ここから本文
MINDインダストリアルIoT ネットワークセキュリティーサービス
2019年5月
目次
製造業において、生産性の向上や新たなビジネスモデルの創出を目的とする「インダストリアルIoT」に注目が集まっています。一方、新たなサイバー攻撃に狙われるリスクが高まり、制御系システムが標的になるケースが増えてきました。三菱電機インフォメーションネットワーク株式会社(MIND)は、数多くの製造業のネットワークの構築や運用を支援してきた実績をもとに、国際標準規格に対応した「MINDインダストリアルIoTネットワークセキュリティーサービス」を2019年3月より提供を開始しました。
左から、
セキュリティサービス事業センター セキュリティサービス第二部 第二課長 兼 サービス企画課長 鈴木 亮 氏
セキュリティサービス事業センター セキュリティサービス第二部 サービス企画課 エキスパート 御前 仁志 氏
セキュリティサービス事業センター セキュリティサービス第二部 サービス企画課 川邉 喜彦 氏
海外を中心に制御系システムを狙ったマルウエアによる被害が報告されています。日本でも2017年に大手メーカーの生産設備がランサム(身代金)ウエアに感染して操業停止を余儀なくされた事態が発生しました。このように、制御系システムや生産設備が攻撃を受けると操業に影響を及ぼすばかりか、人々の生命や安全を脅かすことにもなりかねません。
こうした事態の背景には制御系ネットワークと情報系ネットワークがつながり始めたことにあります。かつて制御系ネットワークはインターネットや情報系ネットワークと物理的に分離されていました。そのため外部ネットワークからの攻撃はほとんど考慮する必要はありませんでした。
しかし最近は、運用性や生産性の向上を目的に制御系ネットワークと情報系ネットワークを汎用的なOSや標準プロトコルによってつなぐケースが増えています。便利になる反面、生産ラインが攻撃にさらされる懸念が生じます。今後インダストリアルIoTが拡大していけば、さらにリスクは高まるでしょう。
MINDでは、制御系システムに対するセキュリティーに対して、2019年3月に「MIND インダストリアルIoT ネットワークセキュリティーサービス CyberMinder IoT(サイバーマインダーアイオーティー)」をリリース。その第1弾として「境界分離」「通信の見える化」「端末制御」「持込媒体対策」の4つのソリューションの提供を開始しました。セキュリティサービス事業センター セキュリティサービス第二部 第二課長兼 サービス企画課長の鈴木亮氏は「多くの製造事業者のネットワーク、セキュリティーの構築・運用を支援してきた経験とノウハウを活かし、MINDが保有する技術要素を組み合わせて制御系ネットワークに特化したサービスを企画しました。すでに三菱電機の受配電システム製作所の新工場に境界分離と端末制御が導入されています」と語ります。
生産現場などで稼働する制御系ネットワークの場合、一般的な情報系ネットワークとは要件が異なります。例えば、24時間365日稼働している工場内では、セキュリティー対策のためにシステムを何度も止めることはできません。他にもシステムの稼働状態やレスポンスに影響を与えたくない、古いデバイスやソフトウエアを使い続けなければならないなどの要件があり、独自の対策が求められます。そこでMINDは実装のアプローチとして「標準規格・ガイドライン」と「環境に対する脅威リスク」の2つの観点から検討しました。
「標準規格・ガイドライン」では、汎用制御システムを対象とした分野で国際標準のセキュリティー基準であるIEC62443シリーズと、米国政府機関がセキュリティー対策を実施する際に利用しているNIST SP800シリーズをもとに検討しました。セキュリティサービス事業センター セキュリティサービス第二部 サービス企画課 エキスパートの御前仁志氏は「三菱電機情報技術総合研究所と共同で、約1年かけてIEC62443シリーズの数多くの要件の中から、ネットワークセキュリティーに関連する要素をピックアップし、MINDのネットワーク技術と組み合わせました」と説明します。
CyberMinder IoTは2019年3月現在、以下の4つのソリューションを提供しています。
(1)境界分離
境界分離は、制御系ネットワークと情報系ネットワークをファイアウォールや統合脅威管理装置(UTM)で分離するソリューションです。ネットワーク間の通信は、緩衝地帯となるインダストリアルDMZ(IDMZ)を設けて直接的な通信を避け、ウイルスに感染しても制御系ネットワークまで影響を及ぼすリスクを低減します。
通過する通信に対しては、侵入検知・防御機能(IDS/IPS)、アンチウイルス機能などを適用して不正侵入を防止します。
(2)通信の見える化
通信の見える化は、制御系ネットワークに流れる通信と端末を可視化し、資産管理するソリューションです。また、事前に正常なパターンを学習したうえでネットワークを常時モニタリングし、逸脱した振る舞いや端末を即座に検知します。
通信の見える化では、モニタリングツールの他、監査証跡用に企業ごとにカスタマイズしたレポートも提供する予定です。
(3)端末制御
端末制御では、不正端末の接続制御とホワイトリストを用いた通信制御の2種類を提供しています。不正端末の接続制御は、端末認証(MACアドレス制御)によって許可された端末のみをネットワークに接続し、不正端末が接続された際に管理者に通知します。ホワイトリスト型の通信制御では予めリストに登録された正規の通信のみを許可します。ホワイトリストを利用することで端末がウイルスに感染した場合でも隣接するセグメントへの影響を食い止めることができます。
(4)持込媒体対策
持込媒体対策は、外部からUSBメモリー、SDカード、CDーRなどの媒体を持込む際、専用装置を使ってオフラインでファイルをウイルススキャンするサービスです。
スキャン装置では、30種類以上の世界各地域のアンチウイルスベンダーのエンジンを使ってファイルに埋め込まれた脅威を検出し、問題のなかったファイルのみを新しいUSBメモリーにコピーします。セキュリティサービス事業センター セキュリティサービス第二部 サービス企画課の川邉喜彦氏は「マルチスキャン機能は米国の原子力機関の調達要件にも対応しているものです。スキャンスピードも速く、瞬時に識別できます。検疫の結果はレシートとして出力することもできるので、レポートや証跡の管理にも対応が可能です」と語ります。
システム構成イメージ
MINDではCyberMinder IoTの導入にあたり、ネットワークの分離設計から各ソリューションの設計構築、導入後の監視・運用までワンストップで支援します。「MINDセキュリティーオペレーションセンター」による24時間365日のセキュリティー監視を提供し、インシデントの検出・通報・対策支援などを行います。そのため、お客様はトラブル対応などに時間をかけることなく、本来業務に集中することができます。
今後はCyberMinder IoTのラインアップを拡充していく計画です。鈴木氏は「製造業に限らず、ビル制御や電力などの社会インフラをターゲットとしたサービスを拡充していきます」と話します。
