技術情報

産業用ネットワークソリューション / OTセキュリティ / 鉄道

2020/07/31
eb6fabf1edba3ab2aa5f8ed3546d0391491e68416667a6e27cab5
Moxa

鉄道業界のサイバーセキュリティについて知っておくべきこと

鉄道業界のサイバーセキュリティについて知っておくべきこと

大量輸送の最もポピュラーな形態の1つである列車は、急速な都市化が進む都市にとって特に重要な存在です。鉄道のオペレーションがデジタル化され続けている中、鉄道オペレータ(事業者)は、鉄道システムの監視や制御などの複数のアプリケーションを使用、開発、強化することができます。イーサネット列車バックボーンネットワークは、列車上のデバイスとシステム間の通信を容易にし、異なるIPシステムを接続するために使用されます。イーサネットベースのネットワークシステムを使用することには多くの利点がありますが、ネットワークのサイバー攻撃に対する脆弱性が高まるという欠点があります。

産業用コントロールシステムのセキュリティ保護 - 2017、SANS Instituteによると、エンドユーザが懸念している上位3つの脅威は、ネットワークに追加される不正なデバイス、偶発的な人為的ミスなどの内部脅威、ハッカーによってもたらされるもののような外部の脅威です。サイバーセキュリティは不可欠ですが、リスクを軽減する方法は、鉄道オペレータが詳細な情報を必要とする主題です。業界の確固たるガイドラインや提案を提供するいくつかの関連セキュリティ基準が整備されています。これらの中で、ISA99/IEC 62443は最も一般的に参照される産業セキュリティ規格であり、また、EN 50159規格は特に鉄道システムのための安全関連のネットワーク通信の概要を述べています。セキュリティのべストプラクティスは、これらのセキュリティ規格に記載されているガイドラインに基づいて、接続された各デバイスを強化することです。しかし、ハイコストの発生や、メンテナンス作業が必要なため、必ずしも実現可能とは限りません。

image

列車のセキュリティを簡素化するために、ネットワークのセキュリティを強化する際に列車オペレータが参照できる経験則があるかどうかを検討する必要があります。鉄道業界のサイバーセキュリティのエキスパートが推奨する4つの最も重要な機能を発見するためにお読みください。

鉄道ネットワークを保護するには、強化されたセキュリティ機能、ワイヤレスネットワークの階層化設計保護、多層防御セキュアネットワークアーキテクチャ、使いやすいネットワークマネージメントソフトウェアを備えた堅牢なネットワーク通信が必要です。鉄道ネットワークがサイバー攻撃から確実に保護されるために、これらの対策が効果的に使用されているかどうかを判断することが重要です。

強化されたセキュリティ機能

デバイスのセキュリティを強化する最も効果的な方法は、デバイスと最終的にネットワークを危険にさらす方法で設定を変更できないようにすることです。多くのサイバーセキュリティエキスパートは、IEC 62443規格が、産業ネットワーク上のデバイスを保護する方法に関する最も関連性の高い出版物と考えています。以下は、鉄道業界内に導入されるネットワークデバイスに実装する必要がある最優先事項です。

認証

セキュリティを強化するために実行する必要がある最初のステップの1つは、必要な人だけにネットワーク設定の変更を許可できるようにすることです。同じログイン資格情報をすべてのネットワーク管理者と共有することが比較的簡単であるため、アカウントマネージメントは無視されることがよくあります。しかし、悪意のある人がネットワークを破壊する機会を与えられた場合、これは大きな脆弱性になります。

ネットワークアクセスコントロールと認証

使用管理は、適切な人物がネットワーク設定を変更するために適切なレベルのアクセス権を持っていることを確認するため、認証を介して実装することができます。アクセスコントロールまたは認証方法がない場合は、ゲートを開いてすべての人に重要なエリアへの無制限のアクセスを与えるようなものです。

データの完全性と機密性

複数のデバイスやシステムがネットワークに接続され、データが鉄道システムを監視またはコントロールする鍵となる場合、データは安全かつ確実に送信される必要があります。SSLやVPNを使用するなど、データの完全性を確保するにはさまざまな方法があります。

ワイヤレスネットワークの階層設計保護

列車の乗客は、信頼性の高いオンボードWi-Fiネットワークに接続できることを期待しています。鉄道オペレータは一般的に、このWi-Fi接続のオファーを利用するために余分に支払いたい乗客のための追加オプションとしてこれを提供します。しかし、これはリスクがないわけではありません。乗客のデバイスがオンボードAPに接続されている場合、それらはすべて同じネットワークにアクセスし、悪意のある意図を持つ人が他の乗客の個人データを盗むことが容易になります。従って、同じネットワーク上で乗客の個人デバイスが相互に直接通信するのを防ぐためには、ワイヤレスクライアントの分離が不可欠です。

image

多層防御セキュアネットワークインフラストラクチャ

ネットワークを設計する際、多くのシステムオペレータは、ネットワークを保護する最も効果的な方法の1つは、個々のゾーンとセルを保護するように設計された多層防御(defense-in-depth)セキュリティアーキテクチャを使用する方法であると述べています。多層防御鉄道システムを構築する際に最初に実行すべきステップは、意図的なサイバー攻撃や人為的ミスから保護するためにトラフィックを分離できるように、ネットワークをセグメント化することです。ファイアウォールを使用すると、ネットワーク管理者はネットワークトラフィックを精査するために、ゾーン間の対話を定義できます。列車のオペレーションに基づいて、ネットワークは、セキュリティリスクを軽減するために特定のデバイスまたはゾーン間の通信のみを可能にするために事前構成ができます。

セキュリティ監視のための使いやすいネットワークマネージメント

ネットワークデバイスとトポロジーがセキュリティで保護されていることを確認したあと、システムオペレータがネットワークのセキュリティステータス全体の概要を確認できるように、ネットワークマネージメントポリシーを確立する必要があります。列車の走行中に停止を余儀なくされた場合、鉄道会社に対する巨額の罰金が課せられる可能性があるため、列車が配備される前にこれらの問題に対処することが最も重要です。そのため、鉄道オペレータは、ネットワークマネージメントソフトウェアを活用して、ネットワークのセキュリティステータスの概要を把握できる必要があります。鉄道オペレータが列車のネットワークのセキュリティステータスの概要を把握したあと、サイバーセキュリティの脅威が発生するのを防ぐために機能強化が必要なエリアを簡単に特定できます。

Moxaは、IEC 62443サイバーセキュリティ規格を参照するセキュリティ機能と、不正アクセス、既知のセキュリティリーク、および未知の攻撃を防ぐことができるRADIUS認証といったセキュリティマネージメント機能をネットワークデバイスに提供します。さらに、拡大するオンボードネットワークを安全に保つために、ファイアウォール、VPN、NATオールインワンのセキュアルータを提供し、鉄道オペレータが鉄道ネットワークをセグメント化し、重要なデータを潜在的なリスクから保護することができます。また、クライアントの分離をサポートするオンボードワイヤレスAPを提供し、ワイヤレスネットワークに保護層を付与します。