2020 .9.4
MOXAのIIoTマネジャーが解説!産業用セキュリティ対策と注目のソリューションとは(後編)
機能が詰め込まれた産業用IPSの外観をざっくり点検!
みなさんこんにちは。
少しお待たせしましたが、今回もMOXAのCyberSecurity SolutionについてMoxa Inc. アジア営業本部 IIoT 事業開発マネージャの長澤宣和氏に詳しくお話しいただこうと思います。
今回は前回の続きとして、MOXAのCyberSecurity Solutionの中核をなす、産業用IPSシリーズ「IEC-G102 -BP Series」の全貌を解説していただきました。
———————————————————-
IEC-G102-BP Seriesは、ネットワーク上に設置して手軽にIPSを実現できる超小型のIPS/IDS装置です。
本製品には、更新ライセンスの種類や付属する機能の違いにより2タイプがあります【★写真1】。
【★写真1】産業用IPSシリーズ「IEC-G102 -BP Series」。
「スタンダードバージョン」と「プロバージョン」の2タイプを用意。
今回MOXAは、本製品を開発するにあたって、トレンドマイクロと合弁会社・TXOneNetworksを設立しました。トレンドマイクロは、長年にわたりCyber Securityの経験を蓄積し、優れたパケット解析技術や世界的な脅威リサーチ機関を有しています。したがって、本製品も高い信頼性に裏打ちされたセキュリティ製品になっています。
IEC-G102-BP Seriesは、ご覧の通り外寸が40 x 70 x 83 mmという小さなボックスにIPSの機能をまるごと詰め込んで、現場ですぐに使えるようにした製品です【★写真2】。
【★写真2】IEC-G102-BP Seriesハードウェア構成。
GbE LAN×2ポートを備え、高速なトラフィックをリアルタイムに解析する。
産業現場のPCはもちろんのこと、HMIやPLCなど、ミッションクリティカルな重要資産を脅威から保護します。OT側で利用される各種ネットワーク・プロトコルにも対応し、ITによるデータの可視化が行えます。
産業向けのハードウェアと、専用ダッシュボードでセキュリティも万全
IEC-G102-BP Seriesは、産業向けのハードウェアであるため、EMC、EMS、IECなどの認証を受けており、電磁場両立性や耐環境性にも優れています。たとえば環境面では動作温度(Tモデル)-40℃~+75℃と低温から高温までワイドに対応しています。
ハードウェア構成ですが、まず通信トラフィックを捕捉するために、GbE LAN×2ポートを備えています。またLANバイパス機能があり、本体電源が落ちても、通信自体をそのままスルーで通してくれるので、何か本体にトラブルがあっても安心です。
このほかUSB×1ポートから、マニュアル・アップデートや、設定情報をバックアックすることも可能です。フロントにはLEDが配置され、ハードの状態が一目で分かるように工夫されています。
セキュリティ管理に関しては、わかりやすい専用ダッシュボード「SDC」(Security Dashboard Console)を備え、管理者が一元的に集中管理が行えます【★写真3】。
【★写真3】専用ダッシュボード「SDC」のイメージ。
ポリシー管理、OT情報の見える化、パターンファイル自動更新なども可能になる。
このツールを使うと、ポリシー管理、OT情報の見える化、パターンファイル(シグネチャー)の自動更新(プロバージョン)、アラート表示などのほか、各種イベント情報をSOC(Security Operation Center)やSIEM(Security Information and Event Managemen)と連携させ、脅威の統合的な対策も実現できるようになります。
ちなみに、本製品は現場環境に合わせてIPSとIDSの機能を使い分けられます。IPSモードは、脅威を検出するとネットワークを遮断しますが、IDSモードは脅威を検出するとアラートを投げるという相違点があります。最初にIDSモードにして様子をみて、その後にIPSモードにして脅威をブロックするとよいでしょう。
脅威をDPIでリアルタイムに精査し、現場の重要リソースを保護!
前回のコラムで触れたとおり、脅威を検知する際に、産業用向けのDPI(Deep Pacet Inspection)機能を備えている点は大きな特徴です。これにより入力されたパケットをより深く解析し、脅威を精査することが可能です。しかも、開発環境上でレイテンシー(遅延)が500μ秒以内という驚きのパフォーマンスを実現していることも見逃がせない点でしょう【★写真4】。
【★写真4】DPIでパケットをより深く解析し、脅威を精査する。
その際に遅延が起きず、500μ秒以内で実行してくれる点も注目点だろう。
またホワイトリスト・コントロールに従い、デバイス/サービス/プロトコルの各レベルで、きめ細やかにアクセス制御できます。
ワームやマルウェアなどを検出すると、エッジデバイスへの悪意あるアクセスを防御したり、エッジデバイスからのトラフィックを封じ込めます【★写真5】。特に現場はUSBからの感染も考えられます。脅威の拡散防止のために重要な機能になります。
【★写真5】IPS機能によって、エッジデバイスへの悪意あるアクセスを防御したり、
エッジデバイスからのトラフィックを封じ込められる。
もう1つユニークな機能として、本製品には「Virtual Patch」(仮想パッチ)があります。これまでOT側で古いOSにはパッチを適用しづらいことがネックでした。この機能では、OSだけでなく、パッチ管理ができないPLCなどのデバイスに対して、あたかもパッチを当てたかのような効果を得られる点が大きなポイントになります【★写真6】。
【★写真6】パッチ管理ができないOSやデバイスに対し、
あたかもパッチを当てたかのような効果を得られる「Virtual Patch」機能は大変便利だ。
最後にIEC-G102-BP Seriesのライセンスについても触れておきましょう。本製品には、スタンダードバージョンとプロバージョンがありますが、いずれもハードウェア補償期間は5年間です。ただしパターンファイルのアップデートのライセンスが異なります。
スタンダードバージョンは新規5年間ライセンスで、MOXA公式サイトから手動によるアップデートが行えます。一方、プロバージョンは1年間ライセンスで、1年/2年/4年更新と小刻みに更新ライセンスを購入できます。また手動アップデートのほかに、前出のSDCによる自動更新も可能です。
IoT時代に入り、製造業における工場現場のセキュリティ対策は、ますます重要になっています。大切なリソースを手軽に守れるIEC-G102-BP Seriesによって、ぜひ万全な対策を講じていただけると幸いです。