【セキュアモバイルコネクト】SIMルート機能をリリースしました

IoTチームの川畑です。セキュアモバイルコネクトにて新機能をリリースしましたので、その概要から使い方・利用例をご紹介します。

SIMルートで実現できること

SIMルート機能では、SIMカードのICCID(固有識別番号)をNext-Hopとした静的IPルーティングができるようになりました。利用感覚はルータに静的IPルートを設定する事と同じように、CIDR表記の宛先ネットワークアドレス(e.g. 192.168.0.0/24)と、そのNext-HopになるSIMカードをコントロールパネル上から投入するだけで簡単に利用可能です。

使い所

昨今のLTEデバイスでは、EthernetやWiFi(IEEE802.11)の機能も持つような製品がリリースされ、携帯電話のみならず様々な場面でLTEネットワークを活用できるようになっています。

所謂M2MルータやIoTゲートウェイと呼ばれるこれらの製品は、特徴としてEthernet/LTE間のL3ルーティング機能が挙げられ、Ethernetポートに設定されたネットワークと、その先のLTEネットワークをNAPTを噛まずに直接接続可能です。一般的なポケットWiFiや携帯電話のテザリング機能でも、LTEデバイス自身の配下の端末をモバイルネットワークに接続することができますが、その多くはNAPTで実現されています。ここで問題なのは、そのLTEデバイス配下の端末にLTE外の通常ネットワークから直接アクセスできないことが挙げられるでしょう。

通常のインターネット専用MVNOと違い、我々のサービスはクラウドとモバイル端末を完全に閉域で相互接続できることにあります。インターネット専用MVNOではセキュリティ上懸念されていた LTEデバイスがPort LISTENしてサーバとして動作する ような構成が安全に取れるようになるのはもちろんの事、今回のSIMルート機能では更にその配下の端末がサーバとして動作しても安全に接続できるようになりました。

モバイルネットワークの利用形態

MNOやMVNOとの契約によって、利用可能な構成が全く異なります。弊社のセキュアモバイルコネクトを使った場合も含め、SIMが入っているデバイスへのアクセスを大きく4パータンにまとめてみました。(クリックで拡大)

パターン1: 通常のMNO/MVNO

一般的に契約可能なMNOやMVNOのLTEネットワークの構成です。LTEデバイスにはプライベートIPアドレスが割り当てられ、端末からインターネットにアクセスしようとすると2段でNAPTがかかります。通常のブラウジングのような動作には全く問題無い構成ですが、LTEデバイスやその配下の端末に直接アクセスしたい場合には不向きな構成です。

パターン2: グローバルIPオプションのついたMNO/MVNO

オプション料金を支払えば、グローバルIPアドレスがLTEデバイスに割り当てられるサービスです。直接グローバルIPアドレスが付くので、LTEデバイスがPort ForwardingやDMZに対応しているものであれば、配下の端末へのアクセスはある程度可能そうです。ですが、インターネットに直接晒されているため、直接DoS攻撃に遭うなど安全性に欠ける面が多く見られます。(DoSに遭ったとき、そのまま下り通信として計算された時には大変なことに…)

パターン3: 閉域網接続可能なMNO/MVNO

コンシューマ向けではなく、法人契約をターゲットにしたプランを打ち出しているMNOやMNVOが存在します。モバイル端末をお客様のネットワーク(データセンタやオフィス)まで直接閉域網で安全にデータ通信ができる仕組みで、インターネットからのリーチや他のお客様からの攻撃を受けることはありません。この場合ですと、 NAPTだけではなくL3 Routingできるデバイスでも使えるのでは? と思いがちですが、LTE網にデバイスをアタッチしたときに割り当てられるプライベートIPアドレスは、基本的に動的です。加えて、通常はパケットの宛先がLTEデバイスに付与したIPアドレスのときのみに通信が成立するようになっており、それ以外(ここではデバイス配下のネットワーク)の宛先のパケットは捨てられてしまいます。

パターン4: セキュアモバイルコネクト


弊社のサービスですが、上記3パターンの問題を解消しています。モバイルゲートウェイ(お客様のLTEデバイスを収容するアプライアンス)をキャリアと同じ感覚でお客様に操作して頂けるように作っており、端末に割り当てるIPアドレスをSIMカード毎に好きな値に固定できますし、インターネット接続も任意(デフォルトはOFF)に可能です。 今回リリースしたSIMルート機能についても、IPアドレスではなくICCIDをNext-Hopとすることで、端末(SIM)に割り当てるIPアドレスが変更されても、必ずそのSIMカードの先にStatic Routeが設定された状態が担保されます。

まとめ

SIMへのアクセスを観点に、簡単に表にまとめてみました

パターン メリット デメリット
パターン1 安価でキャリア選択肢が豊富 キャリア側でNAPTされる
SSH Reverse TunnelもしくはIPsecが必要
パターン2 安価でキャリア選択肢が豊富
デバイスに直接アクセス可能
インターネットからの攻撃に巻き込まれやすい
IPアドレスが変動する可能性が高い
パターン3 インターネットからの攻撃に巻き込まれない
デバイスに直接アクセス可能
IPアドレスが変動する可能性が高い
パターン4 IMSIとIPアドレスの1:1対応が可能
デバイスに直接アクセス可能
デバイスを超えてのルーティング設定が可能
特になし

最後に

今回リリースしたSIMルート機能の概要と、その使い方やモバイルネットワークの特徴・利用例をお伝えしました。SIMルートについては、その独自性について特許出願中です!本機能の具体的な設定方法については公式ドキュメントに掲載しておりますので、SIMルートドキュメントを御覧ください。今後とも、sakura.ioならびにセキュアモバイルコネクトを宜しくおねがいします!

Continue Reading

さくらインターネットのIoT事業について

■IoT関連2つのソリューションについて

こんにちは、さくらインターネットでIoT関連の事業を担当させて頂いている山口です。2018年2月からセキュアモバイルコネクトというサービスの提供を開始させていただいたのですが、一昨年からやらせていただいていたsakura.ioというサービスとの違いがわかりにくい、今後はどちらに力を入れていくのか?といったお声を頂くことがあったので、どのような事をさくらインターネットとしてやらせて頂いているのかについて、書かせていただきたいと思います。

さくらインターネットのIoT事業

■風が吹けば桶屋がもうかる?ってのをちゃんと知りたい

さくらインターネットがもともと何をしたかったのか?というと、データの関連性/相関性を世界でシェアできるそのためのプラットフォームを作りたいということになります。

風が吹けば桶屋が儲かる」ということわざを聞いたことがあるかと思います。これは、可能性の低い因果関係を表すものですが、これから様々なモノコトのデータが情報になり、ネットワークで共有されAIやロボティクスによって活用される、情報中心の世の中になっていくと言われています。このような世界になってくると、どのようになるでしょうか?

さくらでは、IoTそのものでなにかができるということではなくて手段として位置づけています。まずは人々の生活の中からなんらか変化や活動量、変化量などのデータがIoTの領域の技術を活用され、ネットワークに上がってきます。そのデータがAIの領域の技術を使って何らかの情報になり、その情報をきっかけにしてロボティクスの領域の技術を使って生活に何らかのリアクション/アクションを起こし、またその変化を検出して・・・

という情報をキーにした世の中になっていくと考えています。

情報中心の世界
情報中心の世界

 

いままでは、風が吹いたことと、桶屋がもうかったことの情報がないまたは共有されていなかった状態だったのが、情報が取得され共有され関係性/相関性がわかってくるとどうでしょう?直接的に計算がしたりするものばかりでは無いと思いますが、なかなかにおもしろい世の中になってくるのではないでしょうか?

■モノ/コトをネットワークに繋げるためのプラットフォーム

さて、では情報中心の生活が来るとして、いまの状況で情報中心の生活の妨げになるものって何でしょうか?ちょっと皆さんの今のまわりのモノを見て頂きたのですが、電気が通っているものってどれだけありますか?

次に、それがデータを受け取り、ネットワークに送れるようになっているものはどれだけありますか?

今は情報化社会と言われていますが、そんな世の中の現在でさえつながっているものは、スマホ/PC/タブレット/TV位が大部分では無いでしょうか?

それ以外にもたくさんあるという方もいますが、やっぱり殆どはどこにもデータを残さず、モノコトのデータは消えていっているのがほとんどだと思います。なぜか?

僕らのまわりにある物は、必ず誰かの手によって作られていて、作られているということは、誰かの技術が使われています、実のところ電気製品の中身をつくる技術と、データを送ったり受け取ったりする技術、それを受け取って活用したりする技術というのは、まるで違う技術分野を必要とします。

IoTというものは、提供していく側からすると、今までは他の技術領域のもの、他の誰かがやっていたものをつなげていく事が必要で、これまではその壁は技術的にも、コスト的にも想像以上に高かったのです。電気製品を作る技術者にインターネットの向こう側むけにデータを投げる物を作れと言って、できる人は少数ですし、それを外部に作ってもらうとなると大変と、こういった事を踏まえて、当初さくらインターネットがはじめたのが、 sakura.io です。

これは、電気製品を作る技術者が普段使っている電気信号を、インターネットでやり取りをするシステムを作っている技術者がつかう、JSONというものと双方向に変換し、「つなぐ、ためる、れんけいする」という機能を、通信モジュールを含めて提供している極めてセキュアなプラットフォームです。

sakura.ioの仕組み

これによって、双方の技術者がいままの技術領域を大幅に拡張することなく、モノコトをネットワークにあげる事が可能になりました。

■セキュアモバイルコネクトが提供する通信

じゃぁそれで良いじゃんって感じになりそうですが、お客様から「これから作る製品は良いのだけれども、いままで作ってしまった製品に組み込めない」というお声や、「sakura.io のセキュアな通信の部分だけを使いたい」というお声を頂くことがありました。

実際何社かに伺った事をまとめると

  • 普段は殆ど通信をしていないがものすごく数が多い
  • 通信する時は高速に通信したい
  • セキュリティはさくらインターネットで守っておいて
  • あ、あとお金はあんまり払いたくない

という、なんとも提供側にはハードルの高いご要望があることがわかりました。これらの背景には、利用者側で電気信号とネットワークの壁をなんとか乗り越えたら、今度はセキュリティと通信コストの壁があったということかと思います。

現状SIMを使った製品というのが世の中に出てきていますが、通信部分についてはインターネットを経由するもので、そのセキュリティは使っている側が担保する、またはモノの中にパソコンで使っているようなセキュリティソフト等を入れて担保してもらうというものが殆どかと思います。

先日提供を開始した、さくらのセキュアモバイルコネクトは、sakura.io で実現していた、インターネットを経由せず、さくらのクラウドの内部ネットワークに、閉域網でつなげることができる通信部分だけを、皆さんに使えるようにしたというものと思っていただけるとわかりやすいかと思います。

こういったサービスは、今までもキャリアが提供されていましたが、初期コストや運用コストが極めて高いため、利用できるサービスは限定されていました。

セキュアモバイルコネクト

 

セキュアモバイルコネクトの価格については、SIM1枚の月額基本料金12円、最大1万枚まで登録できる利用者専用のクラウド内部ネットワークの価格が6,400円と極めて安価であり、コストの面からもセキュリティの面からも利用の裾野を広げることが出来たかと思います。

Continue Reading

さくらがIINとPLMNを取得した話

さくらインターネットがIINとPLMNを取得した話

これはさくらインターネットAdvent Calendar 2017 20日目の記事です

まえがき

 IoTチームの川畑です。この度さくらインターネットは総務省より IIN(898104)PLMN(44006) の割り当てを受けました。これにより、キャリアに紐付かない独自の番号が入ったSIMカードを製造する事や、sakura.ioで展開している端末設備にユニークな識別番号を付与することが可能になりました。お気づきかと思いますが、この番号は主にモバイルネットワークで利用されます。

 今回割り当てを受けるにあたって、始終総務省との全ての交渉を担当する非常に貴重な経験をさせて頂きました。何せ探せど探せどどこにも情報がありませんし、通常は各キャリアの中の人がやる業務です。インターネット上で番号取得の実例が公開されるのは、もしかしたらこれが史上初かもしれません。

これらの番号取得の最たる例は、携帯電話事業者による取得・運用です。皆さんが普段利用している携帯電話と番号の関係、取得までの道のりをお届けしたいと思います。

IINとは

 IINとは、Issuer Indentify Numberの略で、ICカードの固有番号(ICCID)を発行する先頭最大7桁のプレフィックスです。世界中で利用するため、この番号はITU-T(国際電気通信連合)が管理をしており、電気通信事業用途で利用する場合は総務省を通して番号の申請を行う必要があります。

割り当てられた桁にはそれぞれ以下のような意味があります。
– 89 : 電気通信用途
– 81 : 国番号(日本)。最大3桁
– 04 : 事業者コード

SIMカードはもちろんのこと、クレジットカードなどのICチップにはICCIDが付与されます。弊社におけるICCIDの番号構成は以下の通りです。
– ①ICCIDの先頭6桁にIINを利用する
– ②残りの12桁は事業者が任意の番号を付与する
– ③最後の1桁はチェックディジット

PLMNとは

 PLMNとは、Public Land Mobile Networkの略で、携帯電話事業者の国際的な識別番号です。5桁で構成され、先頭3桁はMCC(Mobile Country Code)で国ごとに番号が変わり、日本には 440441 が割り当てられています。下2桁はMNC(Mobile Network Code)で、各国内の事業者コードですね。こちらも世界中で利用される一意の番号となるため、管轄は同じくITU-Tです。

 PLMNの用途は大きく2つあり、MNOが設置する携帯電話基地局の事業者識別に用いられることと、SIMカードにICCIDとは別に付与される、IMSI(International Mobile Subscriber Identity)のプレフィックスで利用されます。

PLMNの用途1:ビーコン

 各社の携帯電話基地局が自身のPLMNを電波(ビーコン)として報知することで、利用者の端末が契約された事業者へ自動的に接続するために利用されます。docomoですと44010、auだと44050/44051、SoftBankだと44020を基地局から報知しています。自動的に、と書きましたが手動で事業者を選択することも可能です。この図はiPhone7において周辺で報知されている事業者コードをサーチした時のスクリーンショットです。

PLMNの用途2:IMSI

 PLMNの2つ目の用途として、IMSI番号の生成で利用されます。IMSIは、モバイルネットワークにおける加入者の識別番号で、ネットワーク内でのアクセス制御のキーとしても利用されます。ICCIDはICカード固有の番号ですので変わることはありませんが、IMSIはOTA(Over The Air:遠隔でカード内の情報を書き換える技術)により書き換わる可能性があります。

 日本において、IMSIは総務省により 電気通信番号 として割り当てられます。皆さんよくご存知の電話番号も、電気通信番号の1つです(モバイルの世界ではMSISDNと呼ばれています)。IINもPLMNも申請自体は総務省に行うのですが、番号の管轄はITU-Tなので、番号割り当ての審査基準を満たせば裏で代理申請を行ってくれるという形になります。次の章では、実際の割り当てに係る手続きを見ていきましょう。

番号申請

 電気通信番号の管理は、総務本省の番号企画室が担当しています。(実は番号の申請を行おうにも全くアテが無い中、ふだん電気通信事業者の関係でお世話になっている担当官に紹介頂きました)

 ひとまず部内数名でお伺いし、概要をお伝えするところから始まりました。お渡しした資料を精査頂くのですが、不明点は逐一電話等で連絡が入ります。お伺いしてから約1~2週間で番号申請と審査に入りました。IINはITU-Tの規則に基づく審査、PLMNは電気通信番号規則に基づく審査ですので、それぞれ別々の申請用紙に記入を行います。

IIN

 ITUの基準に沿って総務省が代理審査を行います。通常IINは直接ITU申請なのですが、電気通信用途に限っては各国の省庁(日本は総務省)を通して申請を行う必要があります。申請書は以下の2枚です。

  • 1.ITU Registration Form
  • 2.IIN割り当て依頼文書

1の書式は公開文書ですので、こちらから参照して下さい。蛇足ですが、IINの申請にはITUへ手数料として80スイスフラン支払う必要があります。

2は総務省独自の文書ですが、内容はISOで定められたIIN割り当ての承認・拒否基準についての日本語回答です。基準は公開されており、こちらの4.3.1(承認基準)と4.3.2(拒絶基準)に回答します。

IINの申請は書類作成に約3週間、割り当てまで約2ヶ月かかりました。

PLMN

 電気通信番号規則に基づき、電気通信番号申請書への記入を行います。事項書の内容は以下の通りです。

  • 1.電気通信番号を必要とする理由
  • 2.必要とする電気通信番号の数及びその根拠となる需要の見込み
  • 3.必要とする電気通信番号の数に係る電気通信役務の提供の計画
  • 4.電気通信番号を管理する方法
  • 5.ネットワーク構成図
  • 6.別表第2に規定する要件を確認できる事項
  • 7.別表第3に規定する要件を確認できる事項
  • 8.その他電気通信番号の指定のために特に必要な事項

書式を見たい方は電気通信番号申請書で誰でも申請書を閲覧することが可能です。

補足:電気通信番号の概要と割り当てフローはこちらを参照。

ここからひたすらトライアンドエラーです。番号の申請内容に付随して、電気通信番号を利用する端末が、技術基準に適合している旨の証明、責任分界点の細かな設定・説明が必要です。このように、他の規則(端末設備等規則)や法令(電波法)に係る情報も求められます。
申請内容へのツッコミ・他の法令に係る確認等で、PLMN取得にまるまる3ヶ月要しました。

番号の割り当て

往訪から取得まで約3ヶ月の道のりでしたが、無事に番号を取得することができました。

最後に

番号の概要と、その取得の道のりについて書いてきました。興味のある人にとって、普段見られない事業者の裏側が垣間見れる記事は非常に新鮮でわくわくするものがあると思うのですが、いかがでしょうか。ITUによって取得内容は公示されますし、あえて隠す必要も無いので、せっかくですからIoTチーム活動の軌跡の1つとして書かせてもらいました。 また、自分自身が感じた 全く情報が無くて困った 事もあり、同じく番号取得をお考えの他の事業者の参考にもなれば良いなという気持ちです。

さくらインターネットは、今後はこの番号を活用し、更なるサービス価値の向上を目指します。

番号取得は、まだまだ序章に過ぎません。

(追記:PLMNとIINの取得にあたり、ITUより申請者の情報が公開されるのですが、まさかこのような形で自分の名前がインターネットに残るとは思ってもみませんでした。)

加筆・修正

2018/6/15 読者にご指摘を頂き、 IINの下二桁=MNC という誤った表現を削除しました。

Continue Reading
Close Menu