“スマートファクトリー”に必須となる制御ネットワークセキュリティのカギとは?制御システムセキュリティ

セキュリティ犯罪の脅威は、今や情報システムだけでなく製造現場を支える制御システムにも及んでいる。この課題に向けて日立製作所が提供するのが「NX NetMonitor」である。利用が認められていない不正な機器やPCの自動排除など、既存ネットワークに監視装置を“置くだけ”で、高度なセキュリティを確保することができる。

» 2014年04月10日 10時00分 公開
[PR/MONOist]
PR

オープン化によって生まれた“今そこにある危機”

 かつてウイルス感染やネットワークへの不正侵入といったセキュリティ犯罪といえば、愉快犯的なものが多かったが、現在では、個人情報や機密情報の漏えいや改ざんなど、企業や社会に甚大な被害を与える脅威となっている。今、特に考えなければならない問題となっているのが、社会インフラや工業プラント、製造現場などを支える制御システムのセキュリティ対策だ。

日立製作所 インフラシステム社 制御セキュリティセンタ センタ長 中野利彦氏 日立製作所 インフラシステム社 制御セキュリティセンタ センタ長 中野利彦氏

 これまでの制御システムは、クローズドなネットワークの中で運用され、セキュリティ犯罪の直接的な脅威から守られてきた。しかし、ITのオープン化や社会インフラのスマート化といった潮流の中で、制御システムの中にも情報システムと同様のコモディティ化したPCやサーバ、イーサネットなどの標準技術が次々と導入されているのである。

 日立製作所 インフラシステム社 制御セキュリティセンタのセンタ長を務める中野利彦氏は、このように警鐘を鳴らす。

 「製造業の生産ラインや各種装置、センサーなどをつなぐネットワーク部分にも、省配線とするために無線LANが普及してきています。もはやネットワークを物理的に“閉じる”ことは不可能であり、サイバーテロ行為のターゲットとなる可能性は否定できなくなっています。オープン化や無線LAN化によりネットワーク監視の緊急性が高まっているのです」。

 制御システムに対するセキュリティ犯罪は、まさに人命にかかわる脅威となる。中野氏の言葉にあった“サイバーテロ行為”も、決して大げさな表現ではない。

 例えば、発電所や変電所の制御システムに不正侵入され、さまざまな機器の制御出力が悪意によって操作された場合、大規模停電を引き起こす可能性もあり得ない話ではない。工場現場では、製造装置が制御不能に陥り作業者に危険が及ぶこともあるかもしれない。もちろん、実際の制御システムは、異常が発生した場合に当該機器をネットワークから切り離して個々に自律制御を行うなど、幾重もの安全策が施されているわけだが、それでもリスクの芽は徹底的につぶしておく必要がある。

「入らせない」「不正をさせない」セキュリティ対策を容易に実装

 それでは、制御システムのセキュリティ対策には、具体的にどんな要件が求められるのだろうか。

日立製作所 インフラシステム社 制御プラットフォーム設計部 主任技師 外岡秀樹氏 日立製作所 インフラシステム社 制御プラットフォーム設計部 主任技師 外岡秀樹氏

 「一番重要なのは、データが拡散するネットワークのゾーン全体を安全な状態に保たなければならないことです。機器単位の不正侵入防御やPC単位のウイルス対策といったポイントソリューションでは、脅威を排除することはできません」と中野氏は指摘する。さらに「既存システムに与える影響を最小限に抑えなくてはなりません」と強調するのは、インフラシステム社 制御プラットフォーム設計部の主任技師である外岡秀樹氏だ。

 「新規に制御システムを構築するのであれば、そこにセキュリティ対策を組み込むことは、それほど困難なことではありません。しかし、プラントや工場の製造ラインの運用を支えている装置や機器は、10年以上といった長期にわたって使われることも珍しくありません。オフィスのPCやサーバのように、3〜5年のサイクルで更新してパフォーマンスやリソースを増強するといったことは容易ではなく、後から加わるセキュリティ対策が既存のネットワークに負荷を与えるものであってはならないのです。また、プラントや工場などの現場にITの専門家がいるとは限らず、制御システムの管理者やオペレーターが自ら運用していくことが可能な仕組みでなければなりません」(外岡氏)。

図1:2×3セキュリティの実現モデル 図1:2×3セキュリティの実現モデル。開発と運用という2つのフェーズにおいて、機能、環境、組織・人という3つの観点で脅威に対策する(クリックで拡大)

不正機器監視&強制排除システム「NX NetMonitor」

 この課題に向けて、各種プラントや製造ラインを支える制御システム向けセキュリティ対策のソリューションとして、日立製作所が提供しているのが不正機器監視&強制排除システム「NX NetMonitor」だ。

日立製作所 インフラシステム社 制御プラットフォーム設計部 担当部長 清水勝人氏 日立製作所 インフラシステム社 制御プラットフォーム設計部 担当部長 清水勝人氏

 日立製作所 インフラシステム社 制御プラットフォーム設計部の担当部長を務める清水勝人氏は「当社は長年にわたり社会インフラの構築や保守に携わってきました。その中で多くの顧客の制御システムを手掛けてきた経験と知見からセキュリティ対策のあるべき姿を描き、開発を続けてきた製品です」と紹介する。

 ちなみに、日立製作所 インフラシステム社が拠点とする大みか事業所は、「情報と制御の融合」を推進する日立製作所の中においても最先端を走る“スマートファクトリー”として知られている。こうしたスマートファクトリーを具現化していく上で欠かせない、制御ネットワークセキュリティ対策の技術やノウハウがNX NetMonitorに注ぎ込まれているというわけである。

 NX NetMonitorは、既存ネットワーク環境に設置するだけで、制御システムに一切変更を加えることなく簡単に導入することができることが特長だ。用途に合った製品を選択することで、数万台の機器を接続した大規模な社会インフラから、一般的な製造業や自治体などにおける数千〜1万台規模の事業所内ネットワーク、流通販売やサービス業における1000台程度の複数拠点をまたいだネットワーク、サーバ数十台といった工場や研究所などの拠点内ネットワークまで、あらゆる要件に対応することが可能だ。タイプを問わず導入・維持が容易であり、システムインテグレーションにあたるSEの工数削減にもつながる。

 実際、産業や電機、学校、商社などを中心に、NX NetMonitorの導入実績は、既に500社を超えているという。

「入らせない」NX NetMonitorのコンセプト

 NX NetMonitorのセキュリティコンセプトは、制御系ネットワークの入口となる情報制御ネットワークに位置し「入らせない」ということだ。

図2:セキュリティポイント 図2:制御システムにおけるセキュリティ実装ポイント。制御システムをゾーン分割し、ゾーン出入口とゾーン内のネットワーク、ゾーン内コンポーネントにセキュリティ施策を実施する必要がある(クリックで拡大)

 「入らせない」とは、ネットワークに不正接続しようとする機器やPCの自動排除だ。

「IPアドレスやMACアドレス、ワークグループ、機器名称、時間情報など、機器をユニークに識別できる情報を読み取り、資産管理台帳(ホワイトリスト)に登録されていない不正な機器やPCを即座に排除します。もちろん、動的なアドレス環境(DHCP)や無線LAN環境にも対応することが可能です」(清水氏)。

 NX NetMonitorの特長は、資産管理台帳(ホワイトリスト)を設定するに当たり、必ずしもIT資産管理ソフトウェアなどを別途導入する必要がないことである。一定期間のテスト運用を通じてネットワーク上にある機器の情報を収集し、資産管理台帳(ホワイトリスト)を自動生成することが可能なのだ。また、その後の各機器のさまざまな利用状況を想定し、監視ポリシーを柔軟に設定・変更することができる。例えば、頻繁に場所を移動する機器については、「IPアドレスの変化は許容してMACアドレスで監視を行う」、一時的なPC利用については「自動切断までの有効期限を設ける」といった監視ポリシーのバリエーションを設定することができる。

日立が一貫開発しグローバル進出の輸出手続きも簡素化

 では、NX NetMonitorを導入するにはどのような機器を購入すればいいのだろうか。NX NetMonitorには、デスクトップタイプの「HF-Wシリーズ」ならびに小型デスクトップタイプの「HF-BTシリーズ」の統合運用端末から、ボックスタイプ「HF-BXシリーズ」などの監視装置まで、多彩な日立製作所のハードウェアと組み合わせたラインアップが用意されている。

 「ボックスタイプはもとより、統合運用端末タイプのハードウェアについても、日立製作所自身が長期保守をお約束している高信頼の産業用コンピュータをベースにしています。さらに、ほとんどのコンポーネントが日立製作所自身の設計・開発によるものであり、外部のセキュリティリスクから完全に隔離された“無菌環境”で組み立てや設定が行われています」(中野氏)

HF-WHF-BTHF-BX 多彩なハードウェアのレパートリー。デスクトップタイプの「HF-Wシリーズ」(左)小型デスクトップタイプの「HF-BTシリーズ」(中央)とボックスタイプの監視装置「HF-BXシリーズ」(右)までを用意

 卓越したセキュリティレベルを担保するとともに、「NX NetMonitorと、それと組み合わせて提供するハードウェアは、外為法など輸出手続きに必要な書類の準備が可能なだけでなく、UL、CEマーキング、CCC、KCマークなど海外の安全規制にも適合したモデルも準備」(中野氏)という、重要なメリットを生み出しているのである。

 昨今、規模の大小や業種を問わず、あらゆる製造業にとってグローバル化は避けて通ることができない課題となっている。新興国に展開した製造拠点や販売拠点、あるいは小規模な現地駐在所のPC環境にもNX NetMonitorを設置することで、日本と同等のセキュリティレベルを確保できるのである。制御システムに1本と言わず、「モノづくりに関連する装置や機器のある場所の必需品」として、NX NetMonitorの導入をぜひ検討してみてはいかがだろうか。

この記事に興味のある方にオススメのホワイトペーパー

【ホワイトペーパー】日立グループが取り組む、制御システムにおける「2×3セキュリティ実現モデル」とは?

ネットワーク化が進む制御システムについて、社会インフラを手掛ける日立グループでは、要求されるセキュリティ要件を整理し、その実現方針をモデル化してきた。

ホワイトペーパーダウンロード

Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社日立製作所
アイティメディア営業企画/制作:MONOist 編集部/掲載内容有効期限:2014年5月16日