SORACOM Beam経由のGoogle Cloud IoT Core (MQTT)接続

セキュリティを重要視して、IoTデバイスを運用することは極めて重要です。

しかし、AWS, Azure, Google Cloudと接続するための証明書やキーなどをデバイスに保存するのは、リスクが伴います。IoTデバイスから接続情報が抜かれると・・・悲惨な結果が待っています。

【ちょっとだけ、耳の痛い話ですが・・・】
そのデバイスが乗っ取られるリスクは低いですか？Linux上でアプリを動かしたりしていませんか？Linuxのセキュリティー ホールのリスクを回避するために常に気をつけて、最新のビルドを再配布していますか？販売や配布したデバイスは、常に最新の状態をキープできていますか？1年後も大丈夫と言い切れますか？通信モジュールのプログラムに問題がないと言い切れますか？

一般的には、AWS, Azure, Google Cloudなどは漏れなく攻撃の対象ですから、各社ともセキュリティの向上に力を注いでいます。ですが、IoTデバイスは消費電力などの関係から、一般的なPCのような性能はありません。足元にも及びません。そのため、各社のセキュリティ向上の方式についていけない事が多々あります。

では、どのように通信時のリスクを回避するか・・・
弊社の用いている一つの方法として「SORACOMさんのSIM」+「SORACOM Beam」＋AWS, Azure, Google Cloudの組み合わせです。

SORACOMさんの提供しているサービスは、貧弱なIoTデバイスでもセキュリティを確保できるように考慮されています。証明書やキーをデバイスに持つ必要はありません。デバイスとSOAROMさんとの間は「クローズド」です。その先の各クラウドとの面倒な仕掛けは「SORACOM Beam」に任せています。

Quectel社の通信モジュールでは、以下のようなATコマンドでMQTTをPUB/SUBできます (BG96でGoogle Cloud IoT Coreとの接続を例にしています)。あらかじめ、Google Cloud, SORACOM Beamの設定を済ませておいてください。

AT+CGDCONT=1,”IP”,”soracom.io”
AT+QICSGP=1,1,”soracom.io”,”sora”,”sora”,0
AT+QIACT=1
AT+COPS=1,2,”44010″

AT+QMTCFG=”recv/mode”,0,0,1
AT+QMTCFG=”version”,0,4

AT+QMTOPEN=0,”beam.soracom.io”,1883

AT+QMTCONN=0,”[デバイスID]”

AT+QMTSUB=0,1,”/devices/[デバイスID]/commands/#”,0

AT+QMTPUB=0,0,0,0,”/devices/[デバイスID]/events/”

この程度でクラウドにサクッと安全に接続できると楽ですよね。