工場内の資産を管理するためのセキュリティプラットフォーム

多くの製造業にとってセキュリティ課題となっているのが「工場内の資産を把握しきれていない」ということだ。工場のセキュリティを強化しようにも、対策を行うには現状のリスク分析が必要だが、資産が把握できていなければリスク分析はできない。そこで、今回は把握できていない資産を可視化する代表的な手法を説明する。

　OA環境では、資産管理ツールまたはMDM※1のエージェントソフトウェアを各端末に導入し、そこから吸い上げた情報を基に資産を把握する。その前提として、端末導入時の資産登録や、未登録の端末接続時のアラート通知といった仕組みが設けられている。OA環境ではこれらのルールが徹底されているため、資産の把握・管理を行うことが可能になっているが、工場は違う。

　多くの工場では事前に資産登録を行うプロセスがないだけでなく、資産の導入がシステム単位であったり、導入するベンダーもそれぞれ異なっていたりするため、資産の把握が困難だ。工場新設時には全ての資産が把握できているかもしれないが、時がたつにつれて、新たなシステムの導入や従業員によるさまざまな機器の設置などが行われる。これらの変化を常時把握することは難しいだろう。また、OA環境のように全ての端末に資産管理ツールやMDMのエージェントソフトウェアを導入できるわけではない。ベンダーが導入したシステムの端末にはほかのソフトウェアをインストールした場合、保証対象外になるといった契約があったり、そもそもIoT機器のためエージェントソフトウェアをインストールできないといった制約があったりするためだ。

　今、大手製造業の工場では、IoT機器など工場内の資産を管理するためのセキュリティプラットフォームの導入が進んでいる。おおよそが、工場のネットワークを集約したスイッチのミラーポートに通信データの複製を行うコレクター機器を設置する方式で、既存の工場環境に影響を与えないことを前提としたものだ。

　このプラットフォームでデータ内のパケットの解析やトラフィックの管理を行うDPI※2技術を用いて通信データを分析し、どのようなデバイス（端末やIoT機器）が接続されているか、どのような通信が行われているのかを可視化する。この手法によって、管理されていないデバイスを洗い出すだけでなく、把握していない通信パターンを発見することも可能だ。また、もう一つ重要な点として、通常と異なる通信パターンの検知（アノマリー検知）ができることも挙げられる。異なる通信パターンはサイバー攻撃の可能性があるのだ。

　前述の手法は、工場の形態によって実現方法が少し異なる。そこで、インターネットに接続できないクローズドな環境と、インターネットに接続できるオープンな環境の二つの形態での分析手法について説明する。

【クローズド環境の場合（図1）】

　スタンドアロンの解析エンジン内で通信データの分析が完結する必要がある。この場合、まずは工場における通常の通信パターンを「学習モード」で学習させる。この学習期間は一般的に1カ月程度となっているようだ。この学習期間中に、工場内で接続されている機器やネットワークを流れる通信のパターンを可視化していく。学習期間終了後は検知モードに切り替え、運用を開始する。検知モード運用中に、事前に学習した通信パターンと異なる動きが発見された場合、アラートが上がる。

【オープン環境の場合（図2）】

　スタンドアロンといった制約が外れ、解析エンジンをクラウドに配置したプラットフォームも選択できる。クラウドベースのものの場合は、さまざまな組織に導入されているコレクターが集めた情報をナレッジとして蓄積している。そこには、各組織のデバイスが通常どのような通信を行うのかといった情報が含まれているため、コレクターを新たに導入した場合にも、収集されたデバイスの情報とクラウド上のナレッジ情報とを突合し、通常の通信パターンと異なるようであれば、アラートが上がる。ちなみに、通信パターンが異なる例としては、通信ポートが異なる、接続先が内部IPアドレスではなくグローバルIPアドレスになっているなどだ。この場合Bot感染が疑われる。

　今回紹介したようなプラットフォームは、工場の資産管理とネットワーク管理に役立つだけでなく、セキュリティのリスク分析に活用できる。工場におけるDX推進の前提として資産をしっかりと把握するために、このようなプラットフォームをぜひ活用してほしい。

※1 Mobile Device Management：モバイルデバイスやPCを含めたさまざまなデバイスの管理およびセキュリティ対策機能を提供。
※2 Deep Packet Inspection：ネットワークを流れるデータの分析を行う。