システムを強化する揺るぎない防衛力

HOME技術コラムシステムを強化する揺るぎない防衛力

2025 .6.10

産業オートメーションにおけるネットワークセキュリティの実現

最新の産業オートメーションシステムの運用効率を最適化するには、OTとITのネットワーク統合が不可欠です。OT/ITネットワークの合理化により、産業用システムの可能性を引き出すことができる一方、ネットワークセキュリティの懸念も生じます。これは、エアギャップで分離されていても、オペレーションを中断することなくネットワーク通信を保護しなければならないOTシステムにおいて、特に懸念されます。産業用ネットワーキングにおいて35年以上の経験を持つMoxaは、OT環境のサイバー脅威をプロアクティブに特定し軽減する、安全で信頼性の高いネットワーキングソリューションの開発に取り組んでいます。この取り組みの一環として、Moxaはセキュアバイデザインを厳密に遵守し、分散型OT侵入防止システム機能を利用し、産業用アプリケーションを徹底的に防御するための幅広い堅牢なネットワーキングポートフォリオを提供しています。今回のコラムでは、産業オートメーションにおける代表的なサイバーセキュリティの課題と、それらに対するMoxaのソリューションをご紹介します。

ネットワークステータスの

識別

ネットワークステータス、デバイスのセキュリティレベル、リモート接続の可視化とマネジメントを強化

セキュアなネットワーク

インフラストラクチャ

オーケストレーションされたネットワークトポロジー設計によりセキュリティ境界を構築し、ネットワークセキュリティを強化

セキュアなエッジ接続

初期導入から日々のメンテナンスまで、あらゆる段階でエッジ接続を保護

1. OTネットワークマネジメントにおけるサイバーセキュリティの課題

-ネットワークステータスが可視化できない場合、異常な切断や侵入の脅威を検知できない可能性があります。

-自己安全機能を備えていないネットワークデバイスは、冗長機能を無効にしたり、リモート操作モードを有効にしたりするなど、設定を簡単に変更できる攻撃者に対して脆弱です。

デバイスおよびネットワークセキュリティステータスの可視化

次世代ネットワーク管理ソフトウェアMXview Oneシリーズは、産業用ネットワークのデバイスを監視および診断を目的に設計されており、サブネットにインストールされたネットワークデバイスやSNMP/IPデバイスを検出するための統合管理プラットフォームを提供します。ネットワークデバイスは、ローカルサイトやリモートサイトでも、Webブラウザ経由でも、いつでもどこでも管理することができます。

ソリューション: リアルタイムのネットワーク可視化

・リアルタイムの可視性でトラブルシューティングをスピードアップ

・内蔵ダッシュボードでネットワークトポロジー、トラフィック、インシデント、ローミングログをいつでも確認可能

・ネットワーク管理の可視化により、応答時間を短縮し、ネットワークが中断することなくスムーズに稼働することを保証

2. トラフィック制御におけるサイバーセキュリティの課題

-アンマネージドスイッチを生産ラインで多用することで、侵入のリスクが高まります。

-権限のない個人が、物理的なネットワークポートを介して悪意を持ってネットワーク設定を変更することで、システムの不安定化を引き起こす可能性があります。

-ネットワーク内の不正なリモート接続を特定することができません。

-ランサムウェアなどのサイバー攻撃がネットワーク全体に広がります。

産業用ネットワークと重要な資産の保護

産業オペレーションの継続性を確保するには、セキュアなネットワークインフラストラクチャが必要です。Moxaの製品ポートフォリオは、強固なネットワークセグメンテーションを構築するための強力なセキュアルータだけでなく、産業用ネットワークおよび重要な資産の保護を強化するための産業用サイバーセキュリティソリューションを提供します。

ソリューション: セキュアルータを使用したネットワークセグメンテーションによる共同防衛

【ゾーンとコンジットの構築】

・ファイアウォール:ネットワーク内にコンジットを確立し、許可されたトラフィックとパケットのみがゾーン間で転送されます。

・NAT: プライベートなローカルゾーンを確立し、外部のプロービングから内部のネットワーク情報を隠すのに役立ちます。

・IPS: Windowsシステムの既知の脆弱性の悪用を防ぎ、パッチ更新のサポートがないレガシーWindowsデバイスを保護するのに役立ちます。

・IDS: サイバー攻撃を特定し、特定のゾーン内に封じ込めることができます。また、IPSパターンマッチングを利用して管理者に通知します。

【ネットワークセキュリティコントロール】

・VLAN IDまたはMACアドレス: ユーザーのロールに基づいて、データやネットワークへのアクセスを許可します。

・IPアドレスとポート: ネットワーク上で許可されたトラフィックのみを許可します。

・ディープパケットインスペクション: 承認されたコンテンツのみがネットワーク上で送信されるよう、各パケットペイロードの内容をチェックします。

Moxaの産業用セキュアルータEDR-G9010シリーズは、オールインワンのファイアウォール/NAT/VPN/スイッチ機能を活用することで、多層防御のセキュリティアーキテクチャを柔軟に設計することができます。EDR-G9010シリーズはOTディープパケットインスペクション技術を搭載しており、高度なネットワーク保護を実現します。さらに、IDS/IPSも備えており、重要なインフラストラクチャをサイバーセキュリティ攻撃から保護します。

ソリューション: セキュリティが強化されたスイッチによるアクセス制御

・VLAN: 特定のデータやネットワークセグメントへのユーザーアクセスを制限することで、セキュリティを強化し、ネットワーク効率を向上させます。

・ACL: 事前に定義されたルールに基づいてネットワークトラフィックを許可またはブロックし、重要なリソースを不正アクセスから保護します。

・ポートロック: 許可されたデバイスのみを許可することで、ネットワークへのデバイス接続を制限し、不正アクセスのリスクを低減します。

セキュリティが強化されたイーサネットスイッチEDS-G4014シリーズを使用すると、VLANを使用して異なるネットワークセグメント間でトラフィックを分離し、ポートレベルでアクセス制御リスト (ACL)を利用することができ、イーサネットスイッチ経由でネットワークに入るデータのVLANセキュリティを向上させることができます。

3. OTエッジ接続におけるサイバーセキュリティの課題

-アクセス制限のないネットワークでは、不正なデバイスが自由に参加でき、外部からのアクセスが可能となります。

-トラフィックが混在するフラットなネットワークでは、分離がうまくいかず、トラフィック管理が非効率になる可能性があります。

-ネットワークやPLCなどの産業機器はDoS攻撃の標的となる可能性があります。

– TCP/IPパケットに変換された暗号化されていないシリアルデータは、外部によって簡単に傍受または改ざんされる可能性があります。

-リモート接続など、デバイス上で不要な通信サービスを有効にすると、攻撃にさらされる可能性が高まります。

あらゆる面でセキュアなエッジ接続

セキュアなエッジ接続ソリューションは、2つの重要な要素に焦点を当てる必要があります。1つ目は、信頼できるアクセスとネットワークの最適化です。これには、ポートロックを使用して物理ポートを制限し、許可されたデバイスだけが接続できるようにすることも含まれます。さらに、VLANとQoS (Quality of Service)を導入することで、トラフィックをセグメント化し、重要なパケットを優先することで、利用可能な帯域幅を最大化することができます。2つ目の要素は安全なデータ伝送で、エンド to エンド暗号化によって実現できます。SSLまたはSSHを利用することで、データの収集と転送時にすべてのトラフィックが保護され、プロセス全体のセキュリティが確保されます。