産業用オートメーションにおけるネットワークセキュリティの実現

現代の産業用オートメーションシステムの運用効率を最適化するためには、OTとITのネットワーク統合が不可欠です。OT/ITネットワークの統合は産業システムの可能性を拡大しますが、一方でネットワークセキュリティの課題も増大します。特にOTシステムでは、運用を妨げることなくネットワーク通信を保護する必要があり、これは大きな課題です。35年以上にわたり産業用ネットワーキングのリーダーとして、MoxaはOT環境におけるサイバー脅威を能動的に特定し軽減する、安全かつ信頼できるネットワークソリューションの開発に注力しています。この取り組みを実現するため、Moxaはセキュアバイデザインの原則を厳格に遵守し、分散型OT侵入防止システムの機能を活用、さらに多岐にわたる堅牢なネットワーキング製品群を提供することで、産業用アプリケーションの多層防御を実現しています。

  • ネットワーク状態が可視化できない場合、異常な切断や侵入の脅威を検知できない可能性があります。
  • 自己防護機能のないネットワーク機器は、冗長機能の無効化やリモート操作モードの有効化などの設定変更を容易に許し、攻撃者に脆弱です。

デバイスおよびネットワークのセキュリティ状態の可視化

Moxa MXview One 次世代ネットワーク管理ソフトウェアは、産業用ネットワーク内の機器の監視と診断を目的に設計されています。サブネット内に設置されたネットワーク機器およびSNMP/IP機器の検出と統合管理プラットフォームを提供します。ネットワーク機器は、ローカルまたはリモート問わず、ウェブブラウザを通じていつでもどこでも管理可能です。

管理
リアルタイムネットワーク可視化

ソリューション:リアルタイムネットワーク可視化

  • リアルタイムの可視化によりトラブルシューティングを迅速化します。
  • ダッシュボードにより、ネットワークのトポロジー、トラフィック、インシデント、ローミングログをいつでも確認できます。
  • ネットワーク管理の可視化により迅速な対応が可能となり、ネットワークを中断なく円滑に運用できます。
  • 生産ラインでアンマネージスイッチを多用すると侵入リスクが高まります。
  • 第三者が物理的ネットワークポートを介し、悪意を持ってネットワーク設定を変更することでシステムの不安定化を引き起こす可能性があります。
  • ネットワーク内の不正なリモート接続を特定できません。
  • ランサムウェアなどのサイバー攻撃がネットワーク全体に拡大しています。

産業用ネットワークおよび重要資産の保護

継続的な運用を確保するには、セキュアなネットワークインフラストラクチャが必要です。Moxaの製品ポートフォリオは、堅牢なネットワークセグメンテーションを実現する強力なセキュアルーターを提供するだけでなく、産業用ネットワークおよび重要資産の保護を強化する産業用サイバーセキュリティソリューションも提供します。

管理
リアルタイムネットワーク可視化

ソリューション: セキュアルーターによるネットワークセグメンテーションと連携した防御

ゾーンセグメンテーション

  • NAT: Moxaのデバイスは管理者がプライベートローカルゾーンを構築し、外部からのアクセスによる内部ネットワーク情報の露出を防ぎます。
  • IPS: Moxaのデバイスは既知の脆弱性の悪用を防止し、パッチ更新が提供されないレガシーデバイスの保護に寄与します。
  • IDS: Moxaのデバイスはサイバー攻撃を検出し、特定ゾーン内に封じ込めます。また、IPSのパターンマッチングを利用して管理者に通知します。
  • VLAN IDやMACアドレス: Moxaのデバイスは役割に応じてユーザーのデータおよびネットワークアクセスを制御します。

トラフィック制御

  • ファイアウォール: Moxaのデバイスは管理者がネットワーク内にコンジットを構築し、許可されたトラフィックやパケットのみが特定のゾーンから別のゾーンへ転送されるよう支援します。
  • IPアドレスとポート: Moxaのデバイスはネットワーク上で許可されたトラフィックのみを通過させます。
  • ディープパケットインスペクション: Moxaのデバイスは各パケットのペイロード内容を検査し、承認された内容のみがネットワーク上で送信されることを保証します。
  • VPN(仮想プライベートネットワーク): Moxaのデバイスはゾーン間またはリモートアクセスポイント間に安全な暗号化トンネル(例:IPsec VPN)を構築し、公衆または信頼性の低いネットワーク上でのデータの機密性と完全性を確保します。
リアルタイムネットワーク可視化

当社のEDR-G9010シリーズ産業用セキュアルーターは、ファイアウォール、NAT、VPN、スイッチ機能のオールインワンにより、多層防御のセキュリティアーキテクチャを柔軟に設計可能です。高度なネットワーク保護を実現するOTディープパケットインスペクション技術を搭載しています。さらに、IDS/IPSの搭載により、EDR-G9010シリーズは産業用次世代ファイアウォールとして、サイバーセキュリティ攻撃から重要インフラを守るための脅威検知および防御機能を備えています。


安全なリモートアクセス

ソリューション:セキュリティ強化スイッチによるアクセス制御

  • VLAN:特定のデータおよびネットワークセグメントへのユーザーアクセスを制限し、セキュリティを強化するとともにネットワーク効率を向上させます。
  • ACL:事前定義されたルールに基づきネットワークトラフィックを許可または遮断し、重要リソースを不正アクセスから保護します。
  • ポートロック:許可されたデバイスのみを接続可能にし、接続デバイスを制限することで不正アクセスのリスクを低減します。
リアルタイムネットワーク可視化

セキュリティが強化された EDS-G4014シリーズイーサネットスイッチを使用することで、VLANを介して異なるネットワークセグメント間のトラフィックを分離し、ポート単位でアクセス制御リスト(ACL)を活用して、イーサネットスイッチ経由のデータ流入時にVLANのセキュリティを強化できます。

  • アクセス制限のないネットワークは不正なデバイスの自由な参加を許し、外部からの侵入経路を開きます。
  • 混在トラフィックのフラットネットワークは、適切な権限分離の欠如や非効率なトラフィック管理を招く恐れがあります。
  • ネットワークやPLCなどの産業機器はDoS攻撃の標的になる可能性があります。
  • 暗号化されていないシリアルデータがTCP/IPパケットに変換されると、外部から容易に傍受または改ざんされる危険性があります。
  • リモート接続など不要な通信サービスをデバイスで有効化すると、攻撃のリスクが高まります。

あらゆる側面におけるセキュアエッジ接続

セキュアエッジ接続ソリューションは、2つの重要な要素に焦点を当てる必要があります。第一に、信頼されたアクセスとネットワークの最適化があります。これは、物理ポートを制限するポートロックを使用し、認可されたデバイスのみが接続できるようにすることを含みます。さらに、VLANやQuality of Service(QoS)を実装することでトラフィックをセグメント化し、重要なパケットを優先させて利用可能な帯域幅を最大限に活用します。第二に重要なのは、安全なデータ伝送であり、エンドツーエンドの暗号化によってこれを実現します。SSLやSSHを利用することで、データの収集および転送中の全トラフィックが保護され、プロセス全体のセキュリティが確保されます。

管理