パンデミックをくぐり抜けたこの2年間と言えば、グローバル環境の急速な変化という言葉がふさわしいでしょう。企業はかつてないほど、資材不足やサプライチェーンの混乱といった不確実性に直面しており、ビジネスオーナーは競争力を維持するために運用上の回復力を強化する必要に迫られています。多くの業界にとって、IT/OTコンバージェンスは回復力を強化するために通るべき道です。コンバージェンスを確実に成功させるには、信頼性が高く安全なネットワークインフラストラクチャを開発することが不可欠です。
IDC Technology Spotlightによると、IT/OTコンバージェンスを成功させる鍵は、ネットワークとサイバーセキュリティ領域と機能を組み合わせることにあります。しかし、ITとOTを統合することは、産業用ネットワークをさらに複雑なものにしてしまいます。現在、現場で増え続けるデバイスはネットワークへの接続が不可欠です。よって、増大する膨大なデータを確実かつ正確に処理するには、ネットワーク機能の強化が重要です。また、セキュリティ上の懸念も見逃せません。接続されているデバイスの数が増えると、侵入者がネットワークにアクセスする可能性のある戸口も増えることになります。セキュリティの原則を導入することは、ネットワークインフラの強固な基盤を構築するための最初のステップです。しかし、産業用アプリケーションのネットワークとサイバーセキュリティ要件はまったく別物であることが多いため、OT分野でサイバーセキュリティを採用することは困難な場合があります。この記事では、産業用ネットワークのセキュリティを強化して堅牢なネットワーク基盤を構築し、IT/OTコンバージェンスを成功させる方法に焦点を当てます。
産業用ネットワークセキュリティ:考慮すべき事項
OTの運用では、中断に対してはゼロトレランス、つまり全く許容することはできません。いかなるシステムのダウンタイムでも、莫大な損失につながる可能性があります。しかし、サイバーセキュリティの慣行では通常、オペレーターがシステムを定期的に更新し、ネットワーク保護を強化して、変化し続けるサイバー脅威に対応することを奨励しています。ですから、OTオペレーターはサイバーセキュリティ対策の実装に消極的です。システムを更新するたびにオペレーションの一部をシャットダウンする必要があり、生産効率が低下するからです。中断のない運用の必要性とサイバーセキュリティ対策の改善のバランスをとるために、ネットワークセキュリティの強化に当たって2段階のアプローチを推奨しています。1段階目では、不可欠なオペレーションのために多層防御を特定して構築し、サイバー脅威から保護します。続いて2段階目でオペレーションの要求を満たす安全なネットワークを構築します。ここからのセクションで、このアプローチについて詳しく説明します。
産業オペレーションに多層防御アプローチを採用する
多層防御とは、セキュリティリスクを最小限に抑えるため、あらゆるレベルでサイバーセキュリティ対策を実装することによって、多層保護を提供するという考え方です。侵入が起こった場合、脅威を迅速に検出、軽減し、侵入によって引き起こされる損害を最小限に抑えられる可能性が高くなります。堅牢な防御を構築するには、組織はまず徹底的なセキュリティ評価を行います。その評価レポートを基に、多層防御を実装し、物理的セキュリティ、ICSネットワーク、デバイスセキュリティなど、産業組織のあらゆる側面にサイバーセキュリティ対策を展開します。多層防御のコンセプトをより簡単に導入するために、産業オートメーションおよび制御システム用に設計された国際セキュリティ標準を参照してください。特に、IEC 62443規格は、多層防御セキュリティを産業オペレーションに採用して強力なセキュリティ基盤を構築するための包括的なガイドラインを提供しています。
オペレーションの要求を満たす安全なネットワークインフラを構築する
安全なネットワークインフラ、特にIT/OTが統合されたネットワークを開発する場合、OTの現場でのネットワーク接続は安全で信頼性の高いものでなければなりません。ここからは、OTネットワークインフラのネットワークセキュリティを強化する際に考慮すべき項目に焦点を当てて説明していきます。
ネットワークエッジを強化するセキュアなデバイスを選ぶ
これまで、OTシステムのセキュリティはエアギャップ(他のネットワークからの隔離)に依存することが多く、場合によってはセキュリティが完全に無視されることもありました。現場のデバイスが接続されると、ネットワークデバイスには、予期しないダウンタイムを回避するための産業グレードの信頼性が必要になるだけでなく、サイバー脅威に対抗するための基本的なセキュリティ機能も必要になります。ユーザー認証メカニズムなどのセキュリティ機能は、ネットワークへのユーザーアクセスのコントロールに役立ちます。もう1つの重要なセキュリティ機能はセキュアブートであり、これはネットワークデバイスの完全性を確保するのに役立ちます。ネットワークデバイスが保護されていることを確認するためのセキュリティチェックリストの作成は、安全なネットワーク環境を維持するために不可欠です。あるいは、ネットワークデバイスがIEC 62443規格などの国際的に認められたセキュリティ規格に対して認定されているかどうかを確認できます。例えば、IEC 62443規格に準拠しているということは、これらのデバイスがIEC 62443-4-1、セキュアな製品開発ライフサイクルに関するガイドラインに基づいて開発され、ネットワークデバイスを保護し、ネットワーク全体のセキュリティを強化するセキュリティ機能を備えているということを意味します。
多様なセキュリティ機能でネットワークを保護する
最適なOTネットワーク保護のためには、1つの保護レイヤーが機能しなくなった場合でも次のレイヤーがまだ機能することを保証する多層防御が必要です。OTネットワークを複数のゾーンに分割することで、ネットワークセキュリティが向上し、脅威が他のシステムに影響を与えるのを防ぐことができます。VLANやファイアウォールなどの機能は、ネットワークを分離されたゾーンに分割して、悪意のあるトラフィックや不正なトラフィックをフィルタリングすることで、セキュリティを強化します。さらにプロアクティブな対策として、侵入検知/防御システム(IDS/IPS)はネットワークノードが危険にさらされた場合に、特定の領域内の脅威を識別して封じ込めます。アクセス制御を追加することは、ネットワークセキュリティを強化するもう1つの効果的な方法です。IEEE 802.1Xなどの認証プロトコルを活用することで、OTネットワークにアクセスするユーザーを検証できます。また、MACアドレスやその他のID形式で定められている許可されたユーザーが、割り当てられた役割に基づいて特定のポートを介してネットワークの一部にアクセス可能とするといった、他のアクセス制御機能も利用できます。
ネットワーク状態の可視性を改善して管理の効率を上げる
接続される現場のデバイスが増えるほど、ネットワークを効率的に構成、監視、維持することが難しくなります。複数のデバイスのセキュリティ設定をすばやく構成するためのツールをOTユーザーに提供することで、ネットワーク管理の複雑さを軽減することができます。さらに、日常業務において各ネットワークデバイスのセキュリティレベルを簡単に監視、維持する方法も必要です。産業用ネットワークで用いるデバイスを選択する際は、ネットワークデバイスのセキュリティ設定の管理とセキュリティステータスの監視にかかる時間を節約できる、使いやすくOTユーザーフレンドリーなネットワーク管理ツールを利用してください。
ネットワーキングと専用のOTセキュリティをネットワークインフラに活用する
セキュアなネットワークインフラを構築する場合、ネットワークの構成要素として適切なデバイスを選択することが重要です。MoxaのEDS-4000/G4000シリーズは、IEC 62443-4-2認証取得したイーサネットスイッチ製品であり、産業用ネットワークのセキュリティを強化し、多様なネットワーク需要に対応できるように設計されています。EDS-4000/G4000シリーズの設計は、厳格なIEC 62443セキュリティガイドラインに従っており、クリティカルなインフラストラクチャを含むさまざまな業界においてお客様の最も厳格なサイバーセキュリティ評価に合格する汎用性が高くセキュリティ強化されたネットワークソリューションを構築します。
MoxaのEDS-4000/G4000シリーズは、サイバーセキュリティを強化させるだけでなく、強力なネットワーキング機能も提供しており、お客様は将来を見据えたネットワークを開発して信頼性とセキュリティが向上したIT/OTコンバージェンスを加速させることができます。製品特設サイトにアクセスして、次世代のEDS-4000/G4000シリーズ産業用マネージドイーサネットスイッチの詳細をご覧ください。