ページの本文へ

Hitachi

セキュリティ

工場向けIoTセキュリティ

工場の操業停止を防ぐため、工場現場の特性を考慮した多層防御策の実施や、
現場担当者のインシデント対応を支援するソリューションを紹介します。

工場へのIoTの浸透によるサイバーセキュリティ脅威の増大

IoTの急速な進展により、あらゆるものがインターネットにつながる世界になりつつあります。近年の製造現場においても、生産性や品質の向上、熟練者のノウハウ継承などを目的としたIoTの導入が進んでいる一方、生産設備やOT(制御系)システムが情報系ネットワークにつながることで新たなセキュリティ脅威が増大しています。

[製造現場におけるセキュリティの課題]・工場内ITインフラの実態が把握できていない。・工場における現状のサイバーセキュリティリスクが分からない。・既存の設備への影響を考えるとセキュリティ対策が難しい。日立のご提案→日立の社内工場で実証を重ねて得られた知見と、お客様工場でのセキュリティ対策の実績を基に工場に潜むセキュリティリスクの見える化、セキュリティリスク低減策の実施、運用体制の整備を支援します。

工場向けIoTセキュリティにおける対策のポイント

工場現場はOA環境と異なる特色を持っています。たとえば、セキュリティソフトの導入やパッチの適用においては、機器の特性やネットワーク設計の影響で対応が難しいことや、工場現場にはIT専任の担当者がいないことなどが挙げられます。
このような課題に対し、日立は工場ごとにその実態に合った工場向けIoTセキュリティの導入や運用が提案できます。

日立の提供する工場向けIoTセキュリティは以下の3点で構成されます。

[工場向けIoTセキュリティの概要と流れ]1.現状把握:コンサルティングで弱点を知る→2.多層防御/検知:リスクの発生を抑制→3.運用・対処:インシデント検知と対処を支援 現状把握の詳細へ 多層防御/検知の詳細へ 運用・対処の詳細へ

現状把握コンサルティングで弱点を知る

多くの企業が工場現場の実態把握に課題を感じています。

お客さまの望むセキュリティレベルに底上げするために、工場の操業継続、事業継続などの観点にサイバーBCPの視点を取り入れ、日立はリスクアセスメントを実施し、日立の社内工場のノウハウとIEC 62443などの国際標準規格を活用しながら、お客さまのセキュリティ対策計画の立案を支援します。

担当するコンサルタントは制御システムセキュリティ規格の国際標準化活動をはじめとした対外活動への参画や、社内外へのコンサル経験をもとに質の高いコンサルティングサービスを提供します。

コンサルティングの流れ:Step1[課題]どこから手を付ければよいかわからない→[対応策]評価対象定義:ヒアリングによるモデル化(・「事業継続の観点で起こってはいけないこと」を出発点としてビジネス観点のヒアリングを実施。・評価対象となるシステム(設備)の定義。・システム内部の資産をモデル化。)→Step2[課題]なにを気にしたらよいのだろう→[対応策]脅威抽出・リスク評価:脅威の抽出およびアセスメント(・事業継続の観点から、リスク分析を実施。・評価対象に発生しうる脅威からリスクの算出。・実施済みセキュリティ対策と突き合わせ。)→Step3[課題]人財の育成を含め、どのような対策をしたらよいのだろう→[対応策]対策方針立案:規格・ガイドラインに基づいた対策の検討(・工場現場での対策箇所を明確化。・IEC 62443などの国際規格をベースに対策を選択。・対策目標・スケジュールの策定。)→対策実行

工場向けコンサルティングの流れ

  *
BCP : Business Continuity Plan

多層防御 / 検知リスクの発生を抑制

工場現場においては、現場の運用を考慮しつつ、ネットワーク設計を行い、設計に基づいたセキュリティ対策が重要になります。日立では、社内外のさまざまな工場で得た知見を基に、制御用侵入検知システムを導入するなどのITシステムでの対策だけでなく、物理セキュリティ対策や運用ルールなどを策定することでセキュリティ向上をめざします。

ネットワークの接続例とセキュリティ対策のご提案:[ネットワークの接続例]FireWallを介してインターネットに情報ネットワークが接続されています。情報ネットワークには業務PC、業務システムが接続が接続されています。情報ネットワークはFireWallを介して制御DMZ(DeMilitarized Zone)に接続されています。制御DMZには監視サーバー、データ中継サーバーが接続されています。また、情報ネットワークおよび制御DMZは、FireWallを介して制御情報ネットワークに接続されています。制御情報ネットワークには不正接続検知装置が接続されています。また、制御情報ネットワークは、ユーザー閲覧環境・制御サーバー・制御用IDS(Intrusion Detection System)を介して制御ネットワークに接続されています。制御サーバーにはUSB機器管理装置が接続されています。制御ネットワークにはPLC(Programmable Logic Controller)を介してセンサー・アクチュエーターが接続されています。[各ネットワークにおけるセキュリティ要件と対策案]〇制御DMZ→セキュリティ要件:社内ネットワークとの分離。日立のご提案:セグメント分割し、セキュリティ緩衝エリアを実装。〇制御情報ネットワーク→セキュリティ要件:各種制御機器の統合的管理。日立のご提案:・USBメモリーなどの媒体検疫。・不正端末の検出。・通信の可視化(セキュリティ脅威検知と資産管理)。・無線LANの管理。・ウイルス対策の実装。・ログ取集と分析。〇制御ネットワーク→セキュリティ要件:各種制御機器の安定稼働。日立のご提案:・入退室管理などの物理セキュリティ対策。・通信の可視化(セキュリティ脅威検知と資産管理)。・セキュリティルールの策定。

多層防御の実装イメージ

  *
DMZ : DeMilitarized Zone
  *
PLC : Programmable Logic Controller
  *
IDS : Intrusion Detection System

運用・対処インシデント検知と対処を支援

インシデント発生時の対応では、検知から対処まで迅速かつ確実に行うことが重要です。
日立では、工場の運用に即した対策を実施することで、セキュリティ対応の気付きを提供します。
これにより、インシデント発生時の検知、資産管理情報の取得、脅威分析の高度化を可能にします。

インシデント発生時の対応フローと対策のご提案:[対応フロー]現場ネットワーク管理者がインシデント発生を検知します。その後トリアージと調査を行います。調査段階では、必要に応じてIT部門/SOC(Security Operation Center)に調査支援を依頼します。IT部門/SOCは依頼を受けて分析結果を現場ネットワーク管理者にフィードバックします。現場ネットワーク管理者は、調査結果を基にインシデントへの対処を行います。この時、必要に応じてIT部門/SOCに対処案の作成支援を依頼します。IT部門/SOCは依頼を受けて現場ネットワーク管理者に対処案を提示します。現場ネットワーク管理者は、対処案を基にインシデントへの対処を実行します。[日立のご提案]〇インシデント検知:制御用侵入検知システムの導入、アラート機能の実装。〇現場ネットワーク管理者によるトリアージおよび調査:資産管理機能の実装(制御用侵入検知システムを活用)。〇IT部門/SOCによる調査支援:運用体制の構築支援。

現場におけるインシデント対応フロー

  *
SOC : Security Operation Center