ファイアウォールよりも強固 – 安全性と信頼性を保護

®
®
Frost & Sullivan :『industry’s nex t gam e changing standard（新たな業界標準）』
ファイアウォールよりも強固 – 安全性と信頼性を保護
一方向セキュリティゲートウェイ – IT/OTの安全な統合のための進化するベストプラクティス
[email protected]
Proprietary Information - © Copyright 2015 by Waterfall Security Solutions
®
Waterfallセキュリティソリューションズ
● 世界的に展開しているグローバル企業である。
● 本拠地はイスラエルで、米国に営業や活動拠点を置く。
● 世界中のあらゆる主要なインフラストラクチャで数百のサイトに導入されている。
2012 Best Practice Industrial Network Security Award（2012年の
ベストプラクティス産業ネットワークセキュリティアワード）、
2013 & 2014 Oil & Gas Industrial Security Awards（2013年と
2014年の石油およびガス業界セキュリティアワード）を受賞。
IT及びOTセキュリティ設計者は、運用ネットワーク用にWaterfallを
検討すべき。
Waterfallはサイバーセキュリティ市場における中心的企業 –2010年、
2011年、2012年。
● 米国で、一方向ゲートウェイによるSCADA/制御ネットワークの特許を取得
（特許番号: 7649452、その他）
● 米国国土安全保障省の「National SCADA Security」と日本の経済産業省のCSSC
（制御システムセキュリティセンター）のサイバーテストベッドに採用されている唯一
の一方向テクノロジ
Proprietary Information - © Copyright 2015 by Waterfall Security Solutions
2
®
Waterfallセキュリティソリューションズ
● 産業アプリケーション及びSCADAプロトコルに対するCOTS統合と持続性について、
最も優れた産業グレード
● 戦略的なパートナー： GE、Siemens、Schneider Electric、McAfee、OSIsoft、
Westinghouse/Toshiba, Yokogawa、及びその他多数の主要ベンダー
● アイダホ国立研究所によるサイバーセキュリティ査定に合格した唯一の
一方向テクノロジ
● コモンクライテリア EAL4+ （高い攻撃潜在性への耐性）認証取得
● DHS、NERC CIP、NRC、産業アナリスト及びサイバーセキュリティの専門家が、産
業サイバーセキュリティのベストプラクティスとして認知
マーケットリーダー：
産業用環境における
一方向でのサーバの複製
Proprietary Information - © Copyright 2015 by Waterfall Security Solutions
3
Waterfallによって産業ネットワークの接続性とリスク回避を融合
● 保護ネットワーク
Proprietary Information - © Copyright 2015 by Waterfall Security Solutions
● 外部ネットワーク
External Network
4
®
産業ネットワークの接続性：要因とリスク - I
● クリティカル（運用、産業）ネットワークは、ビジネス/管理ネットワークにリアルタイムに
情報を送信する必要がある。
●
予知保全、適時製造、リアルタイムの在庫、バッチレコード、LIMS統合、
製造計画、SAP/ERP統合
● 通常ビジネスネットワークは、インターネットを含む他のネットワークに接続されている。
● これらの接続を経由して、クリティカルネットワークにアクセスし、オンラインのリモート
攻撃が仕掛けられる。
ビジネスネットワーク
制御
ネットワーク
Plannerstransportation.com
Proprietary Information - © Copyright 2015 by Waterfall Security Solutions
Orange.com
8
®
産業ネットワークの接続性：要因とリスク - II
● 管理センターまたは運用センターがクリティカルネットワークや関連機器をリ
モートで監視している。
● 管理センターは通常、他の施設や他の国から多数のネットワークを監視し
ている。
● クリティカルネットワークは、この管理センターが監視している各ネットワー
クからの脅威にさらされた状態にある。
Eyevis.ae
インターネット/
パブリック
ネットワーク
中央監視拠点
Proprietary Information - © Copyright 2015 by Waterfall Security Solutions
9
IT/ソフトウェアベースのセキュリティのベストプラクティス
「これらのルールはコンピュータシステムのルールと変
わらないということを知っておくことだ。
曲げられるものもある。
破ることができるものも。
分かるか？」
(Morpheus; The Matrix, chapter 15)
Proprietary Information - © Copyright 2015 by Waterfall Security Solutions
11
®
無力化しているウィルス対策
● 再コンパイルや再暗号化は既存のシグネチャにもはや適合していない。
● ヒューリスティックやサンドボックスの制限を超えている。
CPU消費やサンドボックス/エミュレーションが困難な関数呼び出しを使用
。
● 主要なウィルス対策ソフトウェアをインストールした上でマルウェアをテスト
。検出される動作を回避。
● 少数のマシンに侵入、標的型攻撃。『密かにゆっくりと』
● 誤検出！
Proprietary Information - © Copyright 2015 by Waterfall Security Solutions
13
®
ファイアウォールよりも強固 – CNIセキュリティの改善
攻撃の種類
UGW
Fwall
1) フィッシング/ドライブバイダウンロード – ファイアウォール経由で被害者が攻撃を取り込む
2) ソーシャルエンジニアリング – パスワードの不正入手/キーストロークロガー/盗み見
3) ドメインコントローラへの攻撃 – ICSホストまたはファイアウォールアカウントの偽造
4) リスクにさらされたサーバへの攻撃 – SQLインジェクション/DOS/バッファオーバーフロー
5) リスクにさらされたクライアントの攻撃 – 侵入済みのWebサーバ/ファイルサーバ/バッファオー
バーフロー
6) セッションハイジャッキング – MIM /HTTP cookieの不正入手/コマンドインジェクション
7) VPNへの便乗 – スプリットトンネリング/マルウェアの拡散
8) ファイアウォールの脆弱性 – バグ/セロデイ/デフォルトパスワード/設計上の脆弱性
9) エラーや漏れ – 間違ったファイアウォールルール/構成/ファイアウォール経由でのIT環境へ
の接続
10) IPアドレスの偽装 – IPベースのファイアウォールルール
攻撃成功率:
不可能
困難
容易
Photo: Red Tiger Security
ファイアウォールが登場してもう30年経つ。ファイアウォールの迂回方
法は攻撃者でなくても知っている。
Proprietary Information - © Copyright 2015 by Waterfall Security Solutions
14
進化するベストプラクティス – 一方向ゲートウェイ
北米電力信頼度協議会の
重要インフラ保護基準では
一方向テクノロジにより保護
されているサイトでは、35％
以上の要件が免除される。
アメリカ国立標準技術研
究所－一方向ゲートウェ
イは、ドメイン間のトラ
フィックのすべての接続を
防止する。
国土安全保障省はセキュリ
ティ査定で一方向ゲートウェ
イを推奨している（産業制御
システムセキュリティ担当機
関）
米国原子力規制委員会＆原
子力エネルギー協会は、一方
向テクノロジで保護されている
サイトでは、26件のサイバー境
界規則のうち、21件を免除して
いる。
欧州ネットワーク情報セキュリ
ティ庁－一方向ゲートウェイ
は、ファイアウォールより優れ
た保護を実現している。
一方向ゲートウェイ－悪性
コードの伝播を制限する（ISA
SP-99-3-3 / IEC 62443-3-3）
Proprietary Information - © Copyright 2015 by Waterfall Security Solutions
21
規制によるガイドライン – 多重防護 NRC RG 5.71
米国のすべての
原子力発電所は
このテクノロジを
使用している。
Proprietary Information - © Copyright 2015 by Waterfall Security Solutions
22
革新的なソリューションである一方向セキュリティゲートウェイ
Proprietary Information - © Copyright 2015 by Waterfall Security Solutions
25
®
一方向セキュリティゲートウェイとは
● ハードウェアによるセキュリティ対策
● TX（送信）側はレーザー、RX（受信）側は、フォトセルおよび光ファイバーケーブルのみ使用。
データは送信できるが、保護ネットワークには何も返信できない
● TXエージェントは、双方向のプロトコルを使用して保護/産業ネットワークからのデータを収集
● RXエージェントは、双方向のプロトコルを使用して外部/社内ネットワークにデータを送信
● プロトコルエミュレーションは使用せず、サーバを複製
● コモンクライテリア EAL4+ （高い攻撃潜在性の耐力）認証を取得
Proprietary Information - © Copyright 2015 by Waterfall Security Solutions
26
®
事例： Detroit Waterの当初のネットワーク
● 制御ネットワークに対する一対のHAファイアウォールをサードパーティが管理
● １ヶ月当たり１万ドルのコスト
● 制御ネットワークから接続するが、トラフィックは双方向
● 多くのデータソース/送信先 – 俗に言う「スパゲッティコード」状のデータフロー
● 不透明なファイアウォール構成 – レビューやアラートもなし
● 内部監査によって容認できないファイアウォールセキュリティと判定された
Proprietary Information - © Copyright 2015 by Waterfall Security Solutions
33
®
事例： Detroit WaterのOSIsoft PIシステム用Waterfall
● OSIsoft PIサーバとレプリカを導入: ビジネスネットワークと共有するすべての
情報を集約
● すべてのデータが標準フォーマットで利用可能
● ビジネスアプリケーションの追加やデータの可視性要件への対応が容易
● 一方向ゲートウェイソリューションによって、外部ネットワークからのオンライン
攻撃を完全に遮断
Proprietary Information - © Copyright 2015 by Waterfall Security Solutions
34
®
事例： OPCとヒストリアンの融合 – オフショアプラットフォーム
● 強力なセキュリティ: 一方向セキュリティゲートウェイ
● Wonderware Historian -> OPC -> PIサーバの一方向データ複製: 異なる
ベンダのヒストリアンを統合
● 全プラットフォームのPIデータを社内PIサーバに集約
Proprietary Information - © Copyright 2015 by Waterfall Security Solutions
36
®
使用事例: 複数のアプリケーション/プロトコル
● プラントヒストリアンから運用情報を社内ネットワークに複製
● セキュリティ情報は、組込まれたSIEM経由で社内SOCに転送
● Remote Screen Viewで遠隔のベンダとITサポート実現
● 従来のファイアウォールは、社内ネットワーク上でデータの機密性を確保
Proprietary Information - © Copyright 2015 by Waterfall Security Solutions
38
Iberdrola原子力発電株式会社（スペイン）
Proprietary Information - © Copyright 2015 by Waterfall Security Solutions
39
®
®
Frost & Sullivan :『industry’s nex t gam e changing standard（新たな業界標準）』
まとめ
Proprietary Information - © Copyright 2015 by Waterfall Security Solutions
47
®
安全なアプリケーション統合
● セキュリティ: 外部ネットワークからのネットワーク攻撃から、制御システム資産の安
全性と信頼性を完全に保護
● シンプル: 設定/構成ミスがなく、パッチや更新もない
● コンプライアンス: ベストプラクティスのガイダンス、標準、規制の進化によって、強力
なセキュリティを実現
● コスト: セキュリティ運用コストの削減 – セキュリティ強化と長期的コストの削減
「ゲートウェイソリューションは、
ファイアウォールよりもシンプル
かつ安全である」
ファイアウォールより優れた産業制御
システムソリューションのための
マーケットリーダー
Proprietary Information - © Copyright 2015 by Waterfall Security Solutions
48
世界中の重要インフラで数百台の導入実績
Thank You
Danny.Berko@w aterfall-security.com
W W W .W ATER FALL-SECUR I TY.COM
Proprietary Information - © Copyright 2015 by Waterfall Security Solutions
49

Download Report