工場のネットワークセキュリティ対策とは？：工場用イーサネット入門（5）（4/4 ページ）

インダストリー4.0や工場向けIoTなどに注目が集まっていますが、そもそも工場内のネットワーク環境は、どのように構築すべきなのでしょうか。本連載では、産業用イーサネットの導入に当たり、その基礎から設備設計の留意点などを含めて解説していきます。第5回では、工場のネットワークセキュリティ対策について解説します。

[藤原博史／ネットワンパートナーズ，MONOist]

不正アクセス対策2：ネットワーク分割

　「ネットワーク分割」とは、ネットワークを重要度や機能ごとに分離することで、ネットワーク内の障害や不正アクセスを最小限に食い止めて、他の範囲に拡大しないようにする方法です。

　ネットワーク分割にはさまざまな方法がありますが、今回は連載第4回で出てきたVLAN機能を使った方法を紹介します。

　VLANは「仮想ローカルエリアネットワーク」とも呼ばれ、物理的に同一のスイッチにつながっていながらも、あたかも別々のスイッチにつながっているように見せる機能です。別々のスイッチにつながっているということは、それぞれのネットワークを接続するために、より上位層のネットワーク機器であるルーターを使って通信しなければなりません。この状態を仮想的に一つのスイッチの中で作り出す技術がVLANです。

　このようにVLANはネットワークを分割することができるので、例えば、あるVLANで発生した障害が他のVLANに影響してしまうリスクは低くなります。

　また、より強固に保護しなければならないPLCやHMI、SCADAなどといった機器を別々のVLANに接続すれば、これらの重要な機器に不正にアクセスされるリスクも低くなります。

　ただ、VLANを利用する場合にはネットワークが分割されますので、通信が制御できる反面、適切に設定されないと通信ができなくなることもあります。VLANを設定する場合はあらかじめ期待されるネットワーク通信が可能かどうか確認を忘れないでください。

図5　VLANを用いたネットワーク分割（クリックで拡大）出典：ネットワンパートナーズ

継続的な評価と改善が重要

　より強固なセキュリティ対策には、時間とコストが必要となるため後回しにされてしまうことも少なくありません。ご利用になるセキュリティ製品の特長と弱点をよく理解して、最大限の効果が得られる方法を探してみてください。そして、セキュリティ製品は導入して対策が完成するわけではありません。継続的な評価・改善を行っていくことが非常に大切です。

　次回は、イーサネットスイッチを導入後、ネットワーク運用を行う際に知っておくと便利な機能を紹介します。

第6回：「工場内ネットワークを守る運用手法とトラブル対処法」

筆者プロフィル

藤原博史（ふじはら ひろふみ）

ネットワンパートナーズ ソリューション事業部 マーケティング＆ビジネス開発部 第2チーム エキスパート

情報セキュリティの国際認定資格CISSP（Certified Information Systems Security Professional）を保有。ネットワーク監視サービス/技術開発、ルーター／スイッチ製品の技術サポートやマーケティング業務などを経て、2014年よりネットワークセキュリティ製品の技術サポートを担当。2015年から、製造業を中心としたIoTインフラ基盤の導入時の技術支援を中心に活動中。