今日、重要インフラを狙ったサイバー攻撃に関する報道は、事案が多発するにつれて、もはやかつてのようなセンセーショナルなニュースではなくなりました。一方で私たちの日常生活は、変電所、インテリジェントな交通システム、水処理などの重要インフラと密接に関係しているため、これらのサイバー攻撃は私たち個人や企業に大きな影響を与えます。

世界中の政府がサイバー攻撃の影響を軽減するため、重要インフラのサイバーセキュリティ強化を目的とした法律や規制を施行しています。例えばEU加盟国は、重要インフラにおけるサイバーセキュリティを強化するため、2024年10月までにNIS2指令を国内法に組み込む必要があります。そのため、産業組織はこれらのサイバーセキュリティの基準や規制を満たすため包括的なサイバーセキュリティフレームワークを導入し、強力なソリューションを実装する必要があります。

多層防御戦略

産業用サイバーセキュリティの基準と規制では、一般的に複数の保護層を構築することで組織のセキュリティリスクを最小限に抑える多層防御戦略が推奨されます。産業オペレータは、外部アクセスによる潜在的な脅威を最小限に抑えるため、ネットワーク境界における防御の強化とセキュリティゾーンの確立に注力することが一般的です。しかし、内部アクセスによる脅威に対する対処も同様に重要です。保護されていない内部デバイスによってネットワーク全体が危険にさらされる可能性があるためです。たとえば、マルウェアが潜むポータブルストレージデバイスを接続することでマルウェアがネットワークに侵入し、第三者にネットワークを制御されてしまう可能性があります。したがって、内部と外部両方の脅威からネットワークを保護することが重要です。産業用ファイアウォールを導入することでトラフィックを効果的にフィルタリングし内部と外部両方のアクセスによる潜在的な脅威を防御することができます。一方で、産業オペレータは重要資産の近くに構築されたLANに産業用ファイアウォールを導入する場合、ネットワークパフォーマンスを懸念します。

本稿は、資産の所有者、CISO（最高情報セキュリティ責任者）、システムインテグレータ、OTネットワーク管理者、産業用ネットワーク設計エキスパートなど、ファイアウォールソリューション導入における各関係者が直面する4つの懸念事項に焦点を当てています。また、次世代の産業用LANファイアウォールを導入することで、これらの課題を解消しつつネットワークセキュリティを強化し、中断の無いネットワーク運用を確立する方法をご説明します。

ファイアウォールソリューション導入における上位4つの懸念事項

ファイアウォールソリューションの導入は、産業オペレーションのセキュリティレベルを高める一方で、現行のオペレーションに影響が生じる可能性があります。そして、ネットワークのセキュリティとパフォーマンスを両立することは容易ではありません。産業オペレータが、よりスムーズに導入できるソリューションを求める理由となる4つの懸念事項について詳しくご説明します。

懸念事項1：新規デバイスの追加により、既存ネットワークの設計に変更が必要になる

既存ネットワークに産業用ファイアウォールソリューションを導入する場合、ネットワークトポロジの大規模な変更が必要となる場合があります。既存ネットワークに新しいファイアウォールソリューションを組み込むには、トポロジおよびIPサブネットの再設定が必要となるため、産業エンジニアは多大な労力と時間を費やさなければなりません。これは、ネットワークのダウンタイムが許容されない重要なアプリケーションにとって、特に大きな問題です。そのため、産業オペレータは、現在のネットワーク構成を変更せずに導入できるファイアウォールソリューションを求めています。

懸念事項2：新規デバイスの追加が、ネットワークのパフォーマンスとサービスに影響する

シームレスなシステム運用にはスムーズなネットワーク通信が不可欠です。サイバーセキュリティ強化を目的として新規デバイスを追加する場合に大きな懸念事項となるのが、起動時間、ネットワーク遅延、運用環境のニーズなど現在のネットワークパフォーマンス基準を新しいデバイスが満たしているかどうかです。また、新規デバイスを追加する場合、メンテナンスやデバイスの故障といった理由でネットワークにダウンタイムが発生する可能性が高まります。そのため、ファイアウォールソリューションは、ネットワークのパフォーマンスを優先しつつ、単一障害点に障害が起こり完全なシャットダウンが発生するリスクを低減する必要があります。

懸念事項3：各現場に分散された大量のレガシーデバイスの保護は容易ではない

IEC 62443といった標準やNIS2などのフレームワークでは、重要資産をDoS攻撃から保護することに加え、インシデント発生時のイベントログの保持が要求されます。しかし、産業用アプリケーションにおける多くの重要資産はレガシーデバイスです。レガシーデバイスは、一般的に旧バージョンのオペレーティングシステムを使用しているため、これらのネットワークセキュリティ要件を満たす目的で交換することは容易ではありません。そのため、増加を続ける脅威からレガシーデバイスを保護するには、頻繁にシステム更新をする必要のないファイアウォールソリューションが必要となります。さらに、各現場に分散された大量のレガシーデバイスは、それぞれのアプリケーションニーズを満たすために多様な産業用通信プロトコルを使用しています。通信セキュリティを強化するには、これらのプロトコルに対応しつつ産業用制御ネットワークで詳細なデータ分析を実施できるファイアウォールソリューションが必要です。

懸念事項4：ネットワークとサイバー脅威の監視は容易ではない

ネットワークセキュリティの継続的な監視と管理は、ネットワークの安全性を確保するうえで重要です。管理者がネットワークの状態を常に監視し、ネットワークエラーやセキュリティイベント発生の際にリアルタイムで通知を受け取るには多大な時間と労力が必要となります。ファイアウォールソリューションに効果的な監視メカニズムが備わっていなければ、ネットワークエラーの通知やセキュリティイベントの警告が遅れ、ネットワークのダウンタイムが長引いたり、運用パフォーマンスが低下する可能性があります。

次世代LANファイアウォールで産業用ネットワークのセキュリティとアップタイムを最大化

Moxaの産業用LANファイアウォールEDF-G1002-BPシリーズを導入することで、産業オペレータが懸念するネットワークの課題を解消するとともにネットワークのセキュリティおよびアップタイムを確保できます。LANファイアウォールは、透過型ファイアウォールモードで動作し重要な資産を保護するとともにLAN内部の安全な横方向通信（East-West）の促進を優先します。

お客様が現在使われているアプリケーションシナリオに、どのような種類のファイアウォールソリューションが適しているか把握できていますか? Moxaのインフォグラフィックをダウンロードして、アプリケーションシナリオに適切な産業用ファイアウォールソリューションの選択方法をご確認ください。

容易な導入

LANファイアウォールは、導入時にIPサブネットを再設定する必要がありません。そのため、既存のネットワークトポロジを変更する余裕がない重要なアプリケーションに最適です。また、Moxaの2ポートLANファイアウォールは、容易なネットワーク導入を実現するためBump In The Wireインストールに対応しています。そのため、エンジニアはこれらのLANファイアウォールを重要な資産の前に接続するだけでよく、IPサブネットを再設定する必要がありません。MoxaのLANファイアウォールは、現在の構成への影響を最小限に抑えつつネットワークセキュリティを強化します。

ネットワークのアップタイムを最適化

MoxaのLANファイアウォールは、わずか30秒で起動し有効化されます。起動時間が短いため、停電中や停電後に復旧途中のコントロールセンターとPLC端末機器間の異常検出メカニズムの誤作動を防ぐことができます。また、ハードウェアやソフトウェアの異常によりファイアウォールが運用サービスを中断しないようにLANバイパス機能を備えています。どちらのメカニズムも、中断のない運用の実現に寄与します。

レガシーデバイスの保護

MoxaのLANファイアウォールの基本的な役割は、レガシーデバイスの容易な保護です。産業用に設計されており、ネットワークセキュリティを強化するためにIPSおよびDPIテクノロジーが組み込まれています。また、産業グレードのIPS設計が、PLCやHMIなどのレガシーデバイスのセキュリティを確保します。加えてIPS機能が提供する仮想パッチとパターンベース保護が、レガシーデバイスを脅威から保護するため、お客様はシステムの更新により多くの時間を割くことができます。MoxaのDPIテクノロジーは、産業用通信のセキュリティにおける制御性を向上します。データの整合性を維持するため、例えばModbus機器を読み取り専用アクセスに制限するなどのルールを定義することができます。産業オペレータ、さまざまなプロトコルを利用することでレガシーデバイスを容易に保護しつつ、複数の産業用プロトコルと高度なトラフィックフィルタリング機能を備えたMoxaのDPIテクノロジーのメリットを享受することができます。

容易なネットワーク管理

MoxaのLANファイアウォールを導入しネットワークとレガシーデバイスを保護する場合、ネットワーク管理ソフトウェアMXview Oneとネットワークセキュリティ管理ソフトウェアMXsecurityで、容易にネットワーク監視とセキュリティ管理ができます。MXview Oneは、ネットワークセキュリティの状態を総合的に表示し、ネットワークエラーの発生を通知します。MXsecurityは、ファイアウォールを効果的に管理しセキュリティイベントを監視します。一元化されたプラットフォームからファイアウォールポリシーを実装することで、手作業による設定ミスを最小限に抑えることができます。また、Moxaのソフトウェアはセキュリティイベントを通知するとともにイベントに迅速に対応するためリスクを軽減します。

EDF-G1002-BPシリーズは、産業用サイバーセキュリティを強化しアプリケーションに必要な信頼性を確保する高度なLANファイアウォールです。EDF-G1002-BPシリーズの機能に関する詳細は、Moxaのウェブサイトからご確認ください。