2022 .10.18
IT/OT統合を促進する産業用ネットワークセキュリティの強化
COVID-19パンデミックの発生からの2年間で、グローバル環境は急速に変化しました。企業は、これまで以上に材料不足やサプライチェーンの混乱といった困難に直面し、事業主は競争力を維持するために運用レジリエンスの強化を迫られています。多くの業界において、IT/OT統合はレジリエンスの強化に必要な手段です。統合を確実に成功させるためには、信頼性が高く安全なネットワークインフラストラクチャを開発する必要があります。
IDC Technology Spotlightによると、IT/OT統合の成功のカギは、ネットワークおよびサイバーセキュリティ機能を組み合わせることです。しかし、ITとOTを統合することで、産業用ネットワークはより複雑なものになります。ネットワークに接続するフィールドデバイスは増加しており、増え続ける膨大なデータを確実かつ正確に処理するためには、ネットワーク機能の向上が重要です。さらに、セキュリティ上の懸念も見過ごせません。接続デバイスが増加することで、侵入者がネットワークにアクセスする可能性が増えます。セキュリティ原則を実装することは、ネットワークインフラストラクチャの強固な基盤を構築するための第一歩です。しかし、産業用アプリケーションのネットワークとサイバーセキュリティの要件は異なることが多く、OT分野にサイバーセキュリティを導入する場合、困難が伴います。このコラムでは、産業用ネットワークを強化し、強固なネットワーク基盤を構築し、IT/OT統合を成功させる方法をご紹介します。
産業用ネットワークセキュリティ
OTオペレーションにおいて中断は許されません。いかなるシステムダウンタイムも膨大な損失に繋がる可能性があるためです。しかし、サイバーセキュリティの慣行では、通常、システムを常時更新し、変化し続けるサイバー脅威に対するネットワーク保護を強化することが推奨されています。システムを更新するためには一部の業務を中断する必要があり、生産効率が低下するため、OTオペレータはサイバーセキュリティ対策の実装を躊躇します。中断のない運用とサイバーセキュリティ対策の改善のバランスを取るため、ネットワークセキュリティを強化する2段階のアプローチをお薦めします。まずは、サイバー脅威から保護するために、重要なオペレーションに多層防御を施します。その後、運用上の要件を満たす安全なネットワークを構築します。次のセクションでは、これに関して詳しくご説明します。
産業オペレーションに多層防御アプローチを採用
多層防御とは、セキュリティリスクを最小限に抑えるため、各レベルにおいてサイバーセキュリティ対策を実装することで、重層的な保護を構築することを意味します。これにより、不正侵入が発生した場合でも、脅威を迅速に検出および軽減し、損害を最小限にとどめられる可能性が高くなります。強固な防御の構築は、企業の徹底的なセキュリティアセスメントから始まります。アセスメントレポートに基づき、多層防御を実装し、物理的セキュリティやICSネットワーク、デバイスセキュリティなどを含む企業のあらゆる箇所にサイバーセキュリティ対策を導入します。多層防御をより簡単に実装するために、産業用オートメーションおよび制御システム向けに考案された国際セキュリティ規格を参照することもお薦めです。特に、制御分野における汎用的な国際規格IEC 62443は産業オペレーションに多層防御を導入し、強固なセキュリティ基盤を構築するための包括的なガイドラインです。
運用上の要件を満たす安全なネットワークインフラストラクチャの構築
安全なネットワークインフラストラクチャ、特にIT/OT統合ネットワークを開発する場合、OTの現場のネットワーク接続は安全で信頼性の高いものでなければなりません。以下のセクションでは、OTネットワークインフラストラクチャのネットワークセキュリティを強化する際に考慮すべき点をご紹介します。
ネットワークエッジを強化する安全なデバイスの選択
これまでは、OTシステムのセキュリティにはエアギャップが利用されることが多く、場合によってはセキュリティは完全に軽視されていました。フィールドデバイスが接続されるようになると、ネットワークデバイスには予期せぬダウンタイムを回避するための産業グレードの信頼性だけではなく、サイバー脅威に対抗するための基本的なセキュリティ機能も必要となります。ユーザー認証メカニズムなどのセキュリティ機能は、ネットワークへのユーザーアクセスの制御に役立ちます。もう1つの重要なセキュリティ機能であるセキュアブートは、ネットワークデバイスの整合性を確保するのに役立ちます。セキュリティチェックリストを作成し、ネットワークデバイスが保護されていることを確認することは、安全なネットワーク環境を維持するために必要不可欠です。ネットワークデバイスが、IEC 62443などの国際的に認められたセキュリティ規格に認定されているか確認するのも良いでしょう。例えば、この規格に準拠しているデバイスは、安全な製品開発ライフサイクルのガイドラインであるIEC 62443-4-1に基づき開発され、ネットワークデバイスを保護し、ネットワークセキュリティ全体を強化するセキュリティ機能を備えていることになります。
多様なセキュリティ機能によるネットワークの保護
最適なOTネットワークの保護には、1つの保護層が上手くいかなかった場合に、次の層が確実に機能する多層防御が必要です。OTネットワークを複数のゾーンに分割することで、ネットワークセキュリティを向上させ、脅威が他のシステムに影響することを回避できます。VLANやファイアウォールなどの機能は、ネットワークを隔離されたゾーンに分割し、悪意のあるもしくは不正なトラフィックをフィルタリングすることで、セキュリティを強化します。より積極的な対策として、ネットワークノードが危険に晒された場合に、産業用侵入検知/保護システム(IDS/IPS)を用いて脅威を識別し、特定のエリアに封じ込めることもできます。また、アクセス制御を追加することも、ネットワークセキュリティの強化に有効です。IEEE 802.1Xなどの認証プロトコルを活用することで、OTネットワークにアクセスするユーザーを確認することも可能です。また、MACアドレスもしくはその他の証明により定義された認定ユーザーが、割り当てられた役割に基づき、特定のポートからネットワークの一部にアクセスできるよう許可するアクセス制御機能もあります。
ネットワークステータスの可視性の向上および管理の効率化
接続されるフィールドデバイスの増加に伴い、ネットワークを効率的に設定、監視および維持することは困難になります。OTユーザーが複数のデバイスのセキュリティ設定を簡単に行えるツールを利用することで、ネットワーク管理の複雑さを軽減することができます。さらに、日常業務のために、各ネットワークデバイスのセキュリティレベルを簡単に監視および維持する方法も必要です。産業用ネットワーク用のデバイスを選定する際は、セキュリティ設定の管理やネットワークデバイスのセキュリティステータスの監視にかかる時間を削減できる、使い易くOTユーザーフレンドリーなネットワーク管理ツールを選択してください。
ネットワークインフラストラクチャにネットワークおよび専用のOTセキュリティを活用
安全なネットワークインフラストラクチャを構築する際、ネットワークの基礎的要素として適切なデバイスを選択することが重要です。IEC 62443-4-2を取得したMoxaのイーサネットスイッチ EDS-4000/G4000シリーズ は、産業用ネットワークのセキュリティを強化し、多様なネットワークの要求への対応に役立つよう設計されています。EDS-4000/G4000シリーズは厳格なIEC 62443セキュリティガイドラインに基づき設計され、重要なインフラストラクチャを含む様々な業界においてお客様からも評価されている、多目的かつセキュリティが強化されたネットワークソリューションを提供します。
EDS-4000/G4000シリーズは、サイバーセキュリティを強化するだけでなく、強力なネットワーク機能を提供し、将来を見据えたネットワークの開発および信頼性が高くセキュリティが強化されたIT/OT統合の促進に貢献します。
コラムで紹介されている製品はこちら
Moxa-産業用マネージドイーサネットスイッチ EDS-4000/G4000シリーズ |
こちらのコラムを読まれた方には、下記の記事もお薦めです。
将来性のある産業用ネットワークの再定義 | OTネットワークを防御するMoxaのネットワークセキュリティソリューション | 【連載3】OT現場のセキュリティ、企業が抱える課題とは?現場の声を聞いてみました |