セキュリティに関する推奨事項を確認する
Microsoft では、IoT ソリューションに取り組む個人と企業に対して、次のセキュリティに関する推奨事項を提案しています。 これらの推奨事項を実装すると、Microsoft の共同責任モデルで説明されているとおり、セキュリティ義務を果たすことができます。
次に説明する推奨事項の一部は、Microsoft Defender for Cloud によって自動的に監視される場合があります。 Microsoft Defender for Cloud (Azure Security Center と Azure Defender は Microsoft Defender for Cloud という名前になりました) は、Azure でリソースを保護するための最初の防御線です。 これにより Azure リソースのセキュリティの状態が定期的に分析され、潜在的なセキュリティ脆弱性が特定されます。 その後、それらに対処する方法の推奨事項を提供します。
全般
推奨
コメント
常に最新の状態にする。
サポート対象プラットフォーム、プログラミング言語、プロトコル、およびフレームワークの最新バージョンを使用します。
認証キーを安全に保つ。
デプロイ後にデバイス ID とその認証キーを物理的に安全に保管します。 これにより、悪意のあるデバイスが登録済みデバイスとしてなりすますのを回避できます。
可能な限り、デバイスの SDK を使用する。
デバイスの SDK は、暗号化、認証などのセキュリティ機能を実装して、堅牢で安全なデバイス アプリケーションの開発を支援します。 Microsoft が SDK に継続的に投資することで、新しいセキュリティの進歩に対するサポートが追加されるというベネフィットが得られます。
ID 管理とアクセス管理
推奨
コメント
ハブのアクセスの制御を定義する。
機能に基づき、IoT Hub ソリューションで各コンポーネントに付与されるアクセス権の種類を理解して定義します。 許可される権限は、Registry Read、RegistryReadWrite、ServiceConnect、および DeviceConnect です。 既定の IoT ハブの共有アクセス ポリシーは、各コンポーネントの権限をそのロールで定義するのにも役立ちます。
バックエンド サービスのアクセスの制御を定義する。
IoT Hub ソリューションによって取り込まれたデータは、Cosmos DB、Stream Analytics、App Service、Logic Apps、および Blob Storage などの他の Azure サービスで使用することができます。 これらのサービスに関する文書化された適切なアクセス権限を必ず理解し、許可してください。
データ保護
推奨
コメント
デバイス認証をセキュリティで保護する。
一意の ID キーまたはセキュリティ トークン、あるいは各デバイスのデバイス上の X.509 証明書を使用して、デバイスと IoT ハブ間のセキュリティで保護された通信を確保します。 適切な方法を使って、選択されたプロトコル (MQTT、AMQP、または HTTPS) に基づいてセキュリティ トークンを使用します。
デバイス通信をセキュリティで保護する。
IoT Hub では、バージョン 1.2 および 1.0 がサポートされる、トランスポート層セキュリティ (TLS) 標準を使用して、デバイスへの接続をセキュリティで保護します。 最大のセキュリティを確保するには、TLS 1.2 を使用します。
サービス通信をセキュリティで保護する。
IoT Hub では、Azure Storage または Event Hubs (TLS プロトコルのみを使用) などのバックエンド サービスに接続するためのエンドポイントが提供され、エンドポイントは非暗号化チャネルでは公開されません。 このデータが格納または分析のためにこれらのバックエンド サービスに達したら、必ず、そのサービスに適したセキュリティと暗号化の方法を採用し、バックエンドの機密情報を保護するようにしてください。
ネットワーク
推奨
コメント
デバイスへのアクセスを保護する。
望ましくないアクセスを回避するために、デバイスのハードウェア ポートを最小限に抑えます。 さらに、デバイスの物理的な改ざんを防止または検出するためのメカニズムを構築します。 詳細については、IoT セキュリティのベスト プラクティスに関するページを参照してください。
セキュリティで保護されたハードウェアを構築する。
暗号化されたストレージ、つまり、トラステッド プラットフォーム モジュール (TPM) などのセキュリティ機能を組み込み、デバイスとインフラストラクチャをより安全に保ちます。 デバイスのオペレーティング システムとドライバーを常に最新バージョンにアップグレードし、スペースに空きがある場合は、ウイルス対策およびマルウェア対策機能をインストールします。 IoT セキュリティのアーキテクチャに関するページをお読みになり、これがいくつかのセキュリティ脅威を軽減するのにどのように役立つかを理解してください。
監視
推奨
コメント
デバイスへの未承認のアクセスを監視する。
デバイスまたはそのポートのセキュリティ違反または物理的な改ざんを監視するには、デバイスのオペレーティング システムのログ機能を使用します。
クラウドから IoT ソリューションを監視する。
Azure Monitor のメトリックを使用して、IoT Hub ソリューションの全体的な正常性を監視します。
診断を設定する。
ソリューションのイベントをログに記録してから、パフォーマンスを視覚化するために診断ログを Azure Monitor に送信することで、操作を注意深く観察します。 詳細については、IoT ハブでの問題の監視と診断に関するページを参照してください。