デジタル化が進む工場のための
セキュリティ強化策

工場のセキュリティを強化するに当たり重要となる対策は複数挙げられる。前回紹介した資産の把握はその中の一つだ。今回は、資産を把握した後に実施すべき対策の一つである「不正接続防止」について説明する。

既存の機器を活用した資産把握

 前回からの繰り返しになるが、工場においてセキュリティ対策を行うには、まず資産の把握が必要だ。予防対策やインシデント対応・復旧など、どれを行うにしても資産を把握していなければ実施は困難となる。そこで本題に入る前に、資産の把握について、前回紹介したものとは異なる方式を説明する。

 今回紹介するのは、既存のネットワーク機器(ネットワークスイッチや無線LANアクセスポイント、UTM※1、SIEM※2など)からSNMP※3/CLI※4/Syslog/API※5/DHCP※6といったインターフェースを用いて情報を収集する方式だ。図1のように、NAC※7を利用することで、エージェントやコレクターを用いずに資産を把握できる。

工場における不正接続のリスク

 ここから今回の本題となる、資産把握後に実施すべき対策の一つ「不正接続防止」について紹介する。

 工場には多くの従業員やシステムベンダーが立ち入るため、本来許可されていないPCやタブレットなどが接続されるケースは少なくない。そのような中、未許可デバイスの接続(不正接続)に対策しないままでいるとネットワークやデバイス経由のマルウェア感染につながってしまう恐れがある。

不正接続防止のための具体策

 不正接続防止のためには、未許可デバイスを接続させない、接続しても未許可デバイス専用セグメントに隔離するといった二つの方法が考えられる。これらも先ほどの資産の把握と同様、NACで実現できる。まずは、一つ目の方法について説明する。

○未許可デバイスの接続拒否
経済産業省が発表している「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」ではネットワークにおけるセキュリティ対策の例として、「IP、MAC※8制限」を強度:中、「+接続機器の論理証明、+接続機器の信頼性確保」を強度:高の対策として紹介している。それぞれもう少し具体的に見ていこう。

<IP、MAC制限>
→IPアドレスやMACアドレスでフィルタリングを行う方式。しかしMACアドレスは偽装が比較的容易であり、また通信パケットからの推測も可能なため、IPアドレスも併せてフィルタリングすることが望ましい。

<+接続機器の論理証明、+接続機器の信頼性確保>
→IP、MAC制限に加えて実施する。
論理証明としては、ネットワーク接続時の多要素認証、デバイス証明書による認証、接続可能日時制限などがある。
信頼性確保については、接続する機器がウイルスに感染していないことの確認(検疫)や、OS・アプリケーションのアップデート状況などのチェックがある。運用途中で、マルウェアの感染が確認されたり、OS・アプリケーションが古いと判断されたりした場合には、ネットワークから切り離すといった対策も必要となる。

 次に、二つ目の方法について説明する。

○未許可デバイス専用セグメントへの隔離
未許可デバイスが接続された場合、専用のセグメントに隔離することで、マルウェアの内部拡散など、ほかのネットワークセグメントへの悪影響を避けられる(図2)。

 不正接続には、もう一つ忘れてはならないものがある。USBデバイスなどの可搬媒体への対策だ。特にUSBメモリーは、OSやアプリケーションのアップデートや各種ログの収集など、さまざまなシーンで利用されている。詳細は次回説明するが、対策として使用可能なUSBメモリーの制限が必要となる。

図1:NACによる資産情報の収集
図2:NACによるデバイスの隔離およびセグメンテーション

進むデジタル化と工場セキュリティ

 デジタル化が進む中、円滑な業務の推進や、システムベンダーとの信頼関係維持のためにも、不正接続防止は重要だ。デバイスの接続ルールをしっかりと決めて啓発を行うとともに、システム面でも対策してほしい。

※1 Unified Threat Management:複数の異なるセキュリティ機能を一つのハードウェアに統合し、統合脅威管理を行う。
※2 Security Information and Event Management:さまざまなデバイス・サービスのセキュリティイベントをリアルタイムに監視、分析し、セキュリティリスクを可視化する。
※3 Simple Network Management Protocol:ネットワーク監視情報を通知する通信プロトコル。
※4 Command Line Interface:コンピュータとユーザーが情報をやりとりするためのコマンドラインインターフェース。
※5 Application Programming Interface:あるソフトウェアやサービスの機能を呼び出して利用したり、情報をやりとりしたりする仕組み。
※6 Dynamic Host Configuration Protocol:デバイスに対し、自動的にIPアドレスを割り当てる仕組み。
※7 Network Access Control:ネットワークに接続するデバイスを識別し管理・制御を行う仕組み。
※8 Media Access Control address:ネットワーク機器に割り当てられた識別番号。

<参考>
経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」
https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline.html