Comments
Description
Transcript
セキュリティ問題 - Rockwell Automation
卓越した装置の最適化 セキュリティ問題 ロックウェル・オートメーションからの製造装置メーカ殿へのご提案 この「セキュリティ問題」の 内容 制御システムが孤立した環境で運用 される時代はもはや終わり、さまざま な産業組織が認識しているとおり、制 御システムをエンタープライズ環境と 接続することによって生まれるシーム レスな情報フローは、業務を大幅に改 善するうえで不可欠な存在となってい ます。業務の可視化を組織が必要とし ている中、製造装置メーカ(OEM)は、 機械レベルからエンタープライズレベ ルにいたるまでのスムーズな情報フ ローの確立をサポートできなければ なりません。 ただし、エンタープライズ環境を効果 的に接続するには、一定の道のりを経 なければなりません。製品やテクノロ ジ、方法論を1つ採用すれば、産業ア プリケーションを完全に保護できるわ けではありません。産業資産を保護す るには、内部と外部両方からのさまざ まなタイプのセキュリティ脅威を緩和 しうる、階層型なアプローチが必要で す。また、人員やプロセス、テクノロジ に関連した無数のセキュリティリスク に対処するには、スタンドアロンマシ ンだけでなくデータ、ポリシー、手順な どもカバーした包括的なアプローチが 必要となります。 この「セキュリティ問題」では、機械や 装置をプラントネットワークにセキュ アに統合し、知的財産を機械レベルで 保護して、エンドカスタマにセキュア なリモートアクセスを提供するための 製造装置メーカ向けの手順を説明し ます。 産業ネットワークを通じたプロアクティブ保護 私たちは今、スマートセンサが埋め込まれ、互いに通信し合う「モノ」がます ます増えてきているという、 「モノのインターネット(IoT)」の時代を迎えていま す。これらのモノは、産業組織が複雑な製造プロセスをよりよく理解できるよ うにするための、ゲートウェイとしての役割を果たします。機械や工場に埋め込 まれた装置は、エンタープライズ環境に埋め込まれた装置と同様に、標準の修 正なしインターネットプロトコル(IP)に基づく統合型のネットワーク基盤を使用 して、相互に通信する必要があります。 これによって、シームレスな情報フローが実現する一方で、これらの産業資産を セキュリティリスクから保護することの重要性がますます高まっています。その ためには、内部と外部の両方のセキュリティ上の脅威に対応しうる、多層防御 と呼ばれるセキュリティアプローチが必要になります。多層防御セキュリティア ーキテクチャは、どの保護ポイントもおそらく打破されるという想定のもとに 成り立っています。このアプローチでは、ある層に弱点や欠陥があっても、他の セキュリティ層を通じて強みや機能、新しい可変要素を導入することによって 保護できるよう、複数の防御層が必要となります。 卓越した装置の最適化 ロックウェル・オートメーションからの製造装置メーカ殿へのご提案 ポリシー、 手順、意識 物理 ネットワーク コンピュータ アプリケーション デバイス セキュリティ層の確立 多層防御セキュリティは、物理的なセキュリティのほか、ネッ トワーク、コンピュータ、アプリケーション、およびデバイスの セキュリティにも重点を置いた階層型アプローチです。ロック ウェル・オートメーションは、Cisco社などPartnerNetwork™ のメンバー企 業をはじめとした業 界のリーダと手を組 ん で、製造装置メーカ(OEM)がこれらのセキュリティ層を各種 機械やエンドユーザの施設に組み込むことを支援します。 警備員やゲートなどの物理的なセキュリティメカニズム、そし て、ファイアウォール、侵入検知/防止システム(IDS/IPS)、管理 型スイッチ/ルータなどのネットワーク・セキュリティ・フレーム ワークは、多層防御アプローチのビルディングブロックとなる セキュリティ層です。 ソフトウェアが脆 弱であると、侵 入者にオートメーション システムへのアクセス権を簡単に獲得されてしまいます。製造 装置メーカは、コンピュータハードニングの先進的な機能を 利用して、エンドユーザを不正アクセスから保護できるように なります。コンピュータハードニングには以下のオプションが あります。 • ウイルス対策ソフトウェア • アプリケーションホワイトリスティング • ホスト進入検知システム(HIDS)をはじめとしたエンド ポイント・セキュリティ・ソリューション プラントフロアに設置されるヒューマン・マシン・インターフェ イス(HMI)や産業用コンピュータなどは、ウイルスやトロイの 木馬をはじめとするマルウェアのサイバーリスクを受けやす いコンピュータです。ソフトウェアへのパッチ適用をこれらの ハードニング手法と組み合わせて行なうと、コンピュータリ スクをさらに軽減できます。デバイスハードニングも機械類 の保護に役立ちます。そのためには、プログラマブル・オート メーション・コントローラ、ルータ、管理型スイッチなどの埋め 込みデバイスのデフォルトのセキュリティ構成を変更して、より セキュア(安全確実)にすることが必要となります。 重要なデータへのアクセスの制限 人間とエンドユーザシステムとのやり取りを制御するポリ シーを設 定すると、ユーザが内部 者と外部 者のどちらで あるかや、その所在地が施 設内と遠隔のどちらであるか にかかわらず、情 報 窃 盗を防ぐことが 可能 になります。 Factor yTalk® Securit yアーキテクチャなどのソフトウェア ツールを使用すると、エンドユーザはオートメーションシス テムにアクセスしようとしている各ユーザの本人 確 認を 行なって、認証とアクセス制御を一元化することができます。 このソフトウェアはさらに、FactoryTalk Directoryサービスの プラットフォームと通信して、ユーザがソフトウェアを使用し て何を行なうことを許可され、何を行なうことを許可されて いないかを判別します。その結果に基づいて、システム内の 機能やリソースに対して特定の作業を実行することに関する 各ユーザのリクエストが承認または拒否されます。 また、ロックウェル・オートメーションが提供するRockwell Software®のStudio 5000™ Logix Designerアプリケーション の機能の1つであるLogixソース保護を使用すると、製造装置 メーカはルーチンまたはアドオン命令にパスワードを割付け て、アプリケーションに含まれている貴重な知的財産を保護 できるようになります。 • 使用していないアプリケーション、プロトコル、サービスの 削除 • 不要なポートの閉鎖 2 卓越した装置の最適化 ロックウェル・オートメーションからの製造装置メーカ殿へのご提案 リモートアクセスの保護 製造装置メーカとエンドユーザは、適切なセキュリティ手順と 構造システムを確立し、オープン・スタンダード・ネットワーク を使用したリモートモニタリングを行なうことで、運用状況を 離れた場所から監督し、リアルタイムで診断を実行して、メン テナンスコストを低く保つという、以前はできなかったことを 行なえるようになります。 多くのエンドユーザがクラウド・ベース・コンピューティングを 導入し、あらゆる規模の製造プロセスにおいて価値あるアプ リケーションを365日24時間体制でモニタできるようにするこ とによって、さらなるコスト削減を実現しています。セキュアな EtherNet/IP™接続を介してリモートアクセス/サポートをクラ ウドに移動すると、製造装置メーカがパフォーマンスをモニタ し、重要なデータを適切な相手にすばやく送信することが可 能になります。 リモート・システム・モニタリング、資産管理、エンジニアリン グサポートの各分野がますます高度化していることからわか るとおり、IP対応の「インテリジェントエンタープライズ」は、 クラウドテクノロジを導入することで、プラントフロアのセキュ リティ、接続性、パフォーマンス、そして統合性を高めること ができます。高圧ドライブなどのミッションクリティカルな製 造資産は、このことを説明するよい例です。 孤立した状態で機能しなくなったドライブは、重大な損失を 招く可能性があります。クラウドテクノロジを採用すると、この ドライブが警告またはフォルトを発した場合に、情報が簡単 に伝播され、サポートエンジニア向けに作業指示書が作成さ れます。それから数分以内に、クラウドベースの資産モニタリ ングアプリケーションによって、フォルトを調べて是正措置を 講じる専門家が割り振られます。 製造装置メーカは、セキュアなルータを使用して、リモート モ ニタリングの セ キュリティ層 を 追 加 で き ま す。例 え ば、Allen-Bradley®のStratix 5900™サービスルータを導入 すると、暗号 化されたトンネルを作成し、認定ユーザへの トラフィックに対するアクセスを制限することによって、信頼 されていない既存のネットワークを使用したまま情報を保護 することが可能になります。 製 造 装置メーカは、セキュアな統合、資 産の保護、そして リモートアクセスへの継続的な投資を行なうことで、コネク テッドエンタープライズによってもたらされる機会をうまく利 用すると共に、不要なリスクにさらされる機会を減らすことが できます。 セキュリティを機械に組み込むための10の手順 製造装置メーカは、すぐに実行できる以下の10の手順を行なうことで、産業組織としての業務の 信頼性とセキュリティを強化できます。 1. アクセス制御リストやポートブロック機能/機器などのツールを使用して、ネットワークへのアクセス権を誰に 与えるかを制御する。 2. ファイアウォールと侵入検知/防止機能を採用して、堅牢で信頼性の高い運用体制を確保する。 3. ウイルス対策ソフトウェアやホワイトリスティング技術を利用する。 4. システムパッチ適用ポリシーを確立して、ソフトウェアを最新の状態に保つ。 5. 従業員向けセキュリティ慣行に関する手順(パスワードの管理と保護、リムーバブルメディアの管理、私有機器の 使用など)を作成する。 6. コントローラをランモードにして、コントローラに対する変更を物理的にブロックする。 7. FactoryTalk Securityアーキテクチャを使用して、アプリケーション内のどこから何を行なうことを誰に対して 許可するのかを制御する。 8. Controller Change DetectionとFactoryTalk AssetCentreシステムを使用して、システムで何が起こっているかを モニタする。 9. Logixソース保護を使用して知的財産を保護する。 10. すべてのイーサネット機器の接続に標準のインターネットプロトコルが使用されていることを確認する。 3 卓越した装置の最適化 ロックウェル・オートメーションからの製造装置メーカ殿へのご提案 製品とサービスのハイライト FactoryTalk® Securityアーキテクチャ ロックウェル・オートメーションのFactoryTalk Securityアーキ テクチャを使用すると、オートメーションシステムにアクセス しようとしている各ユーザの本人確認を行なって、認証と アクセス制 御を一 元 化 することができます。その 結 果 に 基 づ いて、システム内 の 機 能 やリソースに対して特 定 の アクションを実行することに関する各ユーザのリクエストが 承認または拒否されます。FactoryTalk AssetCentreシステム には、一連の資産中心型ツールが用意されており、 これらの ツールを使用することで、ファクトリーオートメーションおよ びプロセスオートメーションに基づく生産環境をセキュアか つ一元的に管理できるようになります。 これにより、制御シス テムへのアクセスの保護、ユーザが行なった作業の追跡、資 産構成ファイルの管理、 プロセス計装機器の構成、運用資産 構成のバックアップ/リカバリが可能になります。 詳細は、以下のサイトをご覧ください。 http://www.rockwellautomation.com/rockwellsoftware/ factorytalk/security.html Allen-Bradley®のStratix™ファミリーの産業用 スイッチ/ルータ ロックウェル・オートメーションはアレン・ブラドリーのStratix ファミリー の 産 業 用スイッチとル ータを 拡 張し、産 業 用 ネットワーク接続用件を満たすように設計された新しいワ イヤレス/セキュリティ製品を発表します。この拡張には、 ネットワークアドレス変換を搭載したStratix 5700™管理型 産業用イーサネットスイッチ、Stratix 5900サービスルータ、お よびStratix 5700、Stratix 8000™、およびStratix 8300™スイッ チ用の新しいファイバーとPower over Ethernet (PoE) オプ ションがあります。2014年に発売される新製品には、アレン・ ブラドリーのArmorStratix™ 5700スイッチと Stratix 5100™ ワイヤレス・アクセス・ポイントがあります。この拡張によ って、製造装置メーカの皆様とその顧客企業は、エンター プライズレベルの機器から生産環境で使用されているエ ンドデバイスにいたるまで、より費用効率の高い、統合型 でセキュアなネットワーク基盤を構築できるようになりま す。Stratixスイッチは、Cisco社のテクノロジを採用しており、 ロックウェル・オートメーションとCisco社から発行されている Converged Plantwide Ethernet (CPwE)設計および実装ガイ ドに掲載されています。 詳細は、以下のサイトをご覧ください。 http://ab.rockwellautomation.com/ja/Networksand-Communications/Ethernet-IP-Infrastructure#/ tab3 4 卓越した装置の最適化 ロックウェル・オートメーションからの製造装置メーカ殿へのご提案 製品とサービスのハイライト アレン・ブラドリーの Stratix 5900 サービスルータ Industrial IP Advantage この 新しい サービスル ータは、ロックウェル・オートメー ションのネットワーク製 品ラインの 中で 仮 想プライベー トネットワ ーク( V P N )とファイアウォー ル 機 能 を 同 時 に 配 備し た 最 初 の 製 品 で す。こ れ ら の 機 能 を 備 え た ルータは、セル/エリアゾーンを保護するのに適している ほか、信頼できないネットワーク上のセル/エリアゾーンに 離れた場所から接続するのに適しています。 産業の工程には、組織内でデータを生成および消費して いるさまざまな機器、プロセス、システム、および人員の間 の接続性と情報フローをより効果的にすることによって、 生産性、品質、および柔軟性を向上させる機会が山ほどあり ます。機械メーカとプロセス・スキッド・メーカは、標準の修 正なしインターネットプロトコル(IP)を使用して、 このエンド・ ツー・エンドの接続性を最終顧客が実現するのをサポートで きます。Industrial IP Advantageは、標準の修正なしEthernet およびIPを、産業用Ethernetの主要オープンスタンダードで あるEtherNet/IPと共に使用することに関するベストプラクテ ィスや成功/失敗事例を共有できる教育コミュニティという、 共通のビジョンを掲げている企業(ロックウェル・オートメー ション、Cisco社、Panduit社、ODVA)によって設立されました。 詳細は、以下のサイトをご覧ください。 http://ab.rockwellautomation.com/ ja/networks-and-communications/ stratix-5900-services-router 詳細は、以下のサイトをご覧ください。 http://www.industrial-ip.org Virtual Support Engineer™サービス ロックウェル・オートメーションのVirtual Support Engineer サービスにより、製造装置メーカの皆様とその顧客企業は、 シンプルかつセキュアなアプローチで機械をモニタし、貴重 なパフォーマンス分析情報を収集できるようになります。任 意のインターネット接続からすばやくセキュアに装置に接続 することが可能です。IT部門によって承認されたアウトバウン ドのみの通信を使用することで、転送データの安全性を損な うことなく、資産にアクセスし、機械に関する価値ある情報に アクセスすることができます。 このサービスでは、機械に問題 が発生した場合に、 リアルタイムのアラートを電子メールや テキストメッセージで受取ることもできます。 詳細は、以下のサイトをご覧ください。 http://www.rockwellautomation.com/services/onlinephone/virtual-support-engineer.page 5 卓越した装置の最適化 ロックウェル・オートメーションからの製造装置メーカ殿へのご提案 参加のご案内: Interpack 2014 今年のInterpack 2014は、5月8〜14日の日程でデュッセルドル フ(ドイツ ) に て 開 催 さ れ ま す。1 6 万 6 , 0 0 0 人を 超 える 参 加 者と2 , 7 0 0 の出 展 企 業 を見 込 んで いるこの展 示 会 にぜひご参加ください。ロックウェル・オートメーションの 「Connection Point」にアクセスすると、製造装置メーカ向け 最新鋭テクノロジについて学ぶための最初の一歩を踏み出す ことができます。 詳細は、以下のサイトをご覧ください。 http://www.rockwellautomation.com/ rockwellautomation/events/interpack/overview.page? Interpack 2104でロックウェル・オートメーション のConnection Pointをご覧ください。 ロックウェル・オートメーションの製造装置メーカ 向けOEMプログラム 製造装置メーカ(OEM)として、グローバルな競争と急速に 進化する技術の渦中で、自社を差別化するために挑戦され 続けていると思います。効 果 的に競 争するには、装置の コストを超 える価 値を定義し 、企 業のパフォーマンスを 最大化する必要があります。ロックウェル・オートメーショ ンは、装置のTotal Cost to Design, Develop and DeliverSM (設計、開発、および配備にかかる総費用)と、お客様の要求を 満たすためににかかる費用を抑えて、ソリューションとサービ スでパフォーマンスの向上を支援することができます。OEMプ ログラムの一貫として、共同マーケティングの機会が増えるこ と、販売員によるよりよい市場計画、および共同管理の目的 でお客様の契約の向上を期待できます。 詳細は、以下のサイトをご覧ください。 http://www.rockwellautomation.com/go/wmoem ホール06、ブースA61 http://www.rockwellautomation.com/ rockwellautomation/events/interpack/overview.page? 世界で開催されるイベント ロックウェル・オートメーションは世界中でイベントを開催し て、競争上の有利性をもたらす技術を使用する方法を学ぶ 機会を提 供しています。その有利性には、市場にすばやく 製品とサービスを投入する、コストを低減する、電力とプラ ントフロアの資産をよりよく活用する、および製造環境での リスクを最低限に抑えるといったことがあります。 ロックウェル・オートメーションが提供する OEMソリューションの詳細は、 www.rockwellautomation.com/oem をご覧ください。 世界中で開催されるイベントのリストについては、以下の サイトをご覧ください。 http://www.rockwellautomation.com/ rockwellautomation/events/overview.page Allen-Bradley、ArmorStratix、FactoryTalk、PartnerNetwork、Rockwell Software、Stratix、Stratix 5100、Stratix 5700、Stratix 5900、Stratix 8000、Stratix 8300、Studio 5000、Total Cost to Design, Develop and Deliver、およびVirtual Support Engineerは、Rockwell Automation Inc.の商標です。 Rockwell Automationに属さない商標は、それぞれの企業に所有されています。 Publication OEM-AP043A-JA-P – March 2014 © 2014 Rockwell Automation, Inc. All Rights Reserved.Printed in USA.