IBS Japan

産業オートメーションデバイスは、非常に重要かつ貴重な資産をコントロールしますが産業用ネットワークにおいてセキュリティは、しばしば付け足しの感はゆがめません。過去において、より広範なネットワーク、通信プロトコルの相対的な曖昧さ、およびネットワークの完全性を保護するためにその施設の物理的なセキュリティからの分離またはネットワークが物理的にローカルネットワークとインターネットから分離したネットワークセキュリティの一種である"エアギャップ"を信頼していました。

しかし、現在、それは変化しました。すべてが接続されている世界では、オートメーションネットワークオペレータは、ユニークなセキュリティの脆弱性に直面する必要があることに気がつきました。

米国国土安全保障省のためにInfraCriticalセキュリティコンサルタントが提供した最近の報告書 *1 では、検索エンジンを使用して50万の危険に晒されたSCADAデバイスを発見し、これらのデバイスの7,200は、上下水道浄、エネルギ、および他のユーティリティといった重要なインフラストラクチャ資産を制御するためであることが判明しました。これは、セキュリティ研究者が"laughable." *2 としてICSセキュリティのステータス評すことは、驚くことではありません。

多くの産業オペレータは、システムがインターネットで危険に晒されていること気づきさえしていません。セキュリティのギャップを閉じるために重要な最初のステップは、脆弱性の存在を認めることです。しかし、次のステップは、同じように重要です：脆弱性は、完全に対処することが必要です。オートメーションネットワークは、3つの大きなユニークな脆弱性を秘めています。

*1 ：InfraCriticalセキュリティコンサルタント提供の報告書（英字サイト）

*2 ：SCADA 研究者が言う"laughable."の状態（英字サイト）

産業用Modbus TCPプロトコルパケットの安全を確保するのは難しい

例え、産業ネットワークが輸送、インターネットおよび通信のリンク層に必要な近代的なTCP/IPおよびイーサネットインフラストラクチャに移行しても、しばしばまだ産業アプリケーション層のプロトコルを実行しています。これらの中で最もポピュラなModbus TCPは、産業通信の中で広く使用されるにもかかわらずセキュリティーシステムをまったく組み込んでいなければ非常に脆弱です。つまりTCP/パケットとして検査時にソースIPアドレスをチェックして完全に合法的であると思われるパケットがModbusソースデバイス、ファンクションコードまたは他のModbusコマンドタイプによりパケットをフィルタリングすることができた場合、実際に悪意のModbus TCP通信を含むことが明らかになります。産業用デバイスは、多くのアプリケーション層のセキュリティの方法をサポートしていないので、この重要な欠落保護を提供するためにハードウェアファイアウォールといったサイバーセキュリティデバイスに任されています。残念なことに、従来のファイアウォールソリューションは、Modbus TCPといった産業用プロトコルをスキャンする技術が含まれていません。

産業用アプリケーションは、時間にクリティカルであり、また、伝送遅延を容認することはできません

SCADAと産業用コントロールデバイスを高いタイムクリティカルな方法で実際にマシンを直接管理します。例えば、組立ライン上で異なるマシンのすべてを動かし続けるためにラインは完全にコーディネーションする必要があります。変電所オペレーションは、更に時間にセンシティブであり回路スイッチをトリガにおける遅延は、電力変動あるいは停電に繋がる可能性があります。

産業オペレーションの高度なタイムクリティカルな性質は、産業用ネットワークが重要な遅延問題を容認できないことを意味します。しかし、悪意のあるアタッカによって使用される一般的な攻撃ベクトルは、ファイアウォールが不正な要求をブロックすることが可能であってもネットワーク遅延に影響を与えることができる要求でネットワークを打ち負かします。ファイアウォールがタイムリな通信を維持するために迅速に十分なパケットを処理するのに苦労している場合、重要な瞬間に十分でない帯域幅は、遅延問題へのネットワークを危険に晒します。単に産業ネットワークとして成長する産業用セキュリティに関する遅延とネットワーク要求は、より高度化されビデオ、音声およびデータといったより多くのシステムを統合します。IPカメラは、多くの帯域幅を生成しネットワークセキュリティデバイスは、高度なアプリケーションをサポートするためにネットワークのセキュリティまたは他の産業オペレーションを損なうことなく、帯域幅およびスループットをサポートする必要があります。

苛酷な物理的環境がセキュリティデバイスを苦しめます

産業用マシンと産業用コントロールデバイスは、従来のITネットワークデバイスに比べて極端な状況で使われます。これは、産業コントロールデバイスとネットワークを保護することを目的とするネットワークセキュリティデバイスのパフォーマンスにおいて潜在的なミスマッチングとなります。

産業オートメーションシステムが使われる激しい産業状況に耐えるためには、ネットワークセキュリティデバイスは、大変な努力を必要とします。極端な温度、EMCおよびEMIといった苛酷で危険な環境は、悪意のある攻撃者より更にネットワーク機器にダメージを与える可能性があります。ネットワーク・セキュリティ・ハードウェアがこれらの危険を無視することができないならば、攻撃者に対して危険を曝け出し脆弱性が晒されます。

オートメーションネットワークのためのMoxaのギガビットパフォーマンス・サイバーセキュリティ・ソリューション

Moxaは、オートメーションネットワークのユニークなニーズや要件に設計されたサイバーセキュリティ・ソリューションを形成することを念頭に置いてネットワーキングの専門知識と産業オートメーションでその背景を組み合わせています。MoxaのEDR-810は、セキュリティ機能を含む産業用マルチポートセキュアルータです。特に産業用ネットワークのセキュリティの脆弱性に対処するために最適化されています。更に、リモートアクセスのためにデータトンネルを暗号化するVPN、非表示のNATローカルIPアドレス、およびパケットをフィルタリングするファイアウォールに加えて、EDR-810は、次のようなオートメーションフレンドリな機能を追加しています：

深く掘り下げたModbus TCPインスペクション ：

PacketGuard™は、世界最初のビルトインModbus TCPパケットインスペクタです。PacketGuardによりEDR-810は、従来のネットワークファイアウォールが実行できるトランスポート層スキャニングよりもずっと深くModbusアプリケーションレベルまでネットワークパケットのすべてをインスペクションします。

低遅延ギガビットパフォーマンス ：

EDR-810は、IPビデオといった極めて帯域幅を必要とするアプリケーションで使用する際に産業オペレーションを中断しない非常に低い遅延パフォーマンスを得るために多くのポートをギガビットアップリンクにアグレゲートできます。

スイッチ機能を備えた高度に統合されたマルチポートセキュアルータ ：

EDR-810は、セキュリティ、ルーティング、およびLayer 2スイッチ機能をシングルデバイスに組込むことで多くのデバイスの接続および保護をする利便性が高くまたコスト効果の優れたソリューションを提供します。

EDR-810は、産業オペレータの要件に合わせたネットワーク・セキュリティ・デバイスのMoxaのEDRファミリの最新バージョンです。広い動作温度範囲、堅牢なメタルハウジング、および強力なEMI/EMS耐性を備えたMoxaのEDRセキュリティデバイスは、厳しい動作環境に耐える弾力性を備え堅牢な産業用ネットワークを維持することができます。

高度なネットワークセキュリティハードウェアに関する
詳細はこちら