産業用セキュリティ 企業のあらゆるエリアにおけるサイバーセキュリティの重要性は、近年著しく増大しています。同時に、ネットワーク化とデジタル化の加速により、攻撃に対し脆弱なポイントが増えています。攻撃方法も、ますますプロフェッショナルになっています。さらに、企業はサイバー攻撃から自社を保護するよう法律で要求されています。産業用セキュリティは、妨害行為、ダウンタイム、データ損失を防止し、財務上の大幅な損失から企業を保護することができます。
ITとOTの組合せ
貴社のセキュリティは、IT(情報技術)とOT(オペレーショナルテクノロジ:運用・制御技術)という2つの異なる世界を基盤としています。ネットワークとシステムを適切に保護するためには、両方の世界を考慮する必要があり、包括的なセキュリティコンセプトが必要となります。有効で効率的な手法は、調和のとれた対策を通じてのみ開発可能です。
IEC 62443シリーズの国際規格は、設計から導入、管理に至るまで、産業用オートメーションシステム(ICSシステム)の安全な運用をサポートすることを目的としています。この目的に向けて、コンポーネントメーカー、システムインテグレータ、およびオペレータに対する基本的な要件を定めています。IEC 62443は、主にITセキュリティのルールで構成される規格ISO 27001に基づいています。2つの規格は共に、サイバー攻撃から保護するための総合的なアプローチを提供しています。
当社のホワイトペーパーでは、これについての詳細、対策の主要エリア、総合的なサイバーセキュリティコンセプトの実施成功に向けた初期の推奨措置について説明しています。
データ保護はあらゆる産業に影響を与えます ホットスポットをクリックして詳細をご覧ください
ネットワーク化は重要な機会を与える一方で、リスクも生まれます。
生産性の向上や柔軟性の向上など、ネットワーク拡大のメリットは明らかです。ただし、ネットワークの拡大とその結果としてのITとOTの統合は、企業ネットワークにおいて攻撃に対して脆弱なポイントがより多くなることを意味します。
犯罪者は、IIoT(産業向けIoT)の潜在的な脆弱性を悪用することに繰り返し成功し、企業やインフラにアクセスすることができるようになっています。これにより、産業システムをハッカーの攻撃やマルウェアから保護しながら、同時に大規模なオートメーション環境をネットワーク化する方法についての疑問が生じます。最大の脅威および考えられる予防策の概要について以下のポイントで解説しています。
オフィスからの誤動作
例えば、オフィス環境からの誤動作やウイルスが製造エリアに直接移る可能性があります。
ソリューション:ネットワークセグメンテーション
大規模なネットワークを小さなセグメントに分割することで、さまざまなゾーン間のデータ交換(例:製造現場とオフィス間や異なるシステム部品間)のデータ交換を制御することができます。個々のセグメントは、VLANまたはファイアウォールを使用して分離することができます。次に、個々のネットワークセグメント間の通信を行うには、ルーターまたはレイヤ3スイッチを使用する必要があります。これらの機器は、一般的なネットワークエラーを阻止して、他のネットワークにまで広がってしまうことを防ぎます。
ハッカーによる攻撃
犯罪者は、オープンなインターネット接続経由でデータをコピーしたり、システムに変更を加えたりすることができます。
ソリューション:暗号化されたデータの伝送
インターネットからオートメーションシステムへのアクセスはできないようにする必要があります。インターネットアクセスにファイアウォールを使用することで、この保護を実現することができます。これにより、すべての受信トラフィックと発信トラフィックが必要かつ許可された接続に制限されます。広域の接続はすべて、例えばIPsecを使用したVPNにより暗号化する必要があります。
感染したハードウェア
USBスティックやラップトップなどのハードウェアが感染した場合、マルウェアがネットワークに転送される可能性があります。
ソリューション:ポートを保護する
ポートのセキュリティ機能を使用すると、ネットワークコンポーネントに直接設定することができ、不明な機器がネットワークとデータ交換を行うのを防ぐことができます。さらに、使用可能なポートで不要なものは、すべてオフにする必要があります。一部のコンポーネントは、ネットワークへの不正アクセスが登録されている場合に、SNMP経由でアラートを送信し、信号用コンタクトを送信するオプションも提供します。
システムへの不正アクセス
遠隔地から不注意で間違ったシステムに変更が施されています。
ソリューション:安全なリモートアクセス
さまざまな技術ソリューションを使用して、1台以上の機械への安全なリモートアクセスを実装することができます。まず、アウトバウンド通信は、例えば、IPsecまたはOpenVPN経由で暗号化することができます。次に、リモートメンテナンスは、機械のキースイッチを介して開始することができます。
これにより、機械に対して意図した変更のみが行われることが確実になります。同時に、キースイッチにより、リモートメンテナンスが実行されている間にネットワーク内の通信ルールを遮断することも可能になります。
モバイルエンド機器
無許可のスマートデバイスは、WLANインターフェース経由で接続します。
ソリューション:安全なWLANパスワードの割当て
WLANパスワードが知られていて、かつ長期間変更されていない場合、第三者が機械のネットワークに制御不能なアクセスをすることができるようになります。したがって、フエニックス・コンタクトのWLANコンポーネントを使用することで、機械制御システムによる自動キー管理が可能になります。ワンタイムパスワードおよびDMZによりモバイルエンド機器を安全に統合
さらに、非武装地帯(DMZ)を利用して、WLAN通信をネットワークの他の部分から保護し、隔離することができます。
サイバーセキュリティは法制化中 重要インフラについては、サイバーセキュリティの実施はすでに義務にとどまりません。
製造、製品、顧客データのデジタル化は企業の付加価値を増す上で決定的な要因の1つです。したがって、データには特別な保護が必要となります。
欧州委員会はこれを認識し、2020年12月にサイバーセキュリティに関する欧州の戦略を示しました。ここでは、サイバー攻撃に対するコンポーネント、システム、企業の防御の可能性とセキュリティについての基準が定義されています。重要インフラについては、サイバーセキュリティの実施に関する法的要件が年月をかけて確立されてきました。現在は、新しいEUのネットワークおよび情報セキュリティ指令であるNIS 2によりこれが拡大されています。しかしながら、NIS 2指令の高い要件は、使用されている製品がセキュリティ・バイ・デザインに準拠して開発されている場合のみ満たすことが可能です。EUはこの課題に対処するため、サイバーレジリエンス法(CRA)を制定しました。新たなEU機械規則はCRAを補足するものですが、ここでも機械は製品とみなされています。
360°のセキュリティ―妥協のない包括的な製品ラインアップ
サイバー攻撃からの適切な保護は、技術的・組織的な対策が相互に連携して初めて実現されます。そのため、当社では360°のセキュリティを提供します。これにより、システムの保護が簡素化され、あらゆる側面からシステムを保護することができます。
安全なサービス
研修を受けた知識豊富な当社のセキュリティスペシャリストが、システム内の特定のセキュリティリスクを最小限に抑える方法についてアドバイスし、ご要望に応じてセキュリティコンセプト(IEC 62443-2-4に準拠して認定)を開発します。当社の知識をトレーニングコースでお客様と共有することで、お客様の従業員にサイバーセキュリティについての最新情報を提供することができます。
安全なソリューション
当社のセキュリティコンセプトは、ゾーンコンセプト、データフロー制御、強化されたコンポーネントの使用などを活用して、お客様の重要なプロセスを保護します。安全なプロセスも確立され、文書化されています。
安全な製品
セキュリティは製品の全ライフサイクルに組み込まれています。安全な開発プロセス(IEC 62443-4-1に準拠して認証)から始まり、重要なセキュリティ機能の統合、定期的なアップデートやセキュリティパッチを含みます。
LinkedIn:産業用通信とサイバーセキュリティ 当社のコミュニティに今すぐご参加ください。
産業用通信ネットワークは、フィールドから制御レベル、そしてクラウドに至るまで、データを確実に伝送することができます。当社の__産業用通信とサイバーセキュリティ__のLinkedInページでは、ネットワークの可用性、サイバーセキュリティ、リモートメンテナンスなど、魅力的な情報を配信しています。当社のコミュニティにご参加ください。