AWS IoT Core でのデータ保護 - AWS IoT Core

AWS IoT Core でのデータ保護

AWS責任共有モデルは、AWS IoT Core でのデータ保護に適用されます。このモデルで説明されているように、AWS は、AWS クラウド のすべてを実行するグローバルインフラストラクチャを保護する責任を負います。お客様は、このインフラストラクチャでホストされているコンテンツに対する管理を維持する責任があります。このコンテンツには、使用される AWS のサービス のセキュリティ設定と管理タスクが含まれます。データプライバシーの詳細については、「データプライバシーのよくある質問」を参照してください。欧州でのデータ保護の詳細については、AWS セキュリティブログに投稿された「AWS 責任共有モデルおよび GDPR」のブログ記事を参照してください。

データを保護するため、AWS アカウント の認証情報を保護し、AWS Identity and Access Management (IAM) を使用して個々のユーザーアカウントをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な許可のみを各ユーザーに付与できます。また、次の方法でデータを保護することをお勧めします。

  • 各アカウントで多要素認証 (MFA) を使用します。

  • SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 以降が推奨されています。

  • AWS CloudTrail で API とユーザーアクティビティログをセットアップします。

  • AWS 暗号化ソリューションを AWS のサービス内のすべてのデフォルトのセキュリティ管理と一緒に使用します。

  • Amazon Macie などのアドバンストマネージドセキュリティサービスを使用します。これは、Amazon S3 に保存されている個人データの検出と保護を支援します。

  • コマンドラインインターフェイスまたは API を使用して AWS にアクセスするときに FIPS 140−2 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。使用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140−2」を参照してください。

顧客のメールアドレスなどの機密または注意を要する情報は、タグや [Name] (名前) フィールドなど自由形式のフィールドに配置しないことを強くお勧めします。これは、コンソール、API、AWS CLI、または AWS SDK で AWS IoT または他の AWS のサービスを使用する場合も同様です。タグまたは名前に使用する自由記入欄に入力したデータは、課金や診断ログに使用される場合があります。外部サーバーへ URL を供給する場合は、そのサーバーへのリクエストを検証するために、認証情報を URL に含めないことを強くお勧めします。

データ保護の詳細についてはAWS 責任共有モデルと AWS セキュリティブログ GDPR の GDPR ブログ投稿を参照してください。

AWS IoT デバイスはデータを収集し、そのデータに対して何らかの操作を行い、そのデータを別のウェブサービスに送信します。デバイスにデータを短期間保存することを選択することもできます。お客様は、保管中のデータに対するデータ保護を提供する責任があります。デバイスがデータを AWS IoT に送信すると、このセクションの後半で説明するように、TLS 接続を介してそのデータを送信します。AWS IoT デバイスは、任意の AWS のサービスにデータを送信できます。各サービスのデータセキュリティの詳細については、そのサービスのドキュメントを参照してください。AWS IoT は、CloudWatch Logs にログを書き込み、AWS IoT API 呼び出しのログを AWS CloudTrail に記録するように設定できます。これらのサービスのデータセキュリティの詳細については、Amazon CloudWatch の認証とアクセスコントロールおよび AWS KMS で管理されたキーによる CloudTrail ログファイルの暗号化を参照してください。

AWS IoT でのデータの暗号化

デフォルトでは、転送中および保管中のすべての AWS IoT データが暗号化されます。転送中のデータは TLS を使用して暗号化され、保管中のデータは AWS が所有するキーを使用して暗号化されます。AWS IoT は現在 AWS Key Management Service (AWS KMS) からのカスタマーマネージド AWS KMS keys (KMS キー) をサポートしませんが、Device Advisor と AWS IoT Wireless は、カスタマーデータの暗号化に AWS 所有のキー のみを使用します。