技術情報
産業用ネットワークソリューション
IT/OTコンバージェンスに活力を与える産業用ネットワークセキュリティの強化
終息のめどが立たないまま2年間以上も経過しているパンデミックや、複雑な海外情勢は、急速に変化するグローバル環境の代名詞となっています。企業はこれまで以上に、資材不足やサプライチェーンの混乱などの不確実性に直面していることで、競争力を維持するためにオペレーショナルレジリエンスを強化する必要に迫られています。多くの産業界にとって、IT/OTのコンバージェンスは、レジリエンスを強化するための進むべき道です。そのためコンバージェンス (融合) を確実に成功させるためには、信頼性に優れセキュアなネットワークインフラストラクチャを開発することが不可欠となります。
IDC Technology Spotlightのレポートによると、"IT/OTコンバージェンスは、オペレーショナルレジリエンスを実現するための道筋である。しかし、過去に比べて機能と規模が進化している現在、堅牢でセキュアな産業用ネットワークバックボーンが必要である。目的に応じて設計されたOTネットワーキングとサイバーセキュリティを組み合わせることは、オペレーショナルレジリエンスを確実に成功させ、予期せぬ障害を回避するための1つの道筋である" と言及しています。このように、IT/OTのコンバージェンスを成功させる鍵は、ネットワークとサイバーセキュリティの規律と機能を組み合わせることです。しかし、ITとOTをマージすると、産業用ネットワークは複雑になります。ネットワークに接続する必要があるフィールドデバイスの数もデータも増え続けています。そのため、ネットワーク機能を強化して、増大する膨大なデータを確実かつ正確に処理できるようにすることが重要となります。さらに、セキュリティ上の懸念も見逃せません。接続されているデバイスの数が増えるほど、侵入者がネットワークにアクセスするための潜在的な出入り口も増加します。そのため、セキュリティの原則を導入することは、ネットワークインフラストラクチャの強固な基盤を構築するための最初のステップとなります。しかしながら、産業用アプリケーションのネットワークとサイバーセキュリティの要件はしばしば大きく異なるため、OT分野でサイバーセキュリティを採用することに困難を伴います。この記事では、産業用ネットワークのセキュリティを強化し、堅牢なネットワーク基盤を構築してIT/OTのコンバージェンスを成功させる方法に焦点を当てます。
産業用ネットワークセキュリティの考慮すべきこと
OTオペレーションは、中断に対してゼロトレランスであるべきです。システムのダウンタイムは、甚大な損失に繋がる可能性があります。しかし、サイバーセキュリティ対策は、刻々と変化するサイバー脅威に対するネットワーク保護を強化するために、常にシステムを更新することを奨励します。そのことにより、システム更新のたびに運用の一部をシャットダウンする必要が生じる可能性があり、生産効率が低下することから、企業は、サイバーセキュリティ対策の実施をためらってしまうことがあります。中断のない運用の必要性とサイバーセキュリティ対策改善のバランスをとるために、ネットワークセキュリティを強化する2段階のアプローチをお勧めします。まず、サイバー脅威から守るために必要不可欠な運用を特定し、階層化された防御を構築することから始め、その後、運用上の要求を満たすセキュアなネットワークを構築します。次のセクションでは、このことについて詳しく説明します。
産業オペレーションにDefense-in-depth (深層防護) のアプローチを導入する
Defense-in-depth (深層防護) の考え方は、セキュリティリスクを最小限に抑えるために、あらゆるレベルでサイバーセキュリティ対策を実施する多層的な保護を提供することです。システムに侵入された場合、脅威を迅速に検知し軽減することで、被害を最小限に抑えることができます。強固な防御を構築するには、組織の徹底的なセキュリティ評価から始まります。評価レポートに基づいて、多層防御を実装し、物理的セキュリティ、ICSネットワーク、デバイスセキュリティなど、産業組織のあらゆる側面に対してサイバーセキュリティ対策を展開することができます。Defense-in-depthの概念をより簡単に導入するためには、産業用オートメーションおよび制御システム向けに設計された国際的なセキュリティ規格を参照します。特に、IEC 62443規格は、強力なセキュリティ基盤を構築するために必要なDefense-in-depthのセキュリティを産業界のオペレーションに導入するための包括的なガイドラインを提供します。
運用上の要求を満たすセキュアなネットワークインフラストラクチャを構築
セキュリティで保護されたネットワークインフラストラクチャを開発する際、特にIT/OTコンバージドネットワークの場合、OTフィールドサイトのネットワークコネクションは、セキュアで信頼性の高いものである必要があります。次のセクションでは、OTネットワークインフラストラクチャのネットワークセキュリティを強化する際に考慮すべき点をいくつか強調します。
ネットワークエッジを強化するセキュアデバイスの選定
従来、OTシステムのセキュリティは、安全でないネットワークから物理的に隔離するエアギャップに依存していました。場合によっては、セキュリティを完全に無視することもありました。フィールドデバイスが接続された後のネットワークデバイスには、予期せぬダウンタイムを回避するために産業用レベルの信頼性が求められるだけでなく、サイバー脅威に対抗するための基本的なセキュリティ機能も必要です。ユーザ認証メカニズムなどのセキュリティ機能は、ネットワークへのユーザアクセスを制御することができます。また、重要なセキュリティ機能であるセキュアブートは、ネットワークデバイスの完全性を確保することができます。ネットワークデバイスが保護されていることを確認するためのセキュリティチェックリストを作成することは、セキュアなネットワーク環境を維持するために必要不可欠です。
あるいは、ネットワークデバイスがIEC 62443規格などの国際的に認定されたセキュリティ規格の認証を取得しているかどうかを確認することも必要です。例えば、この規格に準拠しているということは、これらのデバイスがIEC 62443-4-1セキュア製品開発ライフサイクルガイドラインに基づいて開発され、ネットワークデバイスを保護し、ネットワーク全体のセキュリティを強化するセキュリティ機能を備えていることを意味します。
多様なセキュリティ機能でネットワークを保護
OTネットワークを最適に保護するには、1つの保護層に障害が発生しても、次の層が保証を有効にする多層防衛が必要です。OTネットワークをいくつかのゾーンに分割することで、ネットワークのセキュリティを向上させ、脅威が他のシステムに影響を与えることを防ぐことができます。VLANやファイアウォールなどの機能は、ネットワークを隔離されたゾーンに分割し、悪意のあるトラフィックや未承認のトラフィックをフィルタリングすることで、セキュリティを向上させます。より積極的な対策としては、侵入検知/保護システム (IDS/IPS:Industrial Intrusion Detection/Protection Systems) により、ネットワークノードが侵害された場合、特定のエリア内で脅威を特定し、封じ込めることができます。アクセスコントロールを追加することも、ネットワークセキュリティを強化する有効な方法です。IEEE 802.1Xのような認証プロトコルを活用することで、OTネットワークにアクセスするユーザを確認することができます。また、MACアドレスまたは他の形式のIDを通して定義された正規のユーザが、割り当てられた役割に基づいて特定のポートを介してネットワークの一部にアクセスするために、他のアクセスコントロール機能を使用することができます。
ネットワークステータスの可視化の向上とマネージメントの合理化
フィールドデバイスが接続されるほど、ネットワークを効率的に構成、監視、および維持することが難しくなります。しかし、OTユーザに、複数のデバイスのセキュリティ設定を迅速に構成するためのツールを提供することで、ネットワークマネージメントの複雑さを軽減できます。さらに、日常の運用において、各ネットワークデバイスのセキュリティレベルを簡単に監視および維持する方法も必要です。産業用ネットワーク用のデバイスを選定する際には、セキュリティ設定の管理とネットワークデバイスのセキュリティステータス監視の時間を短縮できる、使いやすくOTユーザフレンドリーなネットワークマネージメントツールに注視する必要があります。
ネットワークインフラストラクチャにネットワークと目的に応じて設計されたOTセキュリティを活用
セキュアなネットワークインフラストラクチャを構築する際は、ネットワークのビルディングブロックとして適切なデバイスを選定することが大切です。MoxaのEDS-4000/G4000シリーズは、IEC 62443-4-2認定のイーサネットスイッチファミリーであり、産業用ネットワークのセキュリティを強化し、多様なネットワーク需要に対応することができるよう設計されています。EDS-4000/G4000シリーズの設計は、重要インフラストラクチャを含むさまざまな業界を通して "顧客の最も厳格なサイバーセキュリティ評価に合格" する、汎用性とセキュリティが強化されたネットワーキングソリューションを構築するために、厳格なIEC 62443セキュリティガイドラインに準拠しています。
MoxaのEDS-4000/G4000シリーズは、サイバーセキュリティの強化に加えて、将来を見据えたネットワークの開発、および信頼性とセキュリティを向上させるIT/OTのコンバージェンスを加速することができる強力なネットワーク機能を提供します。次世代のEDS-4000/G4000シリーズ産業用マネージドイーサネットスイッチの詳細については、下記の技術情報をご覧ください。