+8618675556018

IT ネットワークと統合する OT (運用技術) システムのサイバーセキュリティの強化

Aug 26, 2024

OT システムが IT ネットワークと統合し続けるにつれて、製造企業はリスクを軽減するために、より強力なサイバーセキュリティ対策を必要とします。

 

産業用モノのインターネット (IIoT) の台頭により、デバイス レベルからクラウドへの接続が確実に拡大し、自動化された施設の攻撃対象領域が拡大しました。クラウドへの直接接続は、リモート メンテナンス監視、主要業績評価指標 (KPI) の追跡、プロセス最適化などの魅力的なビジネス上の利点をもたらしますが、これらの利点はセキュリティの弱体化という代償を伴います。ODVA のマーケティング ディレクターである Steve Fales 氏は、「これらの新しい接続により、悪意のある人物が産業ネットワークに侵入する可能性があるため、デバイスに接続する前に検証を必要とするゼロ トラストなどのセキュリティ概念への注目が高まっています。さらに、ネットワークのすべての部分をカバーする複数のセキュリティ アプローチを展開することの重要性が大幅に高まっています」と説明しています。

 

ゼロ トラストのコンセプトでは、ネットワークがすでに侵害されていることを前提としています。つまり、発信元に関係なく、すべての接続を検証し、必要最小限のアクセスのみを可能な限り短時間で提供する必要があります。さらに、すべての通信は安全でなければなりません。ゼロ トラストに移行するには、企業は通信を暗号化し、ロールベースのアクセスを提供し、エンドポイントを認証し、通信が改ざんされないようにする必要があります。

スティーブは、ゼロ トラストの採用に加えて、産業用制御ネットワークのセキュリティを確保するための多層防御戦略の一環として、複数のセキュリティ メソッドを採用することを推奨しています。プロセス指向の総合的なアプローチの一環として、物理的なセキュリティと従業員のトレーニングは優れた出発点です。これらは、悪意のある行為者を阻止するための 2 つのシンプルでありながら効果的な方法です。

 

脅威モデリングの実装は、ネットワークの脆弱性を理解し、対応計画を策定するためのもう 1 つの重要な方法です。これに基づいて、スイッチベースのファイアウォール、ディープ パケット インスペクション、ホワイトリスト、およびその他のネットワーク保護が秩序正しく展開されます。スティーブは次のように続けます。「直接接続によって 2 番目のチャネル ネットワークが開かれた場合は、デバイス レイヤーを保護することも重要です。デバイス レイヤー保護の例として、EtherNet/IP の CIP セキュリティがあります。これは、デバイス認証、ID、データ整合性、機密性、ユーザー認証、およびポリシー適用を提供します。CIP セキュリティは、使用状況に基づいてオンデマンドで実装できるプロファイルを通じて柔軟な保護も提供します。最後に、ネットワーク攻撃の行動と方法は継続的に進化しているため、セキュリティ戦略、トレーニング、および保護対策を定期的に見直して修正する必要があります。」

 

クラウドに直接接続される自動化デバイスの数が増え、ネットワークがフラット化される中、十分なリソースを備え計画されたセキュリティ戦略を持つことは非常に重要です。「新たな現実として、脆弱性が発生する可能性が高く、ゼロ トラスト セキュリティ アプローチが台頭しています。ゼロ トラスト セキュリティ アプローチでは、すべての接続の検証が必要であり、必要なアクセスのみが許可されます。物理的なセキュリティ、従業員のトレーニング、プロセス ベースのアプローチによって、非常に高い投資収益が得られることを覚えておくことも同様に重要です。」スティーブは、保護は最低レベルで実装する必要があると考えています。セキュリティは、自動化デバイスをクラウドに接続する主な推進力であり、生産性の大幅な向上につながり、将来の産業オペレーションにとって価値のある投資となります。

 

news-301-167

ゼロからセキュリティを設計する

 

従来、産業企業は、物理プロセス、センサー、監視制御、運用、ロジスティクスをセグメント化することで、安全な OT 環境を構築するために Purdue モデルに依存してきました。しかし、すでにお伝えしたように、現在ではオープン プラットフォームが増え、OT ネットワーク セキュリティがさらに重視されるようになっています。

 

エマソンのサイバーセキュリティ戦略、ガバナンス、アーキテクチャ担当ディレクターのマイケル・レスター氏は、「組織は今や、制御システムプロジェクトのフロントエンドエンジニアリングと設計段階でサイバーセキュリティを考慮し、設計段階でシステムを安全にする必要があります。これまでは、サイバーセキュリティ防御は後から追加されることが多かったのですが、これは最初からプロジェクトにサイバーセキュリティを組み込むよりもコストがかかり、効果も低くなります」と述べています。

 

したがって、製造企業はゼロ トラストの原則に基づいて OT ソフトウェア アプリケーションを一から設計し、本質的に安全な工場を設計によって構築する必要があります。エマソンの最高技術責任者であるピーター ゾルニオ氏は、工場の本質的なセキュリティを設計によって実現するのは一夜にしては実現せず、何年もの努力が必要であり、システム ソフトウェアが徐々に更新されてセキュリティ アーキテクチャが組み込まれることで初めて完全に実現されると考えています。別のソフトウェアと通信するたびに、認証を求め、正しいデータ アクセス権を所有する必要があります。エマソンの最新製品の一部には、本質的に安全な設計のソフトウェアがすでに組み込まれていますが、現実的には、工場のすべてのソフトウェアがゼロ トラストをサポートできるようになるまでには 5 年から 10 年かかる可能性があります。ただし、これが現実になれば、サイバー セキュリティの問題に対する究極のソリューションになります。

 

さらに、サイバーセキュリティにはテクノロジー以上のものが必要です。マイケルは、サイバーセキュリティには行動と文化の変化も必要だと考えています。組織全体がサイバーセキュリティを実現する理由と方法を深く理解する必要があります。これは、意味のある行動の変化を促進するために不可欠です。したがって、人、プロセス、テクノロジーを含むサイバーセキュリティ文化を構築することが重要なのです。

 

news-600-381

 

OTシステム保護のための強化策

 

OT システムが IT ネットワークと統合され、MQTT などのインターネットベースの通信プロトコルや、HTTPS、CsCAN、Modbus などの既存のデータ転送プロトコルが導入されるにつれて、攻撃対象領域が拡大し、新しい攻撃ベクトルが生まれます。そのため、リスクを軽減するために、より強力なサイバーセキュリティ対策が必要になります。Horner Ireland のサイバーセキュリティ エンジニアである Sean Mackey は、制御エンジニアが OT 環境をより適切に保護できるように、次の対策を提案しています。

 

  1. 環境を理解する: 産業用制御システム、SCADA、PLC、その他の相互接続デバイスを含む OT インフラストラクチャを完全に理解します。資産、ネットワーク アーキテクチャ、プロトコル、通信パスを文書化して、潜在的な脆弱性を特定します。
  2. リスク評価と資産インベントリ: 徹底的なリスク評価を実施して、重要な資産と潜在的な脆弱性を特定します。資産インベントリを作成し、システムを重要度に基づいて分類し、関連するリスクを評価します。この評価に基づいて、セキュリティ対策の優先順位を決定します。
  3. ネットワークセグメンテーション: エアギャップ、トラフィックをフィルタリングおよび監視するファイアウォール、重要なシステムを分離して重要な OT 資産を重要でないシステムや外部ネットワークから分離するなど、堅牢なネットワーク セグメンテーションを実装します。脆弱性や攻撃を特定のネットワーク セグメント内に封じ込めて攻撃対象領域を減らすことで、その影響を制限します。
  4. アクセス制御と認証: 強力なアクセス制御と認証メカニズムを実装して、OT システムへの不正アクセスを制限します。多要素認証、ロールベースのアクセス制御、最小権限の原則を適用して、許可された担当者だけが重要なシステムにアクセスできるようにします。
  5. パッチ管理: 既知の脆弱性を OT システムに常に最新の状態に保つために、厳格なパッチ管理プロセスを開発して実装します。これには、PLC/HMI の脆弱性修正に関連するファームウェアとソフトウェアの更新が含まれます。重要度に基づいてパッチに優先順位を付けます。
  6. ネットワーク監視と侵入検知: 強力なネットワーク監視ツールと侵入検知システム (IDS) を導入して、異常なアクティビティをリアルタイムで検出し、対応します。ネットワーク トラフィック、システム ログ、動作パターンを監視して、潜在的な脅威やセキュリティ侵害を迅速に特定します。
  7. エンドポイントセキュリティ: 同じネットワーク上の同様のデバイスにファイアウォール、ウイルス対策ソフトウェア、侵入防止システムなどのエンドポイント保護ソリューションを実装し、産業用デバイスをマルウェアや不正アクセスから保護します。
  8. 暗号化: 転送中と保存中の両方でデータを暗号化し、不正な傍受や改ざんを防止します。特に MQTT を多用する業界で X.509 証明書を使用する場合は、ネットワーク通信にトランスポート層セキュリティ (TLS) などの強力な暗号化プロトコルを実装し、OT デバイスに保存されている機密データを暗号化します。
  9. インシデント対応計画: サイバーセキュリティ インシデントの検出、封じ込め、軽減の手順を概説した包括的なインシデント対応計画を策定します。役割と責任を定義し、通信プロトコルを確立し、サイバー攻撃への備えを確実にするために定期的な訓練を実施します。
  10. 従業員のトレーニングと意識向上: フィッシング攻撃の認識、疑わしいアクティビティの特定、セキュリティ インシデントへの対応など、サイバーセキュリティのベスト プラクティスについて OT 担当者をトレーニングします。サイバーセキュリティ意識の文化を育み、従業員が OT システムの保護に積極的に参加できるようにします。
  11. ベンダーリスク管理: OT コンポーネントまたはサービスを提供するサードパーティのベンダーおよびサプライヤーに関連するサイバーセキュリティ リスクを評価および管理します。セキュリティ要件を規定する契約書を作成し、ベンダーを定期的に監査します。
  12. コンプライアンスと規制要件: NIST SP 800-82 や ISA/IEC 62443 など、OT サイバーセキュリティに関連する業界固有の規制やコンプライアンス標準について最新情報を入手してください。OT システムがこれらの要件に準拠していることを確認し、法的および規制上の影響を回避し、サイバーセキュリティの実装が不十分なために OT 侵害が発生するリスクを最小限に抑えます。

 

news-1280-717

 

OTシステムの完全な保護の確保

 

OT 環境では、ほとんどのシステムが重要であり、中断や侵害が発生すると広範囲にわたる影響が生じる可能性があります。Paessler のグローバル ビジネス開発 IIOT 担当 Daniel Sukowski 氏は、リスクを考慮すると、OT 環境を効果的に保護することがこれまで以上に重要になっていると強調しています。ただし、この目標を達成することは、これまで以上に困難になっています。相互接続されたデジタルの世界では、IIOT デバイスの急激な増加により、システムがますます複雑になっています。以前は分離されていた OT ネットワークが、多くの場合は地域を超えた外部ソースからの新しいシステムやデバイスに接続するために開かれています。この接続には多くの利点がありますが、大きなリスクも伴います。

 

OT システムを完全に保護するには、企業は監視テクノロジーに投資する必要があります。ダニエル氏は、「集中管理されたダッシュボードとアラート機能を備えた効果的な監視システムにより、企業はより包括的な状況を把握できます。あらゆる場所 (OT 環境、IIoT センサー、有線および無線ネットワーク、従来の IT デバイスとシステム) からのデータを 1 つの保護プラットフォームに統合できます。包括的な可視性を提供します。サイバー犯罪者が進化し、成熟し続ける中、これはこれまで以上に重要です」と提案しています。

 

さらに、企業は脆弱性を特定するために、運用システムのセキュリティ監査とリスク評価を定期的に実施する必要があります。これには、情報セキュリティリスク、サイバーリスク、および一般的な OT 運用リスクすべてが含まれます。課題のもう 1 つの部分は、すべての関連従業員に対する継続的なトレーニングです。トレーニング コンテンツは、企業が最新のガイドラインと規制に従って運営できるように、定期的に更新する必要があります。たとえば、2024 年 10 月にすべての EU 加盟国で NIS2 指令が国内法となると、従業員は自分自身とビジネス全体が準拠していることを確認する必要があります。

 

NIS2 指令は、現在の EU サイバーセキュリティ法を更新することで、元の NIS 指令 (NISD) を基盤としています。その目的は、OT セキュリティを強化し、報告を合理化し、EU 全体で一貫したルールと罰則を作成することです。NIS2 は適用範囲を拡大することで、より多くの企業とセクターにサイバーセキュリティ対策の実施を義務付けます。

 

詳細については、以下のリンクをクリックしてください。

リーマン ムーンナイト ロボットシャーシのご紹介

フラッシュフードデリバリーロボットのご紹介

看護師病院配送ロボットのご紹介

 

ロボットについてもっと知りたいですか?https://www.reemanrobot.com/

ロボットモップ、モップがけロボット、掃除機ロボット、掃除ロボット、業務用掃除ロボット、床掃除、掃除機ロボット、掃除ロボット、湿式・乾式ロボット掃除機、業務用モップがけロボット、掃除ロボット、UV-C ロボット掃除機、床掃除ロボット、ロボットクリーナー、床モップマシン、ロボットモップクリーナー、掃除機、ロボット掃除機モップ、掃除機ロボット、モップロボット、ロボットクリーナー掃除機、クリーナーモップロボット、UVC ロボット掃除、掃除ロボットスマート掃除機、業務用掃除ロボット、インテリジェント掃除ロボット、業務用モップロボット

 

 

お問い合わせを送る