連載
» 2022年06月13日 11時00分 公開

スマート化が進む製造現場でロボットを取り巻くセキュリティを考えるロボットセキュリティ最前線(4)(3/3 ページ)

[渡辺紀/ネットワンシステムズ,MONOist]
前のページへ 1|2|3       

 また、具体的な対策としては、「感染の防御」「感染の発見」「脅威の駆除」の3つのカテゴリーで対策を進めていくべきである。

感染の防御

 「感染の防御」は「マルウェアを侵入させない、侵入されても感染させない」ということを目指す取り組みだ。

 具体的な取り組みとしては、まずロボットやロボットコントローラーを含め、全てのデバイスでID、パスワードが設定できるモノは、必ずID、パスワードを設定するということが前提だ。特に管理者権限のIDにデフォルトパスワードが設定されている場合は、それを変更するところから始めるべきだ。

 また、デバイスで脆弱性が報告されている場合は、対策済みファームウェアへアップデートすることが必要だ。工場内の通信は通信相手が決まっているはずなので、特に外部との通信経路と通信内容を明確にし、外部との通信接点にファイアウォールなどで通信制御を実施し許可されていない通信は遮断すべきだ。同時に、IPS/IDSを使っての許可された通信フローの中身のチェックを実施する。

 さらに不特定多数の人が出入りする生産現場であるため、入退出の管理、持ち込みデバイスの制限、未使用のイーサネットポートの遮断といったフィジカルセキュリティも必要となる。決められたデバイス以外がネットワークに接続できないように、ユーザー認証、MAC認証を使い、ネットワークそのものへの不正アクセスの制限なども効果的だ。

 最近は、リモートメンテナンスの仕組みを使って外部からネットワーク越しにデバイスの保守も行われるケースがあるが、これに対しても、誰がいつアクセスして、どのくらいのデータをやりとりしたかを管理する仕組みも必要になる。AGVなどで無線LAN環境を利用する場合も、役割ごとにSSIDを分けて、通信の暗号化、有線LAN同様にMAC認証で不正アクセスを予防する必要がある。

感染の発見

 「感染の発見」は、マルウェアなどに感染してしまったデバイスをいかに早く検知するかということだ。

 工場環境では、一般的にはデバイスにアンチウイルスソフトやEDR(Endpoint Detection and Response)の導入が難しいとされている。ただ、生産制御に直結しない機器には、これらを導入することは可能であり、それを推奨する。データ収集用やプログラム保管用などレスポンスが工場の稼働に関係しない機器も数多く工場内でネットワーク接続されており、こうした機器はITでも使われるセキュリティ機能を積極的に採用していくべきだ。

 古いOSなどでデバイスレベルでのエンドポイントセキュリティが実装できない場合は、感染デバイスがその影響による不適切な動作を、他デバイスやネットワークで検知する必要がある。ネットワーク検知では、IPS/IDSやNDR(Network Detection and Response)が効果的だ。工場内での通信パターンを把握して、ネットワーク検知ポイント決め、不適切な振る舞いを検知できるようにする。

脅威の駆除

 「脅威の駆除」とは、デバイス内でマルウェアを発見して排除するか、感染したデバイスをネットワークから切り離すことを示す。

  工場では、感染したデバイスをネットワークから切り離すことで生産に大きな影響が出たり、物理的に危険を伴ったりすることがある。この場合は、感染したデバイスだけを切り離すのではなく、影響や危険を排除可能な範囲を見極め、サイバー攻撃の被害が他へ拡大しないようエリアでの切り離しを行う。こうした切り分け範囲も事前に想定しておくことが万が一の場合に役立つことになる。

ITリソースの活用で工場を守る

 ロボットを含めた工場内のデバイスは、今まで以上にネットワーク経由で外部連携をしていくことになるだろう。工場内のシステム構築も生産の最適化だけに注力するだけでなく、セキュリティも含めたITシステム構築が重要になってくる。特にセキュリティに関しては、ITで利活用されている技術をOT環境の要件に合わせて展開する必要がある。工場において正しく「感染の防御」「感染の発見」「脅威の駆除」を進めていくためには、ITとOTの両環境に対して知識を持ち、会社全体として工場のセキュリティを考え、ITリソースを最適活用していくことが重要だ。

≫連載「ロボットセキュリティ最前線」の目次

筆者紹介

photo

渡辺 紀(ワタナベ タダシ)
ネットワンシステムズ株式会社 セールスエンジニアリング本部 市場戦略部 シニアエキスパート

大手ネットワーク機器メーカー、製造業向け通信機器メーカーを経て2019年にネットワンシステムズへ入社。主に生産現場向けのネットワークの企画、構築を中心としてエンジニアリング、ビジネスデベロップメントに携わる。現在は製造業界向け市場戦略策定に従事。


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.