2019 .7.24

【特集】産業用ネットワークを攻撃の脅威から守るには 第四回:マネジメントセキュリティのソリューション

 

第四回:マネジメントセキュリティのソリューション

今回は引き続き、第1回の特集に掲載されたチェックリストで確認した、デバイス、ネットワーク、そしてマネジメントの3つにおけるセキュリティソリューションのうち、マネジメントのセキュリティソリューションについて解説します。

マネジメントのセキュリティソリューション

ICSネットワークが拡大し続け、より多くのネットワークが収束し続ける中で、セキュリティ構造を設計する際には、多層防御のアプローチの利点を理解することが重要です。しかし、ICSネットワークにサイバーセキュリティの構成要素を増設導入しても、重要な資産を不正アクセスから完全に保護するには十分とはいえません。ICS-CERTが発表した報告書によると、健全なセキュリティ管理モデルには以下の段階が含まれるべきだとされています。

 

●ICSでネットワーク接続を識別し保護する
●ネットワークデバイスを強化する
●人的要因を管理する
●ネットワークのセキュリティ状態を継続的に監視および評価する
●突発的事態に対応し、迅速にネットワークを通常の運用に戻す

 

ICSネットワークを使用するユーザーがセキュリティ管理モデルに準拠していない場合、悪意のある人々が引き続き保護下にあるネットワークにアクセスできてしまいます。ネットワークが危険にさらされていないことを保証するには、ICSネットワークが管理ルールに従っているかどうかを確認し、すべてのユーザーがガイドラインを読んでいることを確認します。

 

ベストプラクティスを実践しているか3つの確認

ICSネットワークは独立しているので、デフォルトパスワードを変更する必要はない?

 

Ans. No!安全なアクセスとID管理が重要

データや資産への不正アクセスを防ぐには、別のサイトからICSネットワークにアクセスするユーザーに対しても、安全なアクセスとID管理が必要です。許可されたユーザーだけがネットワークにアクセスできるようにすることが非常に重要です。

Moxaの提案

Moxaのネットワークデバイスは、RADIUS、ロールベースアクセス制御、Webログインページアラート、アカウントの一元管理、認証管理をサポートしています。さらに、Moxaは無線デバイスに対してWPA2無線ネットワークセキュリティも提供しています。安全なアクセスとID管理を実現します。

 

デバイスの接続状況はネットワークが稼働しているときだけ考慮すればよい?

 

Ans. No!デバイス管理は重要

単一の製品やソリューション、アプローチでICSネットワークを完全に保護することはできません。したがってすべてのネットワークデバイスを理解し、障害が発生した場合に組織に最も大きな影響を与える可能性のある資産に重点を置くことが非常に重要です。障害発生時には、ネットワークに接続可能なポートとロックすべきポートを特定し、アクセス許可のないユーザーがネットワークに接続できないようにするため、OTオペレーター全員がIPアクセステーブルをクリアにする必要があります。

Moxaの提案

Moxaは、セキュリティを大幅に強化するためにスティッキMACアドレスで使用できる多くのイーサネットスイッチを提供しています。

 

ICSネットワークはダウンタイムから迅速に回復できると確信できる?

 

Ans. 構成の暗号化と定期的なバックアップで回復可能です。

ネットワークはIEC62443規格の技術的推奨事項に基づいて、すべてのイベントログを記録する必要があります。完全なイベントログを持つことで、発生した問題を追跡し、迅速に状況に対応できます。また、ネットワーク構成データは機密事項です。ネットワークオペレーターの許可なしに設定を変更すると、すべてのデータが破損する可能性があります。問題が発生した場合にネットワークを迅速に正常な状態に戻すため、構成の暗号化と定期的なバックアップは非常に重要です。

Moxaの提案

MoxaのMXviewにはジョブスケジューラ機能があり、構成データとネットワーク設定の定期的なバックアップが可能です。

 

Moxaのマネジメントセキュリティソリューション

一連のセキュリティソリューションが実装されている製品をご確認ください。

 

セキュリティステータスが一目でわかる MXview

MXviewは、ローカルとリモートサイトの両方で、Webブラウザからネットワークデバイスを管理できる統合管理プラットフォーム。さらにセキュリティビューを使用すると、ネットワークデバイスのセキュリティパラメータを視覚化し、状況が一目で把握できます。これによりネットワーク管理者は、デバイスのセキュリティレベルを表示したり、パラメータをリアルタイムで確認でき、セキュリティの脅威や脆弱性に迅速に対応できます。 エンジニアはプロファイルを容易に生成することができ、また、一般的なユーザ向けにも、IEC62443規格を満たす使いやすいプロファイルが組み込まれています。

 

わずか3ステップで設定完了 MxConfig

MXconfigはセキュリティ基準を満たすネットワークをわずが3つのステップで構成し、複数のMoxaネットワークデバイスをインストール、構成、および保守できます。またセキュリティウィザードを使用すると、複数デバイスのセキュリティ関連パラメータをまとめて設定または変更することもできます。このツールによって、複雑な個々の設定を行うことなく、ネットワーク上の各デバイスが正しく設定できます。

 

 

迅速なセキュリティ監視を実現

MXviewとMXconfigは、一般的ユーザとエンジニアの両方が、ネットワーク上のデバイスのセキュリティレベルを効率的に管理することができます。IEC62443規格の技術要件を満たすセキュリティ設定は、ネットワークデバイスごとに複数あるため、管理者はデバイスを1つずつ手動でチェックしてパラメータを設定する必要があり、時間がかかり、エラーが発生しやすくなります。MXconfigのセキュリティウィザードがあれば、多数のネットワークデバイスのバッチ構成をサポートすることが可能になり、構成時間を大幅に短縮します。これは、各デバイスを手動で構成する場合にも役立ちます。

 

次回はサイバーセキュリティを実践するケーススタディをご紹介します。

>>第5回:サイバーセキュリティ ケーススタディ