OTと ITの融合のための サイバーセキュリティ対策について OTと ITが結合された企業における Data Diodeサイバーセキュリティ対策 Owl 日本輸入販売総代理店 日本ダイレックス株式会社 ϭ Agenda 1. OWL社の紹介 2.サイバーセキュリティ対策の詳細 3. Data Diodeとは 4. ユースケース 5. Data Diodeの導入工程 6. OTとITの結合は企業を活性化する 7. OTとITの結合構成モデル 免責事項 この文書は、翻訳にあたってOwl Computing Technologies から事前に承諾を得ており、原文にできるだけ忠実に 翻訳するよう努めていますが、完全性、正確性を保証するものではありません。 翻訳監修主体(日本ダイレックス株式会社)は、本翻訳物に記載されている情報より生じる損失または損害に対 して、いかなる人物あるいは団体にも責任を負うものではありません。 2 OWL社について オーナーと運営について 米国のサプライチェーンを利用 米国で研究開発と製造を実施 米国ベースのテクニカルサポート&サービス 米国の機密情報及び最高機密情報取扱許可 自己資金による開発 マルチマーケットソリューション 政府クロスドメインソリューション 国防総省&諜報機関 UCDSMOベースライン リスト(*1)に認定済み 重要インフラネットワークの防衛 ユーティリティ:原子力、電気、ガス、水道 エネルギー:石油・ガス、石油化学 電気通信 金融サービス キャリア 17年間、サイバーセキュリティを専門に活動 2000以上のグローバル展開 グローバルセールスとサービス 認定サービス 構成管理サービス 技術イノベーター シングル1U、オールインワンソリューション サーバーベースの通信カードシステム 24の技術特許を保持 決定論的一方向転送を実現 EAL認定取得 UCDSMO サイバーベースライン認証 (*1)UCDSMO Baseline list : Unified Cross Domain Services Management Office Baseline list 米国の国防、諜報部門がCross domain サービス管理に関する技術や ソリューションとして有効性を認証したプロダクトのリスト 3 Cybersecurity Risk Model * Common Criteria Part 1: Introduction and general model, 2005, v2.3 4 データダイオードは、ファイアウォールより安全 ACL (Access Control List) WEAK STRONG 最近のサードパーティのアナリストによると、データ・ダイオードは、 物理的分離(エアギャップ)に次ぎ、ネットワークセキュリティの最高レベルにあります。 5 データダイオード(DualDiode )とは何か? * • • • • • *DualDiode は Owl Computing Technologies社の商標です。 ハードウェアベースのサイバーセキュリティ対策装置です。 一方向のみに設計されたハードウェアを使用しています。 ソフトウェアの改ざんや攻撃を遮断します。 (ハードウェアの変更は不可) ネットワークの各エンドポイントが終端・保護されています。 ネットワーク間のNon-Routable(IPアドレス、MACアドレスを転送しない)ATMによる プロトコルブレイクを実現しています。 LED PCI Bus of sending host system (一芯一方向通信) Optical Data Transfer Photo detector PCI Bus of receiving host system Fiber Optic Cable Send-Only Data Diode Communication Card Receive-Only Data Diode Communication Card ソフトウェアの攻撃は100%防御します。 6 デュアルダイオード:ハードウェア回路ベースの一芯一方向データフローポリシーを適用 DualDiode Architecture ・ハードウェアDualDiode、 2つの通信カードを直列に接続したハードウェア構成。 ・エアギャップを作り、強制的にネットワークを分離。 ・IPプロキシ・・・IPトラフィックを(ブルー側で)終端、(レッド側で)起動する。 ・一方向ハードウェアは、単一の光ファイバケーブルによって強制的に一芯一方向通信を実現。 OT Network DualDiode Technology Source (送信元) LED Ethernet Air Gap (エアギャップ) Photo detector IP Proxy IP Proxy Send-Only Data Diode Communication Card Destination (送信先) (ATM伝送) ATM transport Ethernet Receive-Only Data Diode Communication Card セキュリティ属性: ・ルーティング可能な情報(MAC、IPアドレスなど)は、OTネットワークの外部にさらされることはありません。 ペイロードのみがエアギャップ間を転送されます。 ・信頼性の高い高速ATM転送は、「ディープ・プロトコルブレイク」を提供します。 ・すべてのデータタイプの転送がホワイトリスト化され制御されます。 IT Network 7 両方向通信環境で一方向通信をどのように実現するのか? Before WAN OT Network After IT Network 送信のみ 受信のみ WAN IP Proxy Send Only Rcv Only IP Proxy Secure One-way Transfer OT Network IT Network 8 産業系ネットワーク利用例 ・発電、変電、配電 ・タービン、原子力、火力・水力発電所のパフォーマンスデータ ・ヒストリアンのレプリケーション ・セキュアリモート監視 - syslog、アラーム、イベント ・コンプライアンスレポート ・製造業・鉱業 ・システムアラーム、イベント、Syslogメッセージなどのセキュアな監視 ・ファイル、電子メール、セキュリティビデオの転送 石油とガス ・ヒストリアン・データ、アラーム、イベントの転送 ・インターフェース:MODBUS、OPC 水処理、廃水処理 ・WindowsのHMI画面の複製 ・ヒストリアン・データ 金融と銀行 ・セキュアな場所とセキュリティの低い場所間のデータ転送 ・金融取引 9 典型的な産業系ネットワーク • 優れたビジネス継続性と価値 • 限定的なサーバーセキュリテイ RSLinx® Classic DMZ FactoryTalk ® Gateway Firewall Firewall End Users FactoryTalk ® Historian End Users OT Network Intersection of IT and OT Corporate IT Network 10 エアーギャップネットワーク(完全に分離されたネットワーク) のセキュリティ • 優れたサイバーセキュリティ • 限定的または皆無のビジネス継続性または価値 RSLinx® Classic FactoryTalk ® Gateway Firewall Firewall FactoryTalk ® Historian End Users Air gap End Users OT Network Corporate IT Network 11 OTとITが接続された企業では両方が必要です: 優れた事業継続性/価値 と 優れたサイバーセキュリティ どのようにこれを達成するのですか? 12 標準ベースのセキュリティ実装へのアプローチ OT Network (plant) Corporate Network 1) ネットワークセグメントとセキュリティゾーンを 定義します。 2)ゾーン内およびゾーン間で必要な作業、ワー クフローやデータを定義します。 3)ネットワークゾーンのセキュリティポリシーを 定義します。 4)要件を満たし、実行するセキュリティ・ソリュー ションを定義します。 13 セキュリティソリューションの実装までの流れ 1. ネットワークセグメントとセキュリティゾーンを定義します。 高セキュリティゾーン 外部からのアクセスを防ぎます ビジネスセキュリティゾーン プラントのサポート業務を可能にします RSLinx® Classic DMZ End User Firewall FactoryTalk ® Gateway FactoryTalk ® Historian Firewall End User Plant OT Network Corporate IT Network 14 セキュリティソリューションの実装までの流れ 1. ネットワークセグメントとセキュリティゾーンを定義します。 2. ゾーン内とゾーン間のワークゾーン、ワークフローやデータ転送を定義します。 高セキュリティゾーン 外部からのアクセスを防ぎます ビジネスセキュリティゾーン プラントのサポート業務を可能にします RSLinx® Classic FactoryTalk® Historian Firewall FactoryTalk ® Gateway FactoryTalk ® Historian End User Firewall End User Plant OT Network Corporate IT Network 15 セキュリティソリューションの実装までの流れ 1. ネットワークセグメントとセキュリティゾーンを定義します。 2. ゾーン内とゾーン間のワークゾーン、ワークフローやデータ転送を定義します。 3. セキュリティポリシーを定義します- データ転送は外部方向のみ、アタックベクターは内部方向には禁止。 ビジネスセキュリティゾーン プラントのサポート業務を可能にします 高セキュリティゾーン 外部からのアクセスを防ぎます RSLinx® Classic FactoryTalk® Historian Firewall FactoryTalk ® Gateway FactoryTalk ® Historian End User Firewall End User Plant OT Network Corporate IT Network 16 セキュリティソリューションの実装までの流れ 1. 2. 3. 4. ネットワークセグメントとセキュリティゾーンを定義します。 ゾーン内とゾーン間のワークゾーン、ワークフローやデータ転送を定義します。 セキュリティポリシーを定義します- データ転送は外部方向のみ、アタックベクターは内部方向には禁止。 すべての要件をサポートするためのセキュリティソリューションを定義します。 ビジネスセキュリティゾーン プラントのサポート業務を可能にします 高セキュリティゾーン 外部からのアクセスを防ぎます RSLinx® Classic FactoryTalk® Historian Firewall FactoryTalk ® Gateway FactoryTalk ® Historian Owl Data Diode End User Firewall End User Plant OT Network Convergence of IT and OT protected by ST Corporate IT Network 17 小規模企業の構成 データダイオードセグメンテーション セキュリティ境界 Historian, Syslog & other data OT Network IT/Corp Network シンプルで簡単なセキュリティと確立されたデータフローをサポート 18 中規模企業の構成 データダイオードセグメンテーション セキュリティ境界 Historian, Syslog & other data Historian, Syslog & other data OT Networks IT/Corp Network 中規模企業のセキュリティとデータのニーズを満たします 19 大規模企業の構成 Historian, Syslog & other data Historian, Syslog & other data OT Networks WAN Network IT/Corp Network フェイルオーバー、冗長性とロードバランシングで大規模企業のニーズをサポート 20 データ(の転送)がOTとITの接続された企業ネットワークを実現します Owl は、以下の転送アプリケーションをサポートします • ヒストリアンの複製 (OSISoft, GE, Wonderware & その他) • SQL データベースの複製 (MSSQL, Oracle) • Syslog の転送 (すべてのsyslog) • E-mailのアラートとイベント • リモート HMI 画面の複製 • UDP、マルチキャスト、ブロードキャスト、ユニキャスト (ビデオ監視) • TCP/IP 転送 • レポーティングのためのリモートファイル転送、アラーム、イベント、任意のファイル • OPC ファンデーションに認証された DA, A&E, UA • Modbus • ソフトウェアおよびパッチの更新、AVコンテンツの検査やファイルハッシュコードの検 証(256 SHA)とホワイトリストに登録のインバウンドファイル転送 • その他… 21 クラウドセキュリティは、モノのインターネット(IoT)を実現します。 1. データダイオードは、プラントのデータを外部のクラウドに投入することを実現 します。 2. ユーザは自分の仕事を達成するためにクラウドへのアクセス権を持っていま す。 3. いかなるクラウドユーザーも、プラントに戻ってアクセスすることはできません。 4. ATMプロトコルブレークは、プラントのIPアドレスをクラウドへ転送しません。 5. クラウドセキュリティは、(OTとIT)が接続された企業とIoTに有効です。 Owl はクラウドの利用とプラントの保護を実現します。 22 Owl はクラウドの利用とプラントの保護を実現します。 23 Owl 製品の種類 • Owl Perimeter Defense Solutions (OPDS):OWL境界防衛ソリューション • 一方向通信のDualDiode設計を介してサーバー攻撃からネットワークを保護す る。 • ネットワークドメイン間でのデータのセキュアな転送を提供します。 • 統合 DualDiodes • インターネットセキュリティセンターのしっかりしたガイダンスによるOwl CentOS • http://www.cisecurity.org • Owlのロールベースのアクセス制御システム(RBAC)のオーバーレイ • データフローをサポートするコア転送アプリケーション • UDP, TCP • File transfer, FTP, email transfer • Syslog, SNMP • • • • OPDS-100 OPDS-100D OPDS-1000 Specialty Software Connectors 24 OPDS-100 and OPDS-100D • OPDS-100 • All-in-one, 1u 19” rackmount solution • OPDS-100D • All-in-one, DIN rail form factor solution • Common Features: • Owl CentOS • Owl RBAC • Owl Core transfer Applications • Bandwidth across DualDiode • 10Mbps • 26Mbps • 52Mbps • 104 Mbps • All filed upgradeable from 10, to 26, to 52 to 104Mbps 25 OPDS-1000 • OPDS-1000 • All-in-one, 1u 19” rackmount solution • Common Features: • Owl CentOS • Owl RBAC • Owl Core transfer Applications • Bandwidth across DualDiode • 104 Mbps • 155 Mbps • 300 Mbps • 600 Mbps • 1,000 Mbps = 1 Gbps • All filed upgradeable from 104, to 155, to 300, to 600 to 1,000 Mbps 26 Owl 製品の種類(続き) • 特別なソフトウェアコネクター(アプリケーションソフトウェアのサポートパッケージ) • Remote File Transfer Service (RFTS) • OSISoft PI replication • OPC Server replication • MS SQL and Oracle SQL replication • Window Screen replication • ModBus register replication 27 Owl 製品の種類(続き) ・セキュアソフトウェア更新サービス(SSUS) ・ネットワークを介してソフトウェアのパッチやアップデートを実行するための 特別な製品です。 ・セキュアハッシュアルゴリズム(SHA)コードを利用しています。 ・ワークフロー内でSHAコードホワイトリストが必要です。 ・ファイル転送承認のためのファイルSHAコード値の計算・比較を実行します。 ・Owl パフォーマンス管理サービス(OPMS) ・Owl製品の管理とパフォーマンスのダッシュボードを提供します。 ・Owlデュアルダイオード製品はOPMSにすべてのパフォーマンスログを送信します。 ・OPMSは、パフォーマンス・メトリックのダッシュボードを提示します。 ・ファイル転送性能、ファイル数、速度、合計バイト ・ログファイルでエラーと警告のイベントを送信 28 まとめ 1. Owl 製品は、セキュリティ技術 (ST)をベースにしています。 2. Owl 製品は、セキュリティ技術(ST)でOTとITの融合を可能にします。 ①ソフトウェアに改竄を加えたり、またはソフトウェアを攻撃することがで きない一方向ハードウェアSTを実現。 ②OTからITにデータを移動し、何も、誰もが(OTへ)戻ってくることができ ないことを保証する一方向ハードウェアSTを利用。 ③OEMのシームレスなレプリケーションは、ヒストリアン、ファイル、警告 メッセージおよび他の多くの産業のデータタイプをサポート。 Owl は、STでOTとITの融合を保護します。 29 Owl 日本輸入販売総代理店 日本ダイレックス株式会社 本社:〒101-0047 東京都千代田区内神田2-5-5 ヒューリック大手町北ビル7F Tel : 03-5207-7160 Email : [email protected] URL http://www.direx.com 30
© Copyright 2024 ExpyDoc
