機能 4。データ保護とガバナンスの提供

この機能は、 AWS IoT の SRA ベストプラクティスのベストプラクティス 8 をサポートしています。

機能 4 は、エッジデバイスからクラウドストレージおよび処理システムまで、ライフサイクル全体で IoT および IIoT データを保護するという重要なニーズに対応します。これには、保管中のデータと転送中のデータの両方に対する堅牢な暗号化メカニズムと、徹底的なデータガバナンスプラクティスの確立が含まれます。

根拠

産業システムは、独自の製造プロセス、機器パフォーマンスデータ、重要な運用テレメトリなど、膨大な量の機密情報を生成、処理、保存できます。このデータへの不正アクセスや操作は、知的財産の盗難から運用の中断や安全インシデントまで、重大な結果をもたらす可能性があります。堅牢な暗号化とデータガバナンスプラクティスを実装することで、これらのリスクに直接対処できます。貴重な情報資産を保護し、産業運用の継続性を確保するのに役立ちます。

セキュリティに関する考慮事項

堅牢なデータ保護とガバナンス対策の実装は、IoT、IIoT、OT 環境におけるいくつかのセキュリティリスクに対処します。主な懸念事項には、IoT デバイスとエッジゲートウェイに保存されている機密データへの不正アクセス、デバイスとクラウドシステム間の送信中のデータの傍受などがあります。

修復

データ保護

保管時のデータの暗号化: センサーやカメラなどのデプロイされたデバイスに保存されている情報は無害に見える場合がありますが、デバイスの物理的な制御が保証されていない場合、その情報は不正な攻撃者のターゲットになる可能性があります。例としては、コンシューマーカメラのキャッシュビデオ、産業アプリケーションの独自の機械学習 (ML) モデル、運用環境の設定データなどがあります。デプロイされたデバイスの場合、可能な限り保管時に保存されるすべてのデータを暗号化するのがベストプラクティスです。これには、以下が含まれます。

• デバイスストレージ: ハードウェアベースの暗号化 (利用可能な場合) または強力なソフトウェア暗号化を使用して、IoT デバイスのローカルストレージを暗号化します。

• エッジゲートウェイ: エッジゲートウェイとローカルサーバーにフルディスク暗号化を実装します。

• クラウドストレージ: AWS SRA のアプリケーションアカウントの AWS KMS セクションで説明されているように、クラウドに保存されているデータに AWSマネージド暗号化サービスを使用します。

デバイスに保存されている情報を消去するメカニズムを実装します。これは、デバイスが転用または売却され、所有権が変更されたときに必要になる場合があります。

転送中のデータの暗号化： センサーとデバイス、管理、プロビジョニング、デプロイデータなど、転送中のすべてのデータを暗号化します。ほぼすべての最新の IoT デバイスには、ネットワークトラフィックの暗号化を実行する容量があるため、その機能を活用し、データプレーンとコントロールプレーン通信の両方を保護します。この手法は、データの機密性とモニタリングシグナルの整合性の両方を確保するのに役立ちます。暗号化できないプロトコルについては、IoT アセットに近いエッジデバイスが通信を受け入れて安全なプロトコルに変換してから、ローカル境界外に送信できるかどうかを検討してください。

主なプラクティスは次のとおりです。

• すべての MQTT および HTTP 通信に TLS を使用します (つまり、MQTTS および HTTPS を使用します）。ネットワークパケットルーティングパスが AWS バックボーンに限定されているかどうかにかかわらず、安全な通信が推奨されます。

• エッジでの を含む IoT IoT メッセージング用の安全な MQTT を実装します。

• オンプレミスコンポーネントと 間の安全な通信 AWS Direct Connect には AWS Site-to-Site VPN AWS PrivateLink、、、 を使用します AWS。これらのサービスは、インターネットにアクセス可能な API エンドポイントと比較して、より予測可能なネットワークルーティングまたはパケットカプセル化を提供します。