IIoTの普及により、ますます多くのデバイスがオンラインに接続されています。産業界のオペレータは、自動化のデジタル化のメリットを享受していますが、一方、この傾向に伴うリスクの増大にも直面しています。例えば、ネットワークが隔離されているからといって、必ずしも安全であるとは限りません。より多くのデバイスが接続されるにつれて攻撃面も増加し、ネットワークはサイバー攻撃や不正アクセスに対してより脆弱になります。セキュリティ問題に関するこのような認識の欠如は、深刻な結果を招く可能性があります。例えば、非常に小さなサイバーセキュリティ違反が発生するだけで、大量のデータが破損または削除されることで、重大な生産ロスを招く可能性があります。Moxaは、ユーザが遭遇する可能性のある課題に対処し、すべての産業オートメーションプレーヤに価値をもたらすサイバーセキュリティソリューションを構築することが可能です。
Moxaのエッジ・ツー・クラウドソリューションの詳細は、ホワイトペーパー「産業オートメーションのコントロールシステムネットワークを保証する際の考慮すべき3つのアスペクト」をダウンロードしてご覧ください。
強化されたネットワークデバイスの導入に関するガイドラインの欠如
最も一般的な誤解の1つは、ファイアウォールが導入されている限りすべてのサイバーセキュリティリスクが軽減できると思われていることです。ネットワークデバイスのセキュリティ機能は、多層防御セキュリティアーキテクチャを構築する上で重要な役割を果たします。これまでOTオペレータは、強化されたネットワークを展開したことがなく、また、それに従うべき明確なガイドラインもないため、サイバーセキュリティソリューションの実装をより複雑にしています。
ネットワークアーキテクチャ設計時のサイバーセキュリティ意識の欠如
産業用制御システム(ICS)ネットワークは、保護されていないネットワークと安全なネットワークを隔離するためにエアギャップ保護が使用されていました。産業用ネットワークは、引き続き多くのデバイスが接続されていますが、多くのOTオペレータはサイバーセキュリティの防御を十分に考慮していません。重要な製造セクタを対象としたサイバー攻撃の数が多くなるにつれ、ICSネットワークは、攻撃のリスクが高まることは明らかです。
セキュリティマネジメントの原則と監視ツールの欠如
ネットワークがサイバー攻撃を受ける理由の主な原因は人的ミスであると報告されています(37%)。セキュリティマネジメントの原則がしばしば無視されるため、人的ミスが頻繁に発生します。セキュリティマネジメントの原則を遵守するために、OTオペレータはネットワークを常に監視する必要があります。しかしながら、専門的な知識を持つスタッフが必要であることおよび時間を要することから、産業界において、多くの人が、常時監視は面倒であると考えています。
Moxaの製品は、アクセスおよびアイデンティティマネジメント、デバイスマネジメント、システムマネジメント、コンフィギュレーションマネジメントの、4つのセキュリティマネジメントの原則に基づいて開発されています。また、Moxaは、有線およびワイヤレスネットワークのためのMXviewおよびMXconfigマネジメントソフトウェアを提供しています。
もっと詳しく:【技術情報】ネットワークセキュリティを可視化する
Moxaは、産業用セキュアルータ、VPN、および産業用オートメーションのためのカスタマイズされたリモートアクセスソリューションを含む、さまざまなサイバーセキュリティビルディングブロックによる多層防御フレームワークを提供しています。Moxaは、システムインテグレータが多層防御アプローチに準拠したサイバーセキュリティを導入するための支援を行うことができます。
もっと詳しく:多層防御セキュリティアーキテクチャ
Moxaは、イーサネットスイッチ、ワイヤレスデバイス、デバイスサーバ、プロトコルゲートウェイ、リモートI/Oを含む製品のポートフォリオのためのファームウェアアップデートを提供すると共に、産業用オートメーションおよび産業用制御システムネットワークのサイバーセキュリティを強化しています。
もっと詳しく:【技術情報】ネットワークセキュリティの強化
ゾーンおよびセル保護のためのネットワークセグメンテーション
多層防御セキュリティアーキテクチャは、ICSネットワークを保護された個々のゾーンとセルに分割します。各ゾーンまたはセル内の通信は、ファイアウォールによって保護されているため、ICSネットワーク全体がサイバー攻撃に遭う可能性がさらに低くなります。MoxaのEDRシリーズは、制御ネットワークとPLCやRTUなどの重要なデバイスを不正アクセスから保護する透過ファイアウォールを使用して、オペレータがゾーンとセルの保護を提供する産業用セキュアルータで構成されています。このソリューションを使用すると、ネットワークセッティングを再コンフィギュレーションする必要がなくなり、展開がより迅速かつ容易に実行できます。EDR-810シリーズはMoxaのTurbo Ring冗長技術をサポートしているため、ネットワークセグメンテーションの展開が、より柔軟で経済的となります。さらに、Moxaのイーサネットスイッチは、仮想LAN(VLAN)を構成して各ICSドメインを他のVLANからのトラフィックを分離する、より小さなネットワークに分解することができます。
詳細については、下記のホワイトペーパーをご覧ください。
ゾーン間のインタラクションのためのトラフィック制御
セキュリティを強化するために、ICSネットワーク内のゾーン間を通過するトラフィックを精査する必要があります。これを実装するには、いくつかの方法があります。1つの方法は、DMZを介してデータを交換する方法であり、直接コネクションをすることなく、セキュアなICSネットワークとセキュアでないネットワーク間でデータサーバにアクセスすることができます。MoxaのEDR-G903シリーズは、ユーザ固有のファイアウォールルールを利用して、セキュアなトラフィック制御を実現することができます。2番目の方法は、EDRルータがPacketGuardを使用してアクションの制御およびトラフィック制御を強化することにより、ディープModbus TCPインスペクションを実行する方法です。この方法は、管理タスクを簡素化し、ネットワーク間の不要なトラフィックを防ぐことができます。ファイアウォールに加えて、アクセスコントロールリストは、スイッチのイングレスパケットをIPアドレスまたはローカルIPでフィルタリングするために使用することができます。ネットワーク管理者は、デバイスまたはネットワークの一部へのアクセスを制御することによりネットワークを保護できます。
ICSネットワークへのセキュアなリモートアクセス
現在、アプリケーションへのセキュアなリモートアクセスに対する主な要件に対処するために、2つのソリューションがあります。常時コネクションの場合は、標準のVPNトンネルを推奨します。MoxaのEDRシリーズは、IPsec、L2TP over IPsec、またはOpenVPNを使用して、暗号化されたIPsec VPNトンネルまたはOpenVPNクライアントを設定できます。これらの方法は、データが送信されているときにデータが操作されないように保護し、産業用ネットワークとリモートアプリケーション間のセキュアなリモートアクセスを保証します。あるいは、特定のマシンまたはセンシティブエリアに対して、オンデマンドでのみリモートアクセスが可能である必要がある場合、すべてのリモートコネクションのためにマネージメントプラットフォームが必要です。