AWS IoT Device Defender

解決する課題

IoT のフリートは台数が膨大で、現場に分散して長期間稼働するため、1台ごとの設定ミスや侵害に気づきにくいという難しさがあります。証明書の使い回しや過大なポリシー、想定外の宛先への通信といった問題は、人手では到底追いきれません。AWS IoT Device Defender はフリート全体のセキュリティ状態を継続的に点検し、弱い設定や異常な振る舞いを早期に見つけられるようにします。

• アカウントやデバイスの設定がベストプラクティスから逸脱していないかをまとめて点検したい
• 共有された証明書や過大な権限など、脆弱な設定を一覧で把握したい
• 通信量・接続先・ポート利用などの振る舞いの異常を検知したい
• 侵害や設定ミスの兆候を検知したら、通知や是正のワークフローへ自動でつなげたい

設定の弱点（静的なリスク）と稼働中の異常（動的なリスク）の両面から、フリートのセキュリティを可視化することが中心的な価値です。

主要概念と用語

• 監査（Audit）: アカウントとデバイスの設定を一連のチェック項目に照らして点検する機能。期待値からの逸脱を非準拠として報告する
• チェック項目: 監査で評価する個別ルール。証明書の共有、過大なポリシー、失効していない証明書、ログ設定の不備などを確認する
• オンデマンド監査 / スケジュール監査: 任意のタイミングで実行する監査と、日次など定期的に自動実行する監査
• 検知（Detect）: デバイスの振る舞いを継続的に監視し、想定外の挙動をアラートする機能
• セキュリティプロファイル: 正常とみなす振る舞いの範囲を定義したもの。閾値（しきい値）に基づくルールで判定する
• メトリクス: 検知が評価する観測値。送受信バイト数、接続試行回数、宛先 IP、リスニングポートなどがある
• ルールベース検知 / 機械学習（ML）検知: 利用者が閾値を定義する方式と、過去の振る舞いから自動的に正常範囲を学習する方式
• デバイス側メトリクス / クラウド側メトリクス: デバイス上のエージェントが報告する値と、AWS IoT Core 側が観測する値
• 緩和アクション（Mitigation Action）: 検知や監査の所見に対して、証明書の無効化やポリシー差し替えなどの是正を実行する仕組み

仕様・制限・クォータ

• 監査はオンデマンドでもスケジュールでも実行でき、対象とするチェック項目を選択できる
• 検知はルールベース（利用者が閾値を定義）と機械学習ベース（正常範囲を自動学習）の両方に対応する
• メトリクスには AWS IoT Core が観測するクラウド側メトリクスと、デバイス上のエージェントが報告するデバイス側メトリクスがあり、後者には軽量なエージェントの導入が必要になる
• 1つのアカウントで管理できるセキュリティプロファイル数や、保持される監査結果・違反の履歴期間などにはクォータがある
• 監査・検知の結果は CloudWatch や SNS と連携でき、所見に対する緩和アクションを定義できる

具体的なチェック項目の一覧・利用可能メトリクス・上限値は更新されるため、最新の公式ドキュメントで確認してください。

内部の仕組み

AWS IoT Device Defender は、AWS IoT Core に登録されたフリートを対象に、**設定の点検（監査）と振る舞いの監視（検知）**という2つの軸で動作します。

• 監査: アカウント・証明書・ポリシー・ログ設定などの構成情報を、組み込みのチェック項目に照らして評価します。共有された証明書や過大なポリシーといった非準拠の所見を集約して報告し、是正の起点にできます。
• 検知: 各デバイスの振る舞いを継続的に観測し、セキュリティプロファイルで定義した正常範囲と突き合わせます。範囲を外れた挙動を違反として記録し、アラートを発します。
• メトリクスの収集: 接続数や宛先などのクラウド側メトリクスは AWS IoT Core が観測します。送受信バイト数やリスニングポートなどのデバイス側メトリクスは、デバイスに導入したエージェントが定期的に報告します。
• 連携と是正: 監査・検知の所見は SNS への通知や CloudWatch メトリクスとして扱え、緩和アクションで証明書の無効化や調査用フラグの付与などを実行できます。

検知の判定には、利用者が閾値を決めるルールベースと、過去の振る舞いから正常範囲を学習する機械学習ベースがあり、運用に合わせて選べます。

設計パターン / ベストプラクティス

• スケジュール監査を常時有効にする: 日次などで自動点検し、新たに混入した弱い設定を早期に検出する
• まずルールベース、慣れたら機械学習検知: 明確な閾値があるメトリクスはルールで、正常範囲が読みにくいものは機械学習で補う
• 緩和アクションを事前に定義する: 共有証明書や異常挙動を見つけた際に、無効化やフラグ付けを迅速に実行できるよう準備する
• 検知結果を SNS や EventBridge 経由で通知し、調査担当やチケットシステムへ自動で連携する
• 証明書1台1枚・最小権限ポリシーを徹底し、監査の所見そのものを減らす

運用・監視

• 監査・検知の結果は CloudWatch メトリクスとして扱え、非準拠や違反の件数を継続的に監視できる
• 所見の発生を SNS で通知し、EventBridge 経由で後続処理（チケット起票や Lambda 実行など）を自動化できる
• API 操作の監査証跡は CloudTrail に記録される
• アラート時に何を確認し誰が対応するかの運用手順を定め、誤検知の閾値調整も含めて継続的に見直す
• デバイス側メトリクスを使う場合は、エージェントの稼働状況自体も監視対象に含める

コスト

• 課金は基本的に監査の対象デバイス数や検知で評価したメトリクス・デバイスの数に応じた従量制で、フリートが大きいほどコストが上がる
• 連携先の SNS 通知や CloudWatch メトリクスなど、組み合わせる各サービスの費用も別途加わる
• 評価するメトリクスやチェック項目を必要なものに絞ると、過剰な評価による費用を抑えられる

具体的な単価は変動するため、料金は公式の料金ページで確認し、小規模なフリートで検証してから台数に応じた費用を見積もるのが安全です。

セキュリティ

• このサービス自体がフリートのセキュリティ可視化を担うため、まず Device Defender を有効化すること自体が防御の出発点になる
• 監査が見つける典型的な弱点は、証明書の共有・過大な IoT ポリシー・失効していない証明書・無効化されたログなど
• 検知が捉える兆候には、想定外の宛先への通信・急増する送信量・見慣れないポートの待ち受けなどがあり、侵害やボット化の早期発見につながる
• 所見に対しては IAM で権限を絞った緩和アクションを用い、証明書の無効化やデバイスの隔離を安全に実行する
• 通知や是正のための連携ロールも最小権限に保ち、是正操作の濫用を防ぐ

関連サービス・比較

デバイスの接続・認証・メッセージングを担う AWS IoT Core が「動かす基盤」であるのに対し、AWS IoT Device Defender はその上で「安全に保たれているかを見張る」役割を担い、両者は組み合わせて使います。AWS IoT Core と比較します。

ハンズオン / CLI例

# オンデマンド監査を実行（対象のチェック項目を指定）
aws iot start-on-demand-audit-task \
  --target-check-names DEVICE_CERTIFICATE_SHARED_CHECK IOT_POLICY_OVERLY_PERMISSIVE_CHECK

# ルールベースのセキュリティプロファイルを作成し、振る舞いの閾値を定義
aws iot create-security-profile \
  --security-profile-name UnusualTraffic \
  --behaviors file://behaviors.json

# 作成したプロファイルを監視対象（モノのグループなど）へ割り当て
aws iot attach-security-profile \
  --security-profile-name UnusualTraffic \
  --security-profile-target-arn arn:aws:iot:ap-northeast-1:123456789012:all/things