Forescout

フォアスカウト

ソリューション

ビルセキュリティ

日本国内のビルシステムに対するサイバーセキュリティの必要性に注目が集まっています。インターネットから切り離され、ビル独自の通信プロトコルを利用しているという理由によりサイバー攻撃の対象にはならないという従来の常識は、既に通用しない時代となりました。

「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」でも世界的にビルに向けた攻撃が増えているものの、セキュリティ対策が非常に遅れており被害が拡大しやすい状況と指摘されています。

マクニカでは上記の現状を解決する最適なソリューションをご提供します。

※2019/6 Silent Defenseは、Security Matters からForeScoutへ社名変更しております。

危険なビルシステムの現状

ビルが抱える課題点

そもそもサイバーセキュリティを考慮した設計になされていないビルシステムでは下記の深刻な課題を抱えています。

  • 暗号化、認証を利用していない
  • ソフトウェアが最新状態でないことが多い
  • ネットワーク全体像が把握できていない

想定しうるセキュリティリスク

  • オフィスネットワークを経由した脅威侵入
  • 持ち込み媒体を経由した脅威侵入
  • 内部不正
  • 危険なビルシステムの現状

課題:ビルシステムに最適なセキュリティ対策は?

代表的なセキュリティ対策

対策ソリューション

概 要
対応可能な脅威
アンチウイルス
日々更新されるウイルス定義ファイルを元に照合を行いWindows機に感染する不正ウイルスを検知する。制御システム内のPCやサーバ等へのインストールが必要。 既知の不正プログラムのPCやサーバ等への感染を防ぐことができるが、未知の不正プログラムや不正通信の受信の検知/防御ができない。
アプリケーション
コントロール
事前に許可したファイル以外の実行を防ぐ。制御システム内のPCやサーバ等へのインストールが必要。 PCやサーバ等に対する不正プログラムの感染を防ぐことができるが、別のデバイスからの不正通信の検知/防御はできない。
セキュリティ
パッチ管理
システム内に存在する脆弱性を持つ端末を把握する。 既知の脆弱性を持つ端末を把握する事ができるが、未知の脆弱性(ゼロデイ)を把握する事は出来ない。
外部USBメモリ対策 USBメモリ内部をスキャンする事により、USBメモリを介在する不正プログラム感染を防ぐ。制御システム内のPCやサーバ等へのインストールまたは、敷地内へのスキャン専用装置の設置が必要。 USBメモリを介在してPCやサーバ等に不正プログラムが感染することを防ぐことは出来るが、PCやサーバ等へエージェントをインストールしない限り未スキャンのUSBメモリ持ち込みを防ぐことが出来ない。
ネットワーク分離 各エリアをまたがる通信の内、不要な通信をブロックする為に利用される。導入時にネットワーク構成の変更が必要。 エリアをまたがる通信の許可/拒否の設定により不正通信を防御できるが、利便性や運用上の観点から全ての不正通信を拒否する事が難しい。
ネットワーク監視 ビルシステム内の正常通信を学習することにより、システムの可視化や異常通信の検知を行う。導入時にネットワークスイッチの変更が必要な場合がある。 不正プログラム感染や外部端末の侵入により変化する通信を異常として検知することが出来るが、監視対象となる通信を取得する物理媒介がEthernetケーブルに限られる。

ITシステムと違い、止められない機器を多く抱えるビルシステムではソフトウェアの導入等が困難です。

その結果、攻撃に気付く手段が非常に乏しく、多くの場合実際の物理的被害が出て初めて攻撃に認知出来ることになります。

攻撃に気づいた場合でも、攻撃の経路やターゲットを完全に特定することは難しく、ネットワーク全体像も把握できていないため物理被害への根本対処を行うためにどのデバイスを復旧させる必要があるかを調べることも困難です。

矢印:縦

ビルシステム内には多くのデバイスがネットワーク上で連携されシステムの監視/ 制御が行われているため、ビルシステムへのあらゆるサイバー攻撃の対策となるのが「ネットワーク監視」となります。

対策:ネットワーク監視ソリューション

既存のシステムに影響を与えず、ネットワーク監視、異常検知、ネットワーク構成図作成、アセット管理等が自動行えるのがDPI(Deep Packet Inspection)製品です。

DPI 製品の代表的機能一覧

機 能 概 要 利用用途
ベースライン設定
システム内の正常通信をベースラインとして学習し、そこから外れる通信を異常として検知する機能。
ビルシステムにおける異常をネットワークレベルで網羅的に検知する為に用いられる。
脅威インテリジェンス ビルシステムに対して脅威となり得る攻撃や、攻撃を受ける可能性のある危険な状態を検知する為にメーカによって用意されたシグネチャ。 ベーライン設定と組み合わせて利用する事で、検知した異常の内容をより詳細にユーザに通知する為に用いられる。
ネットワークマッピング 各デバイスをネットワーク構成図にマッピングし、通信方向や各機器の役割と合わせて表示する機能。 異常発生時の被害デバイスの特定およびその復旧や、ネットワーク構成上リスク判定を行う為に用いられる。
アセット管理 各デバイスの持つIPアドレスやMACアドレスに加えて、ベンダ名、通信プロトコル、ファームウェアバージョン等の詳細情報のリストを作成する機能。 サイバー攻撃被害発生時や保守/整備の際に各デバイスの情報を確認するためのアセット台帳とする為に用いられる。
ダッシュボード 検知したアラート内容や通信量等、DPI製品で取得した情報を表やグラフで表示する機能。 ビルシステムの現在の状況や過去からの推移状況を表やグラフで可視化する為の機能。

  • 対策:ネットワーク監視ソリューション

詳細の対策はホワイトペーパーをダウンロード

ビルシステムに関わる全ての人のためのサイバーセキュリティ対策ガイド
~脅威に晒されてからでは間に合わない~

ダウンロードはこちらから

※本ホワイトペーパーはビル設備の実務誌「設備と管理」(オーム社)6月号に掲載されました。

解決策:ネットワーク監視されたセキュアなビル

  • 解決策:ネットワーク監視されたセキュアなビル

eyeInspect(旧SilentDefence)がもたらすメリット

  • ネットワーク可視化
    システム内のデバイス、通信を識別、脆弱性情報も含めて管理します。
  • 異常検知
    通常通信の学習、監視し、ホワイトリスト、ブラックリストの組み合わせで未知、既知の異常を早期に検知します。

上記をネットワークに負荷を与えないパッシブ構成で実現します。

経済産業省が策定した「ビルシステムにおけるサイバーフィジカルセキュリティ対策ガイドライン」ではビルシステムにおいて、考え得るセキュリティインシデント、そのリスク源、それに対するセキュリティポリシーを整理し、「ライフサイクルを考慮したセキュリティ対応策」として別紙掲載されています。

マクニカでは、ForeScout社eyeInspect(旧SilentDefence)ソリューションがどのように上記対応策の各項目を満たすかをまとめましたので是非併せてご覧ください。

経済産業省ビルシステムガイドライン対応表
~eyeInspect(旧SilentDefence)を活用した場合~

ダウンロードはこちらから

解決策:物理デバイス可視化オプション

Macnica Physical Finder

BACnet による操作対象となる物理デバイスをeyeInspect(旧SilentDefence)上で可視化するシステム(Macnica Physical Finder)をマクニカにて開発し提供しております。

  • 解決策:物理デバイス可視化オプション

解決策:アセスメントサービスの御紹介

お打ち合わせ

設置、通信分析

結果報告、購入検討

※マクニカ販売パートナー様と共にご提供させて頂く場合がございます。

報告 イメージ

報告 イメージ

ビルシステムに対する最適な対策
詳細はホワイトペーパーをダウンロード

ビルシステムに関わる全ての人のためのサイバーセキュリティ対策ガイド
~脅威に晒されてからでは間に合わない~

ダウンロードはこちらから