学習機能でホワイトリストを自動生成、制御システムの保護を容易に:SCF2015
アラクサラネットワークスはオートメーション技術の展示会「SCF(システムコントロールフェア)2015」において、セキュリティセンターと共同開発した、制御システムネットワークを簡単に外部/内部のサイバー攻撃から守ることができる「ホワイトリスト機能」を用いた自動セキュリティソリューションを展示した。
アラクサラネットワークスはオートメーション技術の展示会「SCF(システムコントロールフェア)2015」(12月2日〜4日、東京ビッグサイト)において、制御システムセキュリティセンター(CSSC)と共同開発した、制御システムネットワークを簡単に外部/内部のサイバー攻撃から守ることができる「ホワイトリスト機能」を用いた自動セキュリティソリューションを展示した。
同社は制御システムネットワークなど、社会インフラを支えるネットワークをサイバー攻撃から守るために、ホワイトリストによるネットワーク保護を容易に可能とするホワイトリストの自動生成機能を、ボックス型L2スイッチ「AX2530Sシリーズ」上に実装して提供する。
制御システムネットワークはその規模やシステムの特性から、ファイアウォールの導入などネットワーク構造を全面的に変更してセキュリティ対策を行うことは困難な場合が多い。このため既存のネットワーク構造を変更せずに、LANスイッチの入れ替えのみでセキュリティ対策を実現することが望まれていた。
このような要件を実現するためには、登録済みの限られた端末のみネットワークへのアクセス許可する、ホワイトリス型のネットワーク保護が有効だ。ネットワークを構成している各LANスイッチにホワイトリストを搭載することにより、許可されていない端末からのネットワークへのアクセスを排除することが可能となる。ホワイトリストは、通常のLANスイッチのアクセスリスト(ACL)機能を利用しても一部実現が可能だが、全てのLANスイッチにホワイトリストを設定するには膨大な作業が必要となり、さらにネットワークの変更に合わせて、その設定を維持管理するためには、大きなコストが発生する。
同社はこうした膨大な作業を必要とするホワイトリストの設定を、ネットワークのトラフィックから自動学習して生成する機能を実現した。安全が確保されている状態で、学習機能を利用すると、各LANスイッチに自動的にホワイトリストが設定される。このホワイトリストでは、送信元、宛先アドレスに加え、L4ポート情報なども含めたフローを特定しているので、送信元アドレス詐称や正規端末の乗っ取りなどにも有効な防衛が可能となる。この機能を利用することで、ネットワーク構造の変更を行うことなく、LANスイッチの入れ替えのみで、強固なセキュリティを実現することができる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
なぜ今、制御システムセキュリティがアツいのか?
なぜ今制御システムセキュリティが注目を集めているのか。元制御システム開発者で現在は制御システムセキュリティのエバンジェリスト(啓蒙することを使命とする人)である筆者が、制御システム技術者が知っておくべきセキュリティの基礎知識を分かりやすく紹介する。
工場の安定稼働が人質に! なぜ今制御システムセキュリティを考えるべきなのか
工場や発電所などで使われる制御システムのセキュリティが今脅かされていることをご存じだろうか。イランの核施設を襲った「Stuxnet」以来、各国の政府が対策を本格化させているが、日本における制御システムセキュリティ対策で重要な役割を担うのが制御システムセキュリティセンター(CSSC)だ。本稿ではCSSCの取り組みとその基幹施設であるテストベッド「CSS-Base6」の概要について紹介する。
制御システムセキュリティの現在とこれから
制御システム技術者が知っておくべき「セキュリティの基礎知識」を分かりやすく紹介する本連載。最終回となる今回は、今までに述べてきた制御システムセキュリティの基礎的な考え方をまとめた上で、これから制御システムセキュリティの分野がどうなっていくのかについての考えを紹介する。