　これまで紹介したように、工場内のコンピュータにおけるセキュリティ脅威には、さまざまなものが存在します。これらは、セキュリティ機器やソフトウェアを何か1つを導入することで対策できるものではありません。通常は、目的や守るべき資産を踏まえて、ファイアウォールやアンチウイルスソフトウェアなどを組み合わせて対策します。

　ここで注意が必要な点は「イーサネットスイッチのセキュリティ機能が適切に設定されていないと、高額なセキュリティ製品を導入しても十分に効果を発揮できない場合がある」ことです。ここでは、ネットワークを介した不正アクセス対策として、イーサネットスイッチでとるべき2つの対策を紹介します。

図3　セキュリティ上の脅威の例　出典：ネットワンパートナーズ

不正アクセス対策1：ネットワークアクセス制御

　「ネットワークアクセス制御」とは、安全な通信、または、安全ではない通信を定義し、イーサネットスイッチを通過する通信を制御することです。この機能は本連載の第4回でも紹介したインテリジェントスイッチで提供される主な機能の一つです。

　工場内のネットワークでは、決まったIPアドレスを使うことが多いため、安全な通信トラフィックのみを許可しておくことが有効な対策となります。図4の例では、緑の矢印があらかじめアクセスが許可された工場内の機器からのデータの流れを示し、赤の矢印が工場の外にあってアクセスが許可されていない機器からのデータの流れを示しています。

　PLCやDCSといったフィールドネットワークに置かれる機器がつながっているスイッチにはあらかじめアクセスを許可する機器のIPアドレス（場合によってはMACアドレス）を登録しておき、それ以外の機器からのアクセスを拒否する設定をします。

　そうすることで万が一、ファイアウォールでのアクセス拒否が失敗してもPLCがつながるスイッチで第2のチェックを設けることができるので、外部からの不審なアクセスを防げる可能性がより高くなります。