OTfuse 産業用セキュリティ機器
OTfuse 産業用セキュリティ機器
OTfuseは、産業用IoT(IIoT)をサイバー攻撃から保護する侵入防止システム(IPS)を備えた産業用セキュリティ専用機器です。
従来のOT/ICSは外部と物理的に隔離された状態の"エアギャップ"によって保護されており、必要最低限のセキュリティ対策しか講じられていない場合がほとんどでした。しかし現代では内部犯行やリモートメンテンナンス、保守用パソコン、USBメモリから侵入とあらゆる手段で攻撃が行われ十分な対策ができているとは言えません。
OTfuseはPLCの最後の砦です。簡単に導入、使用できるように設計されています。
OTfuseとは
OTfuseは、OT/ICSのために設計された、高度な自動学習機能と、侵入防止システムを持つ産業用セキュリティ専用機器です。OTfuseは、複数のPLCを同時に監視でき、正常な動作命令を学習し、OT資産への脅威をリアルタイムで排除します。
承認されていない設定変更、デバイスのリセット、デバイスの読み取り、ロジックの更新、異常な値の送信からOTを保護します。
OTfuseの特徴
OTfuseは重要なエンドポイントの前に配置され、PLCとSCADAデバイスを不正使用、禁止操作、乗っ取りから保護します。
- OTfuseは、産業用ネットワークの構成を変更せずに設置可能で、コマンドのペイロードを完全に検査します。
- Modbus、Ethernet/IP、S7、DNP3、BACnet、SLMP、FINS、EGDの標準対応
- Modbusサーバを内蔵しており、デバイスの保護状態をHMIに直接表示可能
- syslogおよび電子メールによるアラート機能
- セットアップ/管理のためのドングルを用いたハードウェア認証
- 標準的なDINレール筐体
- 自己学習機能を備えたレイヤ2透過型ブリッジ、既存設備への後付が容易
- 1時間未満で簡単に設定可能
性能表
| CPU | ATOM(E3845) |
|---|---|
| RAM | 8G |
| Storage | 128Gb |
| USBインターフェース | 2 (1x2.0; 1x3.0) |
| 電源入力 | 冗長電源 |
| 入力電圧範囲 | 12 - 36vdc |
| コンソールポート | 1ポート |
| Ethernetポート | 2 or 4 Gigabit |
| バイパス・ペア | Yes |
| 動作温度範囲 | -40℃ ~ +75℃ |
| 寸法 | H:126 / D:127 / W:78 (mm) (ただし突起物は除く) |
| ハードウェアキー認証 | セットアップ / 管理 / 設定にドングルを用いる |
| 重量 | 約1kg |
OTfuseとFirewall
ほとんどのFirewallは産業用の設定がなく十分な対応ができません。各現場の産業用ネットワークの設定は困難です。例を挙げると
- PLCへの読み取り専用のアクセス
- リモートモニタリングの制御とエンジニアリングワークステーション(EWS)へのアクセス
- 複雑な手動設定と導入
OTfuseは以下のようにオートメーションエンジニアのために設計されています
- 学習機能により、デバイスの自動設定が可能
- 制御システム環境向けに設計
- IPS機能
- 容易な導入
| 機能 | OTfuse | Firewall |
|---|---|---|
| 標準OTプロトコルのサポート | 対応 | 部分的対応 |
| 侵入防止機能 | 対応 | 非対応 |
| ディープパケットインスペクション | 対応 | 部分的対応 |
| ネットワークバイパスの最大信頼性 | 対応 | 非対応 |
| レイヤ2透過ブリッジ | 対応 | 非対応 |
| 管理者アクセスのためのハードウェアキーセキュリティ | 対応 | 非対応 |
通信プロトコル対応表
| プロトコル | 設定変更 | デバイスのリセット | デバイスの読み込み | ロジックの変更 | 異常な値の送信 |
|---|---|---|---|---|---|
| MODbus |
|
|
|
- |
|
| Ethernet/IP |
|
|
|
|
|
| Siemens S7 |
|
|
|
|
|
| SLMP |
|
|
|
|
|
| FINS |
|
|
|
|
|
| DNP3 |
|
|
|
|
|
| Bacnet |
|
|
|
|
|
ケース1
A社の環境
ケース1のA社は、中規模の都市にある飲料水事業者です。この企業は4つの大型ポンプステーションや多数の無人サービスポイントなど、インフラ全体で約60拠点を運営しています。地域の規則に基づき、飲料水は一定のレベルの塩素と人体に影響がないpHレベルを維持するように処理されています。
A社のオペレーションルームのコンソールには初歩的なセキュリティ(ユーザ名とパスワード)が設定されていますが、OTネットワーク自体にアクセスされてしまうと、追加の保護機能はありません。そのため、ネットワークにアクセスできる人は、処理場のどこにいてもPLCやその他資産を見たり、再設定することができます。
A社の課題
- A社はオペレーションコントロールセンター内の信頼できるワークステーション以外では、PLCを再設定できないようにしたいと考えていました。
- 水源への化学物質の大量投入を防ぐために、注入ポンプに送られるパラメータ値が規定の範囲内にあるかどうかを検証する別のセキュリティ制御が必要でした。
構成例
A社は、重要なPLCと、ネットワークに接続された特定の産業機械やその他の資産を保護し、アラートをオペレーションコントロールセンター内のHMIコンソールに報告するために、OTfuseを選択しました。
最初の学習段階では、信頼できるワークステーションとPLCの間でやり取りされるIPアドレスとプロトコルの使用パターンを登録しました。
さらにOTfuseは、化学物質の注入速度を調整するために注入ポンプに送られる典型的なパラメータを設定しました。
最後にOTfuseのセットアップと再設定に必要なドングルを、貸し出し記録と監視カメラ付きのキャビネットに保管する2種類の監視方法による運用手順を導入しました。カメラの映像は録画され、コントロールセンターのモニターにもリアルタイムで表示されるため、故障した際ははすぐに検知されます。
最終的にはOTfuseはModbus/TCPとEthernet/IPの両方のトラフィックを保護し、信頼できるソースのみがPLCやその他資産と登録した方法でやり取りできるようにしました。ポンプへの異常な命令は直ちに、アラートが通知され、ポンプの動作を変更することを防ぎます。
ケース2
B社の環境
B社は、SCADAネットワークで集中管理された製造システムを運用しています。このシステムには、複数の異なるメーカーのスキッド(機械)が含まれており、各メーカーは自社の機器の診断やメンテナンスを異なるタイミングで行うことができます。B社は、この製造環境内のノード間でセキュリティコントロールを行っていません。
B社の課題
- B社は、あるノードのメンテナンス作業が、他のOEMのノードに誤って接続したり影響を与えたりしないように、OEM/スキッドごとに仮想的なセグメンテーションを実施したいと考えていました。
- B社は、メンテナンス活動を包括的に管理するために、各サプライヤーごとに予定を立て、保守時間の間にのみメンテナンス活動が行われるようにしたいと考えていました。
構成例-2
このB社は、スキッドへのアクセスを登録された人のみが行えるようにするため、ホワイトリストによる送信元/宛先の制限ができるOTfuseを選択しました。また、B社は各サプライヤーの保守時間を定義し、OTfuse内でこれらのスケジュール設定を管理してコンプライアンスを徹底しました。
最初の学習段階では、スキッドとワークステーションのIPアドレスを特定し、管理アプリケーションとスキッドの間で使用されるプロトコルを記録しました。これにより、「書き込み」タイプの命令を実行しようとするソースが除外され、違反行為が行われた場合には警告が発生します。
メンテナンスのスケジュールは、サプライヤー間で計画され、B社のダウンタイムのスケジューリング方法を考慮した上で編成されました。
最終的には、OTfuseは仮想化されたネットワーク環境を構築し、OEMメーカーがアクセスを許可されたスキッド以外のネットワークへのアクセスを防ぎました。さらに、スケジューリング機能により、信頼されたアクセスであっても、B社が選択した保守時間以外ではメンテナンスができないようになっています。
ケース3
C社の環境
C社は、高架道路、橋、トンネルなどが混在する都市部で、公共の交通安全システムを運営しています。この自治体では、緊急地震速報システムのプライベートネットワークを運用しています。緊急地震速報システムは、一定のしきい値を超える地震信号が発生した場合に、交通規制装置を作動させるように設計されています。地震が検知されると、死傷者のリスクを最小限に抑えるために、橋やトンネルの通行が禁止されます。
警告灯や可動式バリアで構成される交通制御装置は、保護されたトンネルや橋の入口でPLCによって操作されます。
C社の課題
- このC社は、交通管制システムが不正に使用されたり、不正なトリガー信号が処理されたりすることで、公共の安全に関わるリスクに直面しており、このようなリスクを防ぐために追加のセキュリティ管理を行うことを希望していました。
- C社は、信頼できるネットワーク内のどこからでもPLCに送信される信号に関連するPLCの状態を、「例外報告」の手法を用いて独立して報告する仕組みを求めていました。
構成例 - 3
C社は、ネットワーク全体のアップグレードと再設計の一環としてOTfuseを選択しました。Bayshoerは、緊急地震速報システムとPLCのプログラミングを担当した現地のエンジニアリング会社と連携し、ソリューション設計と実装を調整するよう依頼されました。しかし、OTfuseは既存のスイッチポートに簡単に追加することができ、ネットワーク上のほかの既知のサーバーやPLCのアドレスを変更する必要はありませんでした。
初期の学習段階では、信号のタイミングと誘導遅延の観測を行い、許可された正常な命令がOTfuseを通過し、おおきな遅延が発生しないことを確認しました。サーバーとPLCのIPアドレスは変更されないため、OTfuseのポリシー設定は非常にシンプルで、1時間以内に簡単に実装することができました。
最終的には、アプリケーションサーバーからPLCに送られる命令がOTfuseでサポートされていることが確認され、公安システムは設計仕様通りに動作し続けることができました。OTfuseは、テストやメンテナンスのためにモニタモードに切り替えることができ、また、機械の故障時にはネットワークバイパスを備えています。これらの機能はテストされ、C社の説明どおりに動作することが確認されました。
