SORACOM
Krypton
セキュア・プロビジョニング
SIM 認証に基づくセキュア・プロビジョニング
SORACOM Krypton は SORACOM が発行する SIM とその認証基盤を使って、さまざまなクラウドサービスに接続するための初期設定(プロビジョニング)をセキュアに実現するサービスです。
多くのデバイスから様々な情報を収集する IoT システムでは、デバイスとシステム基盤やクラウドサービスとの間でセキュアな通信を行うために、IoT デバイス固有の認証情報を外部から盗み取られない形で埋め込む必要があります。しかし、これを実現するにはデバイスの製造過程及び設計段階からの考慮が必要となり、製造コスト及び部品コストが増大します。
デバイス固有の設定情報は、デバイスの出荷時や使用開始時に手作業で設定することが一般的ですが、Krypton は SORACOM IoT SIM の認証基盤を応用することでデバイス固有の設定情報を SORACOM プラットフォーム経由で取得、反映できます。
これにより、デバイス製造・出荷時にデバイス固有の情報を含まない共通のファームウェアイメージを利用できるようになります。デバイスの製造コストを増大させることなく、IoTセキュリティのベストプラクティスを適用することができます。
Krypton は AWS IoT、Amazon Cognito、Azure IoT Hub Device Provisioning Service 及び SORACOM Inventory に対応しています。
セルラー回線と SIM 認証を使用したプロビジョニングの認証方法
Krypton はプロビジョニングの認証方法に2種類用意しています。1つは SORACOM Air のセルラー回線を使用したプロビジョニング API 呼び出し、もう1つは SORACOM Endorse を使用した SIM 認証です。
セルラー回線を使用したプロビジョニング
SORACOM Air のセルラー回線を使用したプロビジョニング API の呼び出しでは、デバイスから初期設定リクエストを受信すると Krypton はあらかじめソラコムで設定したクラウドサービスの認証情報を使用して、デバイスの代わりにクラウドサービスの初期設定を代行し、得られた設定情報や認証情報をデバイスに返します。
デバイスは得られた情報を使って直接各サービスにアクセスすることが可能となります。
SIM 認証を使用したプロビジョニング
SORACOM Endorse を使用した SIM 認証は、SIM カード内に保存された秘密情報と SORACOM 側の SIM 認証基盤を用いて任意のアクセス回線を使用して認証できます。Krypton はこの特徴を活かすことで WiFi や Ethernet 等が利用可能な場合にはそれらを利用してプロビジョニングができます。(SIM 認証を使用したプロビジョニングは SORACOM IoT SIM で利用可能です。)
Krypton を利用するメリット
Krypton を利用するメリットは以下のとおりです。
- デバイス出荷時に設定情報を各デバイスごとに設定する作業を行うことなく、IoT SIM と Krypton を利用することで設定情報をオンデマンドでプロビジョニングできます。 これによりデバイス製造時には認証情報を含まない共通のファームウェアイメージを利用することができるため、デバイスの製造コストを抑制でき、また認証情報の流出を防止できます。
- IoT デバイスがクラウドサービスにアクセスするための認証情報を取得することができます。デバイスの製造段階でクラウドサービス接続のための認証情報を埋め込むことなく、デバイスからクラウドサービスへのアクセスが可能となります。
- Krypton はセルラー回線を使用する必要はありません。コストの低い WiFi や有線回線を主回線として用いながらセルラーをバックアップに使うといった使い方も可能となります。(ただし、グローバルカバレッジの SORACOM IoT SIM でのみご利用可能です。)