# セキュリティのユースケース
<a name="dd-detect-security-use-cases"></a>

このセクションでは、デバイスフリートを脅かすさまざまな種類の攻撃と、これらの攻撃を監視するために使用できる推奨メトリクスについて説明します。セキュリティの問題を調査する出発点としてメトリクスの異常を使用することをお勧めしますが、メトリクスの異常のみに基づいてセキュリティ上の脅威を決定しないでください。

異常アラームを調査するには、アラームの詳細をデバイス属性、デバイスメトリクスの履歴トレンド、Security Profile メトリクスの履歴トレンド、カスタムメトリクス、ログなどのコンテキスト情報と関連付けて、セキュリティの脅威が存在するかどうかを判断します。

## クラウド側のユースケース
<a name="Cloud-side-threats"></a>

Device Defender は、AWS IoT クラウド側で以下のユースケースを監視できます。

**[知的財産の盗難:]**  
知的財産の盗難には、企業秘密、ハードウェア、ソフトウェアなどの個人または企業の知的財産を盗むことが含まれます。デバイスの製造段階で発生することがよくあります。知的財産の盗難は、著作権侵害、デバイスの盗難、またはデバイス証明書の盗難などの形で発生することがあります。クラウドベースの知的財産の盗難は、IoT リソースへの意図しないアクセスを許可するポリシーが存在することによって発生する可能性があります。[IoT ポリシー](https://docs.aws.amazon.com/iot/latest/developerguide/iot-policies.html)を確認し、[[Audit overly permissive checks](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-audit-checks.html)] (権限が過剰のチェックの監査) をオンにして、権限が過剰であるポリシーを特定する必要があります。    
****[関連メトリクス:]****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**[MQTT ベースのデータ流出:]**  
データ流出は、悪意のある行為者が IoT のデプロイまたはデバイスから不正なデータ転送を実行したときに発生します。攻撃者は、クラウド側のデータソースに対して MQTT を通じてこの種の攻撃を開始します。    
****[関連メトリクス:]****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**[なりすまし:]**  
なりすまし攻撃は、AWS IoT のクラウド側のサービス、アプリケーション、データにアクセスしたり、IoT デバイスの指揮および制御に関与したりするために、攻撃者が既知のまたは信頼できるエンティティとして振る舞う攻撃です。    
****[関連メトリクス:]****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**[クラウドインフラストラクチャの悪用:]**  
AWS IoT クラウドサービスの不正利用は、メッセージ量が多いトピックやサイズの大きいトピックを発行またはサブスクライブするときに発生します。コマンドおよび制御に対する過度に寛容なポリシーまたはデバイスの脆弱性の悪用も、クラウドインフラストラクチャの悪用を引き起こす可能性があります。この攻撃の主な目的の 1 つは、AWS の請求額を増やすことです。[IoT ポリシー](https://docs.aws.amazon.com/iot/latest/developerguide/iot-policies.html)を確認し、[[Audit overly permissive checks](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-audit-checks.html)] (権限が過剰のチェックの監査) をオンにして、権限が過剰であるポリシーを特定する必要があります。    
****[関連メトリクス:]****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

## デバイス側のユースケース
<a name="Device-side-threats"></a>

Device Defender は、デバイス側で次のユースケースを監視できます。

**[サービス拒否攻撃:]**  
Denial-of-Service (DoS; サービス拒否) 攻撃は、デバイスまたはネットワークをシャットダウンし、目的のユーザがデバイスまたはネットワークにアクセスできないようにすることを目的としています。DoS 攻撃は、ターゲットをトラフィックでフラッディングしたり、システムの起動を遅らせ、もしくはシステムの障害を引き起こすリクエストを送信したりすることで、アクセスをブロックします。IoT デバイスは DoS 攻撃に使用できます。    
****[関連メトリクス:]****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**[横方向の脅威のエスカレーション:]**  
横方向の脅威のエスカレーションは通常、攻撃者がネットワークの 1 つのポイント (コネクテッドデバイスなど) にアクセスできるようになることから始まります。その後、攻撃者は、盗まれた認証情報や脆弱性の悪用などの方法で、特権レベルまたは他のデバイスへのアクセス権を強化しようとします。    
****[関連メトリクス:]****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**[データ流出または監視:]**  
データ流出は、マルウェアまたは悪意のある行為者がデバイスまたはネットワークエンドポイントから不正なデータ転送を実行したときに発生します。データ流出は、通常、攻撃者にとってデータや知的財産の取得、またはネットワークの偵察の 2 つの目的を果たすものです。監視 (Surveillance) とは、認証情報を盗み、情報を収集する目的で、悪意のあるコードを使用してユーザーの活動をモニタリングすることを意味します。以下のメトリクスは、いずれかのタイプの攻撃を調査するための出発点となります。    
****[関連メトリクス:]****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**[仮想通貨のマイニング]**  
攻撃者は、デバイスの処理能力を活用して暗号通貨をマイニングします。暗号通貨マイニングはコンピューティングを多用するプロセスであり、通常、他のマイニングピアやプールとのネットワーク通信を必要とします。    
****[関連メトリクス:]****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**[コマンドと制御、マルウェア、ランサムウェア]**  
マルウェアやランサムウェアは、デバイスの制御を制限し、デバイスの機能を制限します。ランサムウェア攻撃の場合、ランサムウェアが使用する暗号化により、データへのアクセスが失われます。    
****[関連メトリクス:]****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)