毎月一度,AWS Loft Tokyo で開催している IoT@Loft の第12回目です。デバイスの運用で使えるAWS IoTサービスの紹介をします。

1. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
2020/07/15
デバイスの運用で使える
AWS IoTサービスの紹介
IoT@Loft #12

2. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
2

3. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
今日お話しすること
• IoTデバイスの運用で気になることについて
• 気になることを解決するためのAWS IoTサービス
• 実際のアーキテクチャ構成
• カスタマーサポートについてなど
• ハードウェア寄りな話
今日お話ししないこと

4. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
4
IoTデバイスのライフサイクル(ソフトウエア観点)
製造 初期化
動作
更新
IoTデバイスの場合は販売したら終わりではなく、継続して運用する必要がある
開発元の環境 お客様の環境
実際にはもう少し工程がありますが省略しています

5. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
お客様の環境にあるIoTデバイスで気になること
• 初期化時
• クラウドと接続するための個別の認証情報をどうするか
• デバイスの情報をどう登録するか
• 動作時
• デバイスがおかしな挙動をしていないか
• デバイスの設定変更を行いたい
• デバイスで起きている問題を調べたい
• 更新時
• FWの更新をどうするか

6. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
お客様の環境にあるIoTデバイスで気になること
• 初期化時
• クラウドと接続するための個別の認証情報をどうするか
• デバイスの情報をどう登録するか
• 動作時
• デバイスがおかしな挙動をしていないか
• デバイスの設定変更を行いたい
• デバイスで起きている問題を調べたい
• 更新時
• FWの更新をどうするか

7. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
AWS IoT Core
Messages
Device Gateway
Identity Service
Messages
Applications
Device Shadow
Message Broker
API
Registry
Actions
API
Rules Engine
AWS and non-AWS
Services
Analytics
Amazon Kinesis
Artificial Intelligence
Amazon EMR
Messaging
Amazon SQS
Amazon SNS
Database
Amazon Redshift
Amazon DynamoDB
Manage
Amazon CloudWatch
AWS IoT Coreの認証サービス

8. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
x509証明書を使ったクライアント認証
証明書
証明書
プライベート
キー
AWS IoT Core
注) IAM ユーザー、グループ、ロールとAmazon Cognito IDを使った方法も提供しています
どうやってデバイスに組み込
むか?
どうやってAWS IoT Core
に登録するか?
証明書

9. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
B2C向けのデバイスでは、いつ誰が使い始めるかわからない
• デバイス購入時にユーザーと紐づいているパターン
• 発送時のキッティングで個別の認証情報の格納、デバイス登録、ユー
ザー紐づけを行う
• デバイス購入時にユーザーと紐づいていないパターン
• 購入後のセットアップで、デバイスとユーザーの紐づけを行う
• 個別の認証情報の発行もこのタイミングで行うことがある

10. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
AWS IoTが提供するプロビジョニング
(証明書の発行・登録・デバイス情報の登録)
• AWS IoT Coreが生成した証明書か、お客様独自のルートCAと証明書を使用
可能
• バッチプロビジョニングを使って、大量のデバイスを一気に登録することが
可能
• チップメーカーから提供されるセキュアチップに含まれる証明書を登録する
する
• デバイスが初めて接続した時に証明書を発行するFleet Provisioningを使う
ことで、増えていくデバイスのプロビジョニングが容易に
• Just-In-Time Provisioning / Registrationを利用して、独自CAで発行した
証明書とデバイスの登録を自動化
https://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/iot-provision.html

11. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
11
どの登録方式を使うのが良いのか？
CA IoT
Core
CA NG
AWS IoT No No No No No No No No
AWS IoT No No No No No No No No
Bootstrapping No Yes No Yes No No No No
CA
AWS IoT
Yes No Yes No Yes(*1) No Yes Yes
JITP Yes Yes No Yes Yes(*1) No Yes Yes
JITR Yes Yes No Yes Yes(*1) No Yes Yes
CA Yes Yes Yes Yes(*2) Yes Yes Yes Yes
Fleet Provisioning No Yes No Yes No No No No
*1) *2)

12. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
お客様の環境にあるIoTデバイスで気になること
• 初期化時
• クラウドと接続するための個別の認証情報をどうするか
• デバイスの情報をどう登録するか
• 動作時
• デバイスがおかしな挙動をしていないか
• デバイスの設定変更を行いたい
• デバイスで起きている問題を調べたい
• 更新時
• FWの更新をどうするか

13. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
AWS IoT Device Defender
AWS IoT Device Defenderは、フル・マネージドのIoTセキュリティ
サービスであり、接続されたデバイス群を継続的に保護することができます
AWS IoT Device Defender
監査
検出
修正アラートAWS IoT Core
調査

14. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
監査内容(1)
• REVOKED_CA_CERT_CHECK
• CA 証明書が取り消されましたが、AWS IoTで有効になっている
• DEVICE_CERTIFICATE_SHARED_CHECK
• 複数の同時接続が同じ X.509 証明書を使用して AWS IoT サービスに対して認証されている
• DEVICE_CERTIFICATE_KEY_QUALITY_CHECK
• 登録されている証明書が求めているセキュリティを満たしているかを確認
• CA_CERTIFICATE_KEY_QUALITY_CHECK
• 登録されているCAの証明書が求めているセキュリティーを満たしているかを確認
• UNAUTHENTICATED_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK
• Cognito未認証ユーザーの権限が推奨されている以上の権限が付与されているかを確認
• AUTHENTICATED_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK
• Cognito認証ユーザーの権限が推奨されている以上の権限が付与されているかを確認
• IOT_POLICY_OVERLY_PERMISSIVE_CHECK
• IoT Policyにワイルドカードのような広域な権限が付与されているかを確認
* 詳細なチェック内容はこちらを参照ください
https://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/device-defender-audit-checks.html

15. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
監査内容(2)
• IOT_ROLE_ALIAS_OVERLY_PERMISSIVE_CHECK
• Role Aliasで許可されいてるサービスで"*"が指定されているものを確認
• IOT_ROLE_ALIAS_ALLOWS_ACCESS_TO_UNUSED_SERVICES_CHECK
• Role Aliasで使われていないサービス権限が着いているかをチェック
• CA_CERT_APPROACHING_EXPIRATION_CHECK
• CA 証明書が30日以内に有効期限が切れるか、既に切れているかをチェック
• CONFLICTING_CLIENT_IDS_CHECK
• 複数のデバイスが同じクライアント ID を使用して接続しているかをチェック
• DEVICE_CERT_APPROACHING_EXPIRATION_CHECK
• デバイス証明書が30日以内に有効期限が切れるか、既に切れているかをチェック
• REVOKED_DEVICE_CERT_CHECK
• 取り消されたデバイス証明書が使われているかをチェック
• LOGGING_DISABLED_CHECK
• AWS IoTのログ設定が有効になっているかをチェック
* 詳細なチェック内容はこちらを参照ください
https://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/device-defender-audit-checks.html

16. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
監査の実行
• 実行頻度を指定できます
• 1回だけ実行(実行するとすぐ監査が行われる)
• 毎日
• 毎週(曜日を指定)
• 隔週(曜日を指定)
• 毎月(1日、月末、特定の日)

17. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
デバイス上で取得するメトリクス
• TCP 接続の確立回数
• TCP ポートのリッスン回数
• リッスンする TCP ポート
• UDP ポートのリッスン回数
• リッスンする UDP ポート
• 入力バイト数
• 入力パケット数
• 出力バイト数
• 出力パケット数
• 送信先 IP
クラウド側で取得するメトリクス
• 認証エラー
• 接続試行
• 切断
• メッセージサイズ
• 受信したメッセージ
• 送信されたメッセージ
• 送信元 IP
異常の検出

18. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
検出のメトリクス組み合わせ例
情報漏えい 不正侵入 外部攻撃ランサムウエ
ア
外部への接続 コインの採掘外部からの
攻撃
DoS攻撃への
加担
PacketsOut
BytesOut
DestIP
Port
クラウドへの
攻撃
DestIP
Port
DestIP
Port
Dest IP
Port
PacketsIn
BytesOut
DestIP
Msg rate
Msg size
Source IP
PacketsOut
BytesOut
DestIP
Auth Fail
PacketsOut
BytesOut
DestIP
PacketsIn
BytesIn
DestIP

19. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
お客様の環境にあるIoTデバイスで気になること
• 初期化時
• クラウドと接続するための個別の認証情報をどうするか
• デバイスの情報をどう登録するか
• 動作時
• デバイスがおかしな挙動をしていないか
• デバイスの設定変更を行いたい
• デバイスで起きている問題を調べたい
• 更新時
• FWの更新をどうするか

20. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
Jobによるデバイスの設定変更
Continuous Snapshot
Jobモデル • Snapshot:
Jobを作成したタイミングに存在するthingが対
象で一度作るとJob通知の対象は変更されない
• Continuous:
Jobを作成した後も配信対象となるGroupに
Thingが追加されると通知が行われる。
AWS IoT Device Management

21. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
Jobsを受けるDeviceのシーケンス
1）$aws/things/{thing名}/jobs/get/accept
をsubscribe
2）$aws/things/{thing名}/jobs/get
publish
3) job一覧を通知
4) jobがあれば実行
1)のsubscribeをclose
5）$aws/things/{thing名}/jobs/notify-next
をsubscribe
6）job作成
6）notify-nextにjobが通知される
7) $aws/things/{thing名}/jobs/{job-id}/update
へpublish
受けたjobを実行し
In_Progess/Successなど
状態通知
起動している間 5を張りっぱなし
デバイス オフライン時のjob
チェック用起動シーケンス

22. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
Jobsのロールアウト
• 通常だと1〜1000個/分 の速度でThingに対してJobが配信される
• Exponential rateを指定することで
• 一定の増加量でJobをThingに配信できる
• 一定の倍数で増加量を増やしJobをThingに配信できる
• 増加量を増やす条件を指定できる
開始時のレート
1分あたりの最大数
増加レート
レート増加させるために、Jobが成功していなければならない台数
この設定で実際に対象となる台数がどう
増えるか確認できる

23. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
FreeRTOS OTA(Over The Air)アップデート
リモートからアプリケーションのアップデートやセキュリティーパッチの適用
• 新しいファームウェアイメージのコード署名
• MQTTやHTTPを使い、アップデートをデバイスへ配信
• デバイス上で署名の検証
• インストールと再起動を制御するAPIの提供
• 所有者を制御し、デバイスが信頼できるコードのみを実行
• メモリ効率のよいアップデート・クライアント

24. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
お客様の環境にあるIoTデバイスで気になること
• 初期化時
• クラウドと接続するための個別の認証情報をどうするか
• デバイスの情報をどう登録するか
• 動作時
• デバイスがおかしな挙動をしていないか
• デバイスの設定変更を行いたい
• デバイスで起きている問題を調べたい
• 更新時
• FWの更新をどうするか

25. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
25
Monitoring Group
Logging: Warn
Error Group
Logging: Debug
Account Level
Logging: Error
グループに応じたAWS IoTのログレベルの変更

26. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
CloudWatch LogsでAWS IoTのログを参照
https://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/cloud-watch-logs.html

27. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
CloudWatchで可視化
https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/logs/AnalyzingLogData.html

28. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
セキュアトンネリング
• セキュアトンネリングを用いることで、ファイアウォール内のIoTデバイスに対す
るリモートアクセスが可能
• 出荷後のデバイスのトラブルシューティングが容易に
0. Localproxy アプ
リケーションを
install しておく (各
OS, HW に対応)
2. 専用トピックに
publish される
token を取得して
local proxy を起動
1. トンネルを作成
3. Token を
利用して
remote shell
でアクセス
4. プロキシ経由で
リモートアクセス
(Websocket)
0. Localproxy アプリ
ケーションを install
しておく (各 OS, HW
に対応)
https://aws.amazon.com/jp/blogs/news/aws-iot-device-management-secure-tunneling-ssh-rdp/

29. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
まとめ
• デバイスがクラウドにつながる様になると、出来ることも増えますが、気に
しなければならないことも増えます
• AWS IoTのサービスでは、デバイスの接続やデータ収集だけではなく、デバ
イスのライフサイクルに沿ったサービスも多数提供しています
• IoTデバイスは、出荷がされたらぞれで終わりではなく、その後の運用も大事
になってきます。

30. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
Thank You!

31. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
Appendix
• AWS IoTのクライアント認証について
https://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/client-authentication.html
• クライアント証明書の登録について
https://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/x509-client-certs.html
• デバイスプロビジョニングについて
https://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/iot-provision.html
• AWS IoT Device Defenderについて
https://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/device-defender.html
• モノの静的グループ
https://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/thing-groups.html
• モノの動的グループ
https://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/dynamic-thing-groups.html
• AWS IoT Device ManagementのJobについて
https://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/iot-jobs.html
• AWS IoT セキュアトンネリング
https://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/secure-tunneling.html
• AWS IoT のモニタリング
https://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/monitoring_overview.html

32. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
32