セキュリティと稼働率の両立へ - LANファイアウォールの新潮流 - NEW

重要インフラを狙ったサイバー攻撃は、もはや珍しいニュースではありません。しかし、電力・交通・上下水道といったインフラが攻撃を受けた際の社会的インパクトは依然として大きく、私たちの日常に直結する深刻なリスクです。

このような状況を受け、各国では重要インフラに対するセキュリティ対策を強化する法整備が進んでいます。たとえばEUでは、2024年10月までに「NIS2指令」を国内法に取り込むことが義務づけられており、産業分野の企業も包括的なセキュリティフレームワークと堅牢な対策の導入が求められています。

多層防御と「内部脅威」への備え

産業系のセキュリティガイドラインや法令では、基本的に多層防御 (Defense in Depth) が推奨されています。多くの現場では、ネットワーク境界の強化やゾーニングに注力していますが、内部からの侵入にも注意が必要です。例えば、マルウェア入りのUSBを機器に差し込むだけで、ネットワーク全体が乗っ取られる可能性すらあります。

こうした外部・内部両面の脅威に対応する上で、LANファイアウォールは非常に有効な手段となります。とはいえ、ネットワークパフォーマンスへの影響や運用負荷が課題として浮かびがちです。

ファイアウォール導入で現場が直面する4つの課題

次世代LANファイアウォールは、こうした導入ハードルにどう対応しているのでしょうか？
Moxaでは、4つの懸念点を洗い出し、それに対する具体的な解決策を提案しています。

1：ネットワーク設計の変更が必要になる？

従来のファイアウォールは、既存ネットワークに追加する際、トポロジーの再設計やIPアドレス体系の見直しが必要になることが多く、特に停止が許されないシステムでは導入の障壁となっていました。これに対し、透過モード対応のLANファイアウォールなら、既存構成を変えることなくシステムに追加可能です。

2：通信性能や可用性に影響が出る？

ネットワークに新しい機器を追加すると、起動時間や遅延、環境対応性への影響が心配されます。EDF-G1002-BPシリーズは、30秒で起動し、停電復旧時も通信誤検出を防止。さらにLANバイパス機能により、ハード・ソフトの異常時も通信を止めない設計が施されています。

3：現場に多数あるレガシー機器をどう守る？

IEC 62443やNIS2では、資産の保護やログ保持が求められますが、実際の現場にはOSが古くアップデートできないレガシー機器が多数存在します。この課題に対し、MoxaのLANファイアウォールは、仮想パッチやパターン検知によるIPS (侵入防御) で対応。また、Modbusなど複数の産業プロトコルに対応したDPI (アプリ層検査) で、読取専用などの詳細な通信制御が可能です。

4：脅威検出やネットワーク監視が大変

セキュリティの維持には、ネットワーク状況の可視化と即時対応が不可欠ですが、個別機器での管理は非効率かつ属人化しがちです。Moxaでは、ネットワーク管理ソフトMXview Oneと、セキュリティに特化したMXsecurityで、ファイアウォール管理、ログ監視、アラート通知などを一元的に可視化・自動化できます。

EDF-G1002-BPシリーズで実現する、止めない・守れるネットワーク

MoxaのEDF-G1002-BPシリーズは、こうした現場の悩みを解決する次世代LANファイアウォールです。本製品は透過モードで動作し、重要資産を保護しながら、LAN内部 (東西トラフィック) の安全な通信を実現します。

ネットワーク変更不要の簡単導入

EDF-G1002-BPは、IPサブネットの再構成を必要とせず、既存ネットワークトポロジーを変更せずに導入可能です。2ポート設計により、「バンプ・イン・ザ・ワイヤー (bump-in-the-wire)」型のインライン接続が可能で、重要な機器の手前にそのまま設置するだけでセキュリティレベルを高められます。この設計により、システム構成への影響を最小限に抑えつつ、簡単に導入できます。

ネットワーク稼働率を最大限に確保

起動時間はわずか30秒。これにより、停電からの復旧時にも制御センターとPLC間の異常検出が誤作動しません。また、LANバイパス機能を搭載しており、ハードウェアやソフトウェアの異常時にも通信の中断を防止。この2つの機能により、業務を止めない高い可用性を実現します。

レガシー機器の保護に最適

EDF-G1002-BPシリーズは、仮想パッチ機能付きのIPS (侵入防御) と、産業用DPI (ディープパケットインスペクション) を搭載。これにより、HMIやPLCなどのレガシー機器を現行の脅威から守ることが可能です。IPSは、定義ベースで既知の脅威を検出し、仮想パッチによりシステムの更新を待つ時間を確保できます。またDPIにより、たとえばModbus通信を「読み取り専用」に制限するなど、アプリケーション層での通信制御が可能です。多様な産業用プロトコルにも対応し、現場ごとの要件に応じた柔軟なセキュリティルールが構築できます。

管理のシンプル化と自動化

EDF-G1002-BPシリーズは、Moxaのネットワーク管理ソフトウェアMXview Oneおよびセキュリティ管理ソフトウェアMXsecurityと連携可能です。MXview Oneにより、ネットワーク全体の状態を可視化し、異常時にはリアルタイムで通知を受け取ることができます。MXsecurityでは、ファイアウォールの集中管理や、セキュリティイベントのモニタリングが可能。個別設定によるヒューマンエラーを最小化し、セキュリティポリシーを一元的に適用できます。

EDF-G1002-BPシリーズは、ネットワークのセキュリティ強化と高可用性の両立を実現する次世代LANファイアウォールです。
詳細な仕様や導入事例については、こちらの製品情報 または 技術情報をご覧ください。

製品情報：EDF-G1002-BPシリーズ

技術情報：将来を見据えた産業用ネットワークの再定義