シェア

鉄道業界のサイバーセキュリティについて知っておくべきこと

2019年1月5日
My Moxaで保存したリストを管理および共有できます。
Teaser Image
シェア
My Moxaで保存したリストを管理および共有できます。

列車は、最も一般的な公共交通機関の1つであり、都市化が急速に進む市街では特に重要です。鉄道運行のデジタル化が進む中で、列車運行業者は、鉄道システムの監視や制御といった多様なアプリケーションを利用、開発、強化できるようになっています。イーサネットは、列車のバックボーンネットワークとして、列車のデバイスとシステムの間の通信を容易にしたり、別々のIPシステムを相互接続したりするために広く使われています。イーサネットベースのネットワークシステムの使用には多数のメリットがありますが、サイバー攻撃に対する脆弱性が高まるというデメリットも存在します。

SANS Instituteの「Securing Industrial Control Systems – 2017(産業用制御システムの保護 – 2017)」によると、エンドユーザーが懸念する脅威として上位3位に挙がったのは、「ネットワークへの不正なデバイスの追加」、「偶発的なヒューマンエラーなどの内部の脅威」、「ハッカーなどによって生じる外部の脅威」でした。サイバーセキュリティは、緊急の課題ですが、列車運行業者は依然として、リスクの緩和方法に関するより多くの情報を必要としています。それに関しては、業界向けの信頼できるガイドラインや提案を提供するセキュリティ標準がいくつか策定されています。中でも、最も一般的に参照されている産業用セキュリティ標準はISA99/IEC 62443です。またEN 50159標準でも、特に鉄道システムを対象とした安全性に関係するネットワーク通信の概要が示されています。最善のセキュリティ慣行とは、こうしたセキュリティ標準で規定されたガイドラインに基づきながら、各コネクテッドデバイスを強化することです。しかし、それを常に実践するのは不可能です。コストが高くなったり、メンテナンスにかける労力が大きくなってしまったりするからです。

what-you-should-know-about-cybersecurity-in-the-rail-industry-jpn.jpg

列車内のセキュリティを簡素化するため、列車運行業者がネットワークセキュリティを強化するときに参照できる何らかの経験則について検討しておく必要があるでしょう。ここでは、鉄道業界のサイバーセキュリティ専門家が推奨する最も重要な4つのポイントを紹介します。

鉄道ネットワークの保護には、強力なセキュリティ機能、レイヤー設計の無線ネットワーク保護、多層防御によるセキュアなネットワークアーキテクチャ、そして使いやすいネットワーク管理ソフトウェアを備えた堅牢なネットワーク通信が必要とされます。鉄道ネットワークをサイバー攻撃から確実に保護するためには、これらの対策が効果的に講じられているかどうかを確認することが非常に重要です。

強力なセキュリティ機能

デバイスのセキュリティを強化するための最も効果的な方法は、デバイスの設定が改変され、デバイスや最終的にはネットワークがリスクにさらされないようにすることです。サイバーセキュリティの専門家の多くは、産業用ネットワーク上のデバイスの保護方法に関する最も適切な公開資料は、IEC 62443標準であると考えています。以下に示すのは、鉄道業界内で展開されたネットワークデバイスに対して最優先で導入すべき機能です。

•  承認

セキュリティを強化するために最初にすべきことは、ネットワークの設定を特定の人だけが変更できるようにすることです。ネットワーク管理者全員が同一のログイン資格情報を共有する方が楽なため、アカウント管理はおろそかにされがちです。しかし、悪意のある人間がネットワークを侵害する機会を得た場合には、それが深刻な脆弱性となります。

• ネットワークアクセス制御と認証

認証による使用制御を実装することで、ネットワーク設定の変更に対する適正なレベルのアクセス権を適切な人が持てるようになります。アクセス制御や認証の方法を用意していないのは、あらゆる人に門戸を開いて、重要な領域に対する無制限のアクセス権を与えているようなものです。

• データの完全性と機密性

さまざまなデバイスやシステムがネットワークに接続していて、データが鉄道システムの監視/制御における鍵を握る場合、そのデータは、安全かつセキュアに転送される必要があります。データの完全性を確保する方法には、SSLやVPNの使用などさまざまなものがあります。

• レイヤ設計の無線ネットワーク保護

列車の乗客は、安定した列車内Wi-Fiネットワーク接続を期待しています。これは一般的に、別料金を払ってもこのサービスを利用したいと考える乗客のために、鉄道運行業者から追加オプションとして提供されています。ですが、リスクと無縁というわけではありません。乗客は、デバイスを列車内のAPに接続する場合、全員が同じネットワークにアクセスします。そのため、悪意のある人間が他の乗客の個人データを窃取しやすくなります。したがって、乗客の個人デバイスと同一ネットワーク内の別デバイスとが直接通信できないようにするために、無線クライアントを分離することが不可欠となります。

071_02_security-vs-cost.jpg

多層防御によるセキュアなネットワークインフラ

ネットワークの設計時に、多くのシステムオペレータがネットワークを保護するのに最も効果的だと感じた方法の1つは、個々のゾーンやセルを保護するよう設計された多層防御セキュリティアーキテクチャを採用することでした。多層防御鉄道システムを構築するときに最初にすべきことは、ネットワークをセグメント化して、トラフィックを意図的なサイバー攻撃やヒューマンエラーから保護できるよう分離することです。ファイアウォールに関しては、ネットワーク管理者がゾーンツーゾーンのインタラクションを定義して、ネットワークトラフィックを精査できるようにすることができます。列車オペレーションに基づいて、特定のデバイス間やゾーン間での通信のみを許可するようネットワークを事前に構成し、セキュリティのリスクを緩和することもできます。

使いやすいネットワーク管理ソフトウェアによるセキュリティの監視

ネットワークデバイスとトポロジがセキュアであることを確認したら、システムオペレータがネットワークの全体的なセキュリティ状態を把握できるようネットワーク管理ポリシーを定義する必要があります。列車を実際に走行させる前にこうした問題に対処しておくことは極めて重要です。というのも、列車の運行停止を余儀なくされた場合、列車会社は、多額の罰金が課される可能性があるためです。ですから、列車運行業者は、ネットワーク管理ソフトウェアを使用して、ネットワーク全体のセキュリティの状態を把握できなければなりません。オペレータは列車ネットワーク全体のセキュリティの状態を把握できていれば、サイバーセキュリティの脅威が実際に発生する前に強化しておく必要のある領域を確認しやすくなります。

Moxaは、サイバーセキュリティ標準IEC 62443に準拠したセキュリティ機能や不正アクセス、既知のセキュリティ漏えい、未知の攻撃を防止するために役立つRADIUS認証などのセキュリティ管理機能を備えたネットワークデバイスを提供しています。さらに、拡大し続ける列車内ネットワークの安全を確保するため、Moxaは、ファイアウォール、VPN、NATが一体となったセキュアルーターを提供し、列車運行業者が鉄道ネットワークをセグメント化して、重要なデータを潜在的なリスクから保護できるようにしています。またMoxaは、クライアントの分離をサポートして無線ネットワークに保護レイヤーを付与する、列車内無線APも提供しています。詳細については、当社までお問い合わせください

その他の記事

バッグに追加