ForeScout

フォアスカウト
こちらの製品に関するお問い合わせはこちらから
資料請求 お問い合わせ
MENU

Forescout

フォアスカウト

ソリューション 工場セキュリティ

なぜ工場セキュリティが必要か

スマート工場で高まるセキュリティ意識

工場のIoT化の流れは今後益々加速します。様々な機器がネットワークに繋がってくると同時にセキュリティの対策の必要性も急務になります。外部と常時繋がらないとしても、完全な外部との遮断は有り得ません。WannaCry、NotPetyaをはじめとして、生産現場でインシデントが起こりラインが止まると多額の損失を生む事例が散見されています。

日本ではインシデント事例はまだ少ない、と捉えられがちです。しかし、個人情報を漏洩しなければ報告する義務が無いため、実際には報道されていない被害も多いと想定されます。サプライチェーン内でのセキュリティ対策の必要性もますます高まっており、対策が進まないとビジネスにも影響する可能性があります。

企業・組織 詳細 マルウェア名称
大手自動車会社 国内工場にて生産ストップ WannaCry
大手自動車会社 海外工場にて稼働ストップ WannaCry
海外原子力発電所 放射能モニタシステム故障 NotPetya
海外製造業 生産停止(マニュアル操業) LockerGoga

工場に迫るサイバーセキュリティ脅威

工場におけるサイバーセキュリティリスク

安定稼働が大前提で、セキュリティ対策が二の次になっている工場は少なくありません。対策がなされていない多くの工場では既に、感染が広がっている可能性が高いと指摘されています。

下記セキュリティリスクが考えられます。

  • ITネットワーク経由
  • 外部からの持ち込み端末経由
  • 保守業者経由
矢印
  • 生産技術に関する機密情報窃取による競争力低下
  • 生産関連データ改竄による製品不良、物理的な破壊
  • 他のネットワークへの急速な感染拡大による被害最大化
  • 生産、サービス停止による金銭的損失、信用失墜

安定稼働の為にセキュリティ対策を施さないことがかえって工場を脅かしてしまいます。

セキュアな工場を保つために

代表的なセキュリティ対策

対策ソリューション 概 要 対応可能な脅威
アンチウイルス 日々更新されるウイルス定義ファイルを元に照合を行いWindows機に感染する不正ウイルスを検知する。制御システム内のPCやサーバ等へのインストールが必要。 既知の不正プログラムのPCやサーバ等への感染を防ぐことができるが、未知の不正プログラムや不正通信の受信の検知/防御ができない。
アプリケーション
コントロール
事前に許可したファイル以外の実行を防ぐ。制御システム内のPCやサーバ等へのインストールが必要。 PCやサーバ等に対する不正プログラムの感染を防ぐことができるが、別のデバイスからの不正通信の検知/防御はできない。
セキュリティ
パッチ管理
システム内に存在する脆弱性を持つ端末を把握する。 既知の脆弱性を持つ端末を把握する事ができるが、未知の脆弱性(ゼロデイ)を把握する事は出来ない。
外部USBメモリ対策 USBメモリ内部をスキャンする事により、USBメモリを介在する不正プログラム感染を防ぐ。制御システム内のPCやサーバ等へのインストールまたは、敷地内へのスキャン専用装置の設置が必要。 USBメモリを介在してPCやサーバ等に不正プログラムが感染することを防ぐことは出来るが、PCやサーバ等へエージェントをインストールしない限り未スキャンのUSBメモリ持ち込みを防ぐことが出来ない。
ネットワーク分離 各エリアをまたがる通信の内、不要な通信をブロックする為に利用される。導入時にネットワーク構成の変更が必要。 エリアをまたがる通信の許可/拒否の設定により不正通信を防御できるが、利便性や運用上の観点から全ての不正通信を拒否する事が難しい。
ネットワーク監視 工場ネットワーク内の正常通信を学習することにより、システムの可視化や異常通信の検知を行う。導入時にネットワークスイッチの変更が必要な場合がある。 不正プログラム感染や外部端末の侵入により変化する通信を異常として検知することが出来るが、監視対象となる通信を取得する物理媒介がEthernetケーブルに限られる。

ITシステムと違い、稼働を止められない工場ネットワークではソフトウェアの導入等が困難となります。レガシーシステムも多く存在し、個別にセキュリティを施すのも難しいことが一般的です。

必要なのは何かが起こった際に、どこに異常が発生しているかを即座に検知し、どこに影響が及ぶかが把握できるような対策、すなわちこの中でもDPIによるネットワーク監視となります。

DPIという効果的な対策~SilentDefenseソリューション~

導入構成イメージ

既存のシステムに影響を与えず、ネットワーク監視、異常検知、ネットワーク構成図作成、アセット管理等が自動行えるのがDPI(Deep Packet Inspection)製品です。弊社にてご提供するForeScout社SilentDefenseソリューションはネットワークに負荷を与えず、セキュアな制御システムを実現します。

SilentDefenseがもたらすメリット

SilentDefenseは下記機能を有しております。

機 能 概 要 利用用途
ベースライン設定 システム内の正常通信をベースラインとして学習し、そこから外れる通信を異常として検知する機能。 ビルシステムにおける異常をネットワークレベルで網羅的に検知する為に用いられる。
脅威インテリジェンス ビルシステムに対して脅威となり得る攻撃や、攻撃を受ける可能性のある危険な状態を検知する為にメーカによって用意されたシグネチャ。 ベーライン設定と組み合わせて利用する事で、検知した異常の内容をより詳細にユーザに通知する為に用いられる。
ネットワークマッピング 各デバイスをネットワーク構成図にマッピングし、通信方向や各機器の役割と合わせて表示する機能。 異常発生時の被害デバイスの特定およびその復旧や、ネットワーク構成上リスク判定を行う為に用いられる。
アセット管理 各デバイスの持つIPアドレスやMACアドレスに加えて、ベンダ名、通信プロトコル、ファームウェアバージョン等の詳細情報のリストを作成する機能。 サイバー攻撃被害発生時や保守/整備の際に各デバイスの情報を確認するためのアセット台帳とする為に用いられる。
ダッシュボード 検知したアラート内容や通信量等、DPI製品で取得した情報を表やグラフで表示する機能。 ビルシステムの現在の状況や過去からの推移状況を表やグラフで可視化する為の機能。

上記を自動で行うことで、ユーザー様は下記のメリットを享受します。

  • ネットワーク可視化
    システム内のデバイス、通信を識別、脆弱性情報も含めて管理します。
  • 異常検知
    通常通信の学習、監視し、ホワイトリスト、ブラックリストの組み合わせで未知、既知の異常を早期に検知します。

上記をネットワークに負荷を与えないパッシブ構成で実現します。

SilentDefenseソリューションの強み

対応プロトコル数

工場を始めとする制御システムネットワークを流れる通信においては、ITネットワークと違ったOT特有のプロトコルが主となります。他のDPI製品と比べ、当初よりパケットのペイロード部分を解析してきた実績により、プロトコル解析能力が高く評価されております。

製造系通信プロトコル 情報系通信プロトコル
CC-Link (Field, FieldBasic, Control), SLMP, Melsoft, EtherNet/IP, EtherCAT, OPC-AE, OPC-DA, Modbus ASCII, Modbus RTU, Modbus/TCP, Vnet/IP, VNet IP WAN, CDP FTPDATA, FTP, HTTP, MS-SQL, NetBIOS, NTP LDAP, OracleTNS, SMB, SSL, STP, Telnet

※対応していない場合でも、スクリプトによりアセット可視化、検知ルール作成の機能を有しております。

※上記は代表例です。その他についてはお問い合わせください。

各種支援、知見

SilentDefenseは既に多数のユーザー様にご愛顧頂いており、弊社ではナレッジを蓄積しております。

豊富な導入実績、確立されたサポートによって運用支援、導入支援、アセスメントサービスを提供することが可能です。

アセスメントサービスの御紹介

アセスメントサービス

SilentDefenseを活用してそもそもビルがどういった状況かを確認するアセスメントを提供しております。

  • 実現できること
    1. 工場内のネットワーク構成の把握
      サブネット、端末数、通信方向等把握
    2. 工場内の設備の棚卸と管理
      パソコン、サーバ、PLCの詳細情報をリスト化
    3. 工場セキュリティのリアルタイム監視
      工場ネットワーク内の異常を即座に検知、通知

※マクニカネットワークス販売パートナー様と共にご提供させて頂く場合がございます。

報告 イメージ
報告 イメージ

詳細の対策はチラシをダウンロード

~工場内ネットワークセキュリティソリュ―ション
~工場のネットワーク構成・設備情報を可視化・リスクアセスメント!

ダウンロードはこちらから

お問い合わせ先

マクニカネットワークス株式会社
ForeScout 製品担当

045-476-2010