100%の可視化、100%の防護 - waterfall security

100%の可視化、100%の防護

Elisha Olivestone

2007年から世界中の産業施設を防護

中東&アジア太平洋地域担当

セールスディレクター

April 20, 2020

Copyright 2020 Waterfall Security Solutions Ltd.

米国特許を複数取得

技術とセールスの協力、グローバルパートナーとの提携

Waterfallについて

Deployed in

all critical

infrastructure

sectors

Sales &

operations

in the USA,

EU & APAC

2007年創立世界中の1000

箇所を超える拠点に納入

本社イスラエル

すべての重要インフラ部門に

導入

顧客は米国、欧州、アジア太平洋地域

に広がる

Copyright 2020 Waterfall Security Solutions Ltd.

世界中で導入

電力 | 石油＆ガス | 水道 | 鉄道 | 医薬 | 製造

欧州

北米

Copyright 2020 Waterfall Security Solutions Ltd.

認証と評価

グローバルスタンダード

米国国土安全保障省（DHS）

SCADA

セキュリティテストベッド

国際規格コモンクライテリア（CC）評価保証レベル EAL4+

高攻撃の可能性に対する設計認定

日本制御システム

セキュリティセンター（CSSC）テストベッド

Digital Bond

研究所シンガポール政府国家IT評価スキーム

（NITES）

フランスANSSI CSPN

セキュリティ認定第一レベル認定

Copyright 2020 Waterfall Security Solutions Ltd.

WFによる日本での活動

Copyright 2020 Waterfall Security Solutions Ltd.

産業デジタル化のパラドックス

マルウェア

ランサムウェア

DOS攻撃

産業クラウドサービス

ベンダーモニタリング

運用の可視化

OTIT

企業のニーズを満たすと、サイバー脅威に道を開くことになる

Copyright 2020 Waterfall Security Solutions Ltd.

お客様の課題

• 事業継続性 –途切れないデータフロー

• ネットワーク分離によるセキュリティ確保

• プラント外部から内部ネットワークへの不正アクセス防止

• 業務システムへの産業データの複製

Copyright 2020 Waterfall Security Solutions Ltd.

産業用制御システム（ICS）のセキュリティにおける3つの基本原則

最悪の場合、すべての感染したCPUが、それぞれが物理的に発行可能な、あらゆる安全でない命令を出す

すべてのソフトウェアはハッキング可能である

あらゆる情報が攻撃の対象となりうる

安全なものは何もない

Copyright 2020 Waterfall Security Solutions Ltd.

安全性と信頼性への最大の脅威

産業ネットワーク

企業ネットワーク

サードパーティのネットワーク

クラウドサービス

ファイアウォールは産業施設の境界防護としては不十分

インターネット

への接続

遠隔操作

での攻撃

マルウェアの

侵入

Copyright 2020 Waterfall Security Solutions Ltd.

ソフトウェアだけでは不十分

産業用制御システム（ICS）ネットワーク

境界の安全と信頼性防護には、異なるセキュリティ対策が必要

ファイアウォールファイアウォールを何層も重ねても侵入を防げられず、簡単に破られてしまう

IDS

侵入検知システム（IDS）は攻撃を事後に検知

更新とパッチ連続的で、時間がかかり、新たな脆弱性を招く可能性がある

Copyright 2020 Waterfall Security Solutions Ltd.

制御ネットワークをオンライン攻撃に晒すことなくプラント情報へのアクセスを可能とするには？

Copyright 2020 Waterfall Security Solutions Ltd.

一方向セキュリティゲートウェイどのように動作するのか

例: ヒストリアンデータベースの複製

TXコネクタソフトウェアは産業データベースのクライアントであり、産業用制御システム（ICS）データベースにすべてのデータを要求し、データを一方向ハードウェアを通じて送信する。

RXコネクタソフトウェアはIT複製データベースのクライアントであり、データを複製ITヒストリアンに挿入する。

ITユーザーとアプリケーションは、複製ヒストリアンにリアルタイムで問い合わせる。

一方向セキュリティゲートウェイはハードウェアとソフトウェアの組み合わせで構成ソフトウェアはサーバーを複製し、機器を運用技術（OT）ネットワークから情報技術（IT）ネットワークへ模倣し、企業ネットワークにリアルタイムの運用データの完全な可視化を可能とする。ハードウェアは防護されたネットワークへのあらゆるウィルスの伝播を物理的に不可能にする。

産業ネットワーク 企業ネットワーク

PLC､RTU等

産業システムWaterfallTXホスト

WaterfallTXモジュール

WaterfallRXホスト

WaterfallRXモジュール 複製サーバー

ユーザーステーション一方向セキュリティゲートウェイ

Copyright 2020 Waterfall Security Solutions Ltd.

制御システムに関する規制・レギュレーションの国内例

JESCが自主規格として「電力制御システムセキュリティガイドライン」を策定経産省が電力事業者に準拠を求める意向

経産省・日本電気技術規格委員会（JESC)

電力制御システムセキュリティガイドライン（抜粋）

No. 項目 内容

第5-1条 外部ネットワークとの原則分離

（勧告的事項）電力制御システムなどと外部ネットワークとは、原則分離すること。

第5-2条 他ネットワークとの接続点

（勧告的事項）

他ネットワークとの接続点に防御装置を講じること。

第5-3条 通信のセキュリティ

（推奨的事項）

機器間の通信における傍受や、機器が保有する重要データの漏えい、改ざんの危険が高い区間においては、通信データの保護を行うことが望ましい

情報システム（IT）部門と制御システム

（OT）部門の密な連携

Copyright 2020 Waterfall Security Solutions Ltd.

各サイト固有のワークフローのための商用既成ソフトウェアコネクタ

• Osisoft: PI System, PI Asset Framework,

PI Backfill

• GE: iHistorian, iHistorian Backfill, OSM,

Bently-Nevada System1, Proficy HMI

• Yokogawa: ExaQuantum, ExaOpc

• Schneider-Electric: Instep eDNA,

Wonderware Historian,

Wonderware Historian Backfill, ClearSCADA

• Siemens: SIMATIC, WinCC, WinTS, SINAUT,

Spectrum

• Emerson: Ovation, EDS, EMS

• Areva: PowerPlex, PowerTrax

• AspenTech IP.21, Rockwell FactoryTalk,

Honeywell Alarm Manager, Scientech R*Time

• FireEye: TAP, Helix, NX and FaaS

• Log Files, SMTP, SNMP, Syslog

• HP Openview, IBM Tivoli, HP ArcSight, McAfee

ESM, Splunk, Qradar, CA Unicenter, CA SIM

• MSMQ, IBM Websphere MQ,

Active Message Queue, TIBCO

• Microsoft SQL Server, Oracle

• MySQL, PostgreSQL

• OPC DA, A&E, HDA,

HDA BackfillとUA

• Siemens S7, Modbus,

Modbus Plus, DNP3, ICCP,

IEC 60870-5-104, IEC 61850

• Remote Screen View

• Secure Bypass

• フォルダミラーリング, Rsync, Local Folders

• FTP, FTPS, SFTP, TFTP, RCP, SMB, HTTPFS

• NFS, CIFS

• UDP, TCP, NTP, Multicast Ethernet

• ビデオ・オーディオストリーミング

• ウィルス対策アップデータ,

WSUSアップデータ, OPSWATアップデータ

• リモート印刷

ヒストリアンと産業アプリケーション

I T アプリケーション

その他のコネクタ

ファイル転送

リモートアクセス

産業プロトコル S

関係データベース

Copyright 2020 Waterfall Security Solutions Ltd.

WF-500シリーズのハードウェアモジュール式、強力、柔軟

ホストモジュールによる構成

すべてを1つの専用ラックに搭載、各モジュールを個

別のキャビネットに搭載、その他の組み合わせが可能

WindowsまたはLinuxベース

ユーザーによって保守可能、拡張可能

Standard: デュアル電源 2組

Standard: 1 Gbps

コモンクライテリア CC EAL4+ 認定

WF500 SPLIT

可用性

振動試験

ハードウェア監視

Copyright 2020 Waterfall Security Solutions Ltd.

安全なリモートアクセス

Remote Screen View

OT Networks IT Networks

REPLICA SERVERS

IT CLIENTS

FLIP

FLIP - 反転可能単一指向性ゲートウェイ

Secure Bypass

Copyright 2020 Waterfall Security Solutions Ltd.

WATERFALL の侵入検知システム

安全なOTネットワークのための侵入検知

Copyright 2020 Waterfall Security Solutions Ltd.

産業用制御システム（ICS）のセキュリティにおける3つの基本原則

最悪の場合、すべての感染したCPUが、それぞれが物理的に発行可能な、あらゆる安全でない命令を出す

すべてのソフトウェアはハッキング可能である

あらゆる情報が攻撃の対象となりうる

安全なものは何もない

Copyright 2020 Waterfall Security Solutions Ltd.

WATERFALL の侵入検知システム

安全な侵入検知監視対象ネットワークをインターネット上のサイバー脅威に晒すことなく、OTからITへの安全なポートミラーリング

簡単なIDSセンサーの管理ネットワークセンサーをITネットワークに導入し、監視対象のOTネットワークへのリスクなしに簡単に管理

集中管理できる容易な統合

業界最先端のSIEM/SOCソリューションで、スタンドアロン動作および統合をサポート

追加のICSホストは不要多彩なオプションをもつ柔軟なハードウェア構成のため高セキュリティを必要とするOT、ICSネットワークに新たなホストやソフトウェアは不要

Copyright 2020 Waterfall Security Solutions Ltd.

侵入検知システム（IDS）• Waterfall一方向ゲートウェイは、

OTネットワークからサードパーティのIDSへデータを発行（SIEM/SOC固有データ）

• カスタマーセキュリティシステムはデータに加え、同システムに転送されたイベントデータを受取る

• 次にデータをインテリジェンスやルールと比較し、発見したものと一致した場合は警告を発する

PLC、RTU等

産業ネットワーク 企業ネットワーク

Waterfall

一方向ゲートウェイ

サードパーティのIDS

ユーザーステーション

セキュリティ情報イベント管理（SIEM）

/ セキュリティ運用センター（SOC）

異常検知エンジン、アセット検出、リスク評価

境界セキュリティ 脅威解析プラットフォーム:

企業全体の可視化、検知、事故調査

Copyright 2020 Waterfall Security Solutions Ltd.

Waterfall -侵入検知システム

Copyright 2020 Waterfall Security Solutions Ltd.

ありがとうございました！

Elisha Olivestone

Sales Director – APAC & ME

elishao@waterfall-security.com

Mobile: +972-50-8770979