- CPSセキュリティ事業 HOME
- 取扱メーカー
-
ソリューション・サービス
-
コラム・
事例
- 資料
-
セミナー・
オンデマンド動画
- お問い合わせ
製品
サービス
Forescout
フォアスカウト
ソリューション
工場セキュリティ
なぜ工場セキュリティが必要か
スマート工場で高まるセキュリティ意識
工場のIoT化の流れは今後益々加速します。様々な機器がネットワークに繋がってくると同時にセキュリティの対策の必要性も急務になります。外部と常時繋がらないとしても、完全な外部との遮断は有り得ません。WannaCry、NotPetyaをはじめとして、生産現場でインシデントが起こりラインが止まると多額の損失を生む事例が散見されています。
日本ではインシデント事例はまだ少ない、と捉えられがちです。しかし、個人情報を漏洩しなければ報告する義務が無いため、実際には報道されていない被害も多いと想定されます。サプライチェーン内でのセキュリティ対策の必要性もますます高まっており、対策が進まないとビジネスにも影響する可能性があります。
| 企業・組織 | 詳細 | マルウェア名称 |
|---|---|---|
| 大手自動車会社 |
国内工場にて生産ストップ |
WannaCry |
|
大手自動車会社 |
海外工場にて稼働ストップ |
WannaCry |
|
海外原子力発電所 |
放射能モニタシステム故障 |
NotPetya |
|
海外製造業 |
生産停止(マニュアル操業) |
LockerGoga |
工場に迫るサイバーセキュリティ脅威
工場におけるサイバーセキュリティリスク
安定稼働が大前提で、セキュリティ対策が二の次になっている工場は少なくありません。対策がなされていない多くの工場では既に、感染が広がっている可能性が高いと指摘されています。
下記セキュリティリスクが考えられます。
- ITネットワーク経由
- 外部からの持ち込み端末経由
- 保守業者経由
- 生産技術に関する機密情報窃取による競争力低下
- 生産関連データ改竄による製品不良、物理的な破壊
- 他のネットワークへの急速な感染拡大による被害最大化
- 生産、サービス停止による金銭的損失、信用失墜
安定稼働の為にセキュリティ対策を施さないことがかえって工場を脅かしてしまいます。
セキュアな工場を保つために
代表的なセキュリティ対策
| 対策ソリューション |
概 要 |
対応可能な脅威 |
|---|---|---|
| アンチウイルス | 日々更新されるウイルス定義ファイルを元に照合を行いWindows機に感染する不正ウイルスを検知する。制御システム内のPCやサーバ等へのインストールが必要。 |
既知の不正プログラムのPCやサーバ等への感染を防ぐことができるが、未知の不正プログラムや不正通信の受信の検知/防御ができない。 |
| アプリケーションコントロール | 事前に許可したファイル以外の実行を防ぐ。制御システム内のPCやサーバ等へのインストールが必要。 | PCやサーバ等に対する不正プログラムの感染を防ぐことができるが、別のデバイスからの不正通信の検知/防御はできない。 |
| セキュリティパッチ管理 | システム内に存在する脆弱性を持つ端末を把握する。 | 既知の脆弱性を持つ端末を把握する事ができるが、未知の脆弱性(ゼロデイ)を把握する事は出来ない。 |
| 外部USBメモリ対策 | USBメモリ内部をスキャンする事により、USBメモリを介在する不正プログラム感染を防ぐ。制御システム内のPCやサーバ等へのインストールまたは、敷地内へのスキャン専用装置の設置が必要。 | USBメモリを介在してPCやサーバ等に不正プログラムが感染することを防ぐことは出来るが、PCやサーバ等へエージェントをインストールしない限り未スキャンのUSBメモリ持ち込みを防ぐことが出来ない。 |
| ネットワーク分離 | 各エリアをまたがる通信の内、不要な通信をブロックする為に利用される。導入時にネットワーク構成の変更が必要。 | エリアをまたがる通信の許可/拒否の設定により不正通信を防御できるが、利便性や運用上の観点から全ての不正通信を拒否する事が難しい。 |
| ネットワーク監視 | 工場ネットワーク内の正常通信を学習することにより、システムの可視化や異常通信の検知を行う。導入時にネットワークスイッチの変更が必要な場合がある。 | 不正プログラム感染や外部端末の侵入により変化する通信を異常として検知することが出来るが、監視対象となる通信を取得する物理媒介がEthernetケーブルに限られる。 |
| 端末管理 | 工場ネットワークに接続される端末の可視化及び管理を行う。管理外の端末が接続された際検出を行う。資産管理としても活用が可能。 | 工場ネットワークに接続される端末を可視化し管理を行うことにより、不正な端末の接続や管理外の端末の接続を検出することが出来る。端末管理を行うことで会社のポリシーに違反する端末の検疫も可能。 |
| アクセスコントロール | 工場ネットワークに接続される端末の可視化及び管理を行う。管理外の端末が接続された際検出を行う。資産管理としても活用が可能。 | 工場ネットワークに接続される端末を可視化し管理を行うことにより、不正な端末の接続や管理外の端末の接続を検出することが出来る。端末管理を行うことで会社のポリシーに違反する端末の検疫も可能。 |
ITシステムと違い、稼働を止められない工場ネットワークではソフトウェアの導入等が困難となります。レガシーシステムも多く存在し、個別にセキュリティを施すのも難しいことが一般的です。
必要なのは何かが起こった際に、どこに異常が発生しているかを即座に検知し、どこに影響が及ぶかが把握できるような対策、すなわちこの中でもDPIによるネットワーク監視となります。
DPIという効果的な対策~SilentDefenseソリューション~
導入構成イメージ
既存のシステムに影響を与えず、ネットワーク監視、異常検知、ネットワーク構成図作成、アセット管理等が自動行えるのがDPI(Deep Packet Inspection)製品です。弊社にてご提供するForeScout社SilentDefenseソリューションはネットワークに負荷を与えず、セキュアな制御システムを実現します。
効果的な対策 ~Forescoutソリューション~
Forescoutソリューション概要
既存のシステムに影響を与えず、網羅的なアセット管理、ネットワーク監視、異常検知、ネットワーク構成図作成、アクセスコントロール等が自動行えるのがForescout製品です。弊社にてご提供するForeScout社Forescout Platformソリューションはネットワークに負荷を与えず、セキュアな制御システムを実現します。
Forescoutソリューションの強み
広いカバー範囲と網羅的な可視化
工場の対策を行う際、DPI(Deep Packet Inspection)製品を導入するお客様が多いですが、一般的なDPI製品は可用性を重視するあまりパッシブな情報解析のみで、工場全体の対策実施に大量のセンサーが必要となってしまうことが課題となります。Forescoutソリューションは工場の運用に影響を与えず様々な手法を用いて効果的に情報取得が可能です。網羅的な可視化と管理、またDPI製品の機能も有した工場セキュリティソリューションです。
SilentDefenseソリューションの強み
対応プロトコル数
工場を始めとする制御システムネットワークを流れる通信においては、ITネットワークと違ったOT特有のプロトコルが主となります。他のDPI製品と比べ、当初よりパケットのペイロード部分を解析してきた実績により、プロトコル解析能力が高く評価されております。
| 製造系通信プロトコル | 情報系通信プロトコル |
|---|---|
| CC-Link (Field, FieldBasic, Control), SLMP, Melsoft, EtherNet/IP, EtherCAT, OPC-AE, OPC-DA, Modbus ASCII, Modbus RTU, Modbus/TCP, Vnet/IP, VNet IP WAN, CDP | FTPDATA, FTP, HTTP, MS-SQL, NetBIOS, NTP LDAP, OracleTNS, SMB, SSL, STP, Telnet |
※対応していない場合でも、スクリプトによりアセット可視化、検知ルール作成の機能を有しております。
※上記は代表例です。その他についてはお問い合わせください。
各種支援、知見
Forescoutは既に多数のユーザー様にご愛顧頂いており、弊社ではナレッジを蓄積しております。
豊富な導入実績、確立されたサポートによって運用支援、導入支援、アセスメントサービスを提供することが可能です。