードウェアセキュリティソリューションベンダーにお問い合わせください。

はい、Device Defender を使用して監視する独自のカスタムメトリックを作成できます。定義したデバイス側のメトリックを監視する方法については、ドキュメントをご覧ください。

AWS IoT Device Defender を使用すると、監査タスクのスケジュールやデバイスアクティビティの監視を行い、監査結果やデバイスの異常動作アラームなどの通知を受信できます。

監査タスクは、お客様が定義した AWS IoT 設定を評価するものです。このタスクは、オンデマンドまたは設定したスケジュールで実行できます。監査の精度を向上して誤検知を最小限に抑えるため、AWS IoT Device Defender では、デバイスの AWS IoT Core とのインタラクションがコンテキストとして使用されます。

AWS IoT Device Defender は、接続されたデバイスおよびその AWS IoT Core とのインタラクションから収集した重要なセキュリティメトリックを分析して、デバイスのアクティビティを継続的に監視し、異常動作を検出しています。ルール検出を使用すると、メトリックデータはユーザー定義の動作に対して継続的に評価されます。ML 検出を使用すると、自動的に構築された機械学習モデルによってメトリックデータが継続的に評価され、異常が特定されます。デバイスメトリックの収集および送信はオプションですが、実行することを強くお勧めします。 AWS IoT Device Defender では、デバイス側のメトリクスを収集して送信するデバイスエージェントの実装例とドキュメントを提供しています。

監査結果および検出されたデバイスの異常動作は、AWS IoT Device Defender API の AWS IoT コンソール に送信され、Amazon CloudWatch を通じてアクセス可能になります。さらに、結果を Amazon SNS に送信し、セキュリティダッシュボードと統合したり自動修復ワークフローをトリガーしたりするよう AWS IoT Device Defender を設定することもできます。

AWS IoT Device Defender は、機械学習モデルを使用して、ML 検出によるデバイス動作メトリックの異常なデータポイントを監視および識別します。AWS IoT Device Defender がデバイスの初期 ML モデルを構築している間、モデルを生成するには 14 日という期間とメトリックごとに最低 25,000 メトリックデータポイントが必要となります。その後、メトリックごとの最小値である 25,000 メトリックデータポイントが満たされている限り、モデルを毎日更新します。データポイントの最小要件が満たされていない場合、AWS IoT Device Defender は翌日にモデルの更新を試みます。モデルの更新を中止する前に、30 日間、毎日再試行します。

AWS IoT Device Defender ML 検出を使用する際のビジネスユースケースに基づいて、ML モデルの誤検知アラームに対処するために一連の対策を設計しました。これにより、受信するアラームを制御するツールを利用できます。

1. アラームをトリガーするために必要な連続データポイントの数を変更する: メトリックデータのスパイクが原因で誤ったアラームが頻繁に発生する場合は、この設定を使用して、アラームを取得する前に複数の連続データポイントを異常にする必要があります。
2. ML 検出の信頼性を変更する: 慢性的な誤検知の場合は、アラームの検出をより高い信頼性で簡単に調整することができます。低、中、高レベルの信頼度から選択できます。信頼度が高レベルであればアラームの感度/頻度を低くし、信頼度が中レベルであればアラームの感度/頻度を中程度とし、信頼度が低レベルであればアラームの感度/頻度を高くすることを表しています。
3. アラームの抑制: ユーザー側の特定のアクションが誤検知を引き起こす可能性があることがわかっている 1 回限りのケース (OTA ジョブなど) の場合、関連する ML 検出の動作を更新してアラームを抑制することができます。さらに、AWS IoT Device Defender では、デフォルト設定の変更を選択しない限り、デフォルトの ML 検出セキュリティプロファイルのセットアップで、アラームが「抑制」に設定されています。

現在、AWS IoT Device Defender をサポートしているリージョンのリストは、AWS リージョンテーブルをご覧ください。

上記の AWS リージョンのいずれかにアクセスできるお客様は、居住地に関係なく AWS IoT Device Defender を使用できます。

はい。詳細は、AWS IoT Device Defender 料金ページをご覧ください。

監査機能、ルール検出機能、ML 検出機能は個別に料金設定されているため、それぞれ独立に選択することができます。詳細は、AWS IoT Device Defender 料金ページをご覧ください。

いいえ。デバイス側の検出メトリクスを AWS IoT Device Defender に報告するためのメッセージに料金はかかりません。

はい。デバイス側の検出メトリクスを AWS IoT Device Defender に送るという目的のみで AWS IoT Core に接続した場合、接続料金がかかります。詳しくは、AWS IoT Core 料金ページをご覧ください。

ルール検出を使用する場合、最初は、予想される制限的な動作 (しきい値を低くするなど) を持つセキュリティプロファイルを作成し、それを代表的なデバイスセットの Thing グループにアタッチします。AWS IoT Device Defender により、設定範囲を超えた動作に対してデバイスが報告したメトリックデータポイントのアラートが送信されます。時間の経過とともにユースケースに合わせてデバイスの動作のしきい値を微調整できます。

ML 検出を使用すると、機械学習を使用してデバイスの動作が自動的に設定され、デバイスのアクティビティが監視されます。AWS IoT Device Defender は、ML モデルがデータポイントに異常のフラグを立てると、デバイスから報告されたメトリックデータポイントを警告として送信します。これにより、デバイスの正確な動作を定義する必要がなくなり、より迅速かつ簡単に監視を開始できます。