~製造業のためのネットワークセキュリティ実践入 …...internet factory core...
TRANSCRIPT
~製造業のためのネットワークセキュリティ実践入門セミナー~
「グローバル産業ネットワーク機器メーカーから見た産業ネットワークとセキュリティ」
Moxa Inc. アジア営業本部
IIoT事業開発マネージャ
長澤 宣和
社外秘
MoxaはIIoTにおいて信頼できるパートナー
# 1シリアル接続のサプライヤ
# 3産業用イーサネットインフラストラクチャのサプライヤ
市場リーダーシップ
ものデバイスの接続実績
世界中で
5千万台以上ものOT経験
30年以上
社員数約1,200名:Best Employee of the year in Taiwan 2013/2016
研究開発の人材
35% 120以上ディストリビュータ
研究開発投資 グローバルカバレッジ
高性能ヒートシンク
ラック内での上部と下部にて熱収集なし
Other Device on Rack
Other Device on Rack
側面での熱伝導
PowerIN
Power OUT1 Power OUT2
Power OUT3
Heat Source1
Heat Source2
Heat Source3
Heat Source4Heat Source5
Hot Spot1Hot Spot2
Hot Spot3
Hot Spot4 Hot Spot5 Hot Spot6
Hot Spot1
ChassisTA
Component Level
消費電力/ホットスポットの配置温度仕様(Tモデル)/サーマルモジュール
デザインを考慮し設計 !!
Moxa のハードウェア設計
ロシアのパイプライン監視システムではMoxaのSWが600個以上使用されています。
サウジアラビアの掘削システムではMoxaのSWが1000台以上使用されています。75°C
-40°C
Moxa のハードウェア設計
Industrial Computing
Industrial Computing
IIoTGateway
Industrial Network Infrastructure
Industrial Ethernet
Industrial Wireless
Secure Remote Access
Industrial Edge Connectivity
Serial Connectivity
I/O Connectivity
IIoTConnectivitySoftware
Data Management Network ManagementDevice Management
IIoT Cloud Alliances
SCADA IoT Cloud
IIoTGateway
Moxaが提供する価値
社外秘
Moxaが提供する価値
Industrial Computing
Industrial Computing
IIoTGateway
Industrial Network Infrastructure
Industrial Ethernet
Industrial Wireless
Secure Remote Access
Industrial Edge Connectivity
Serial Connectivity
I/O Connectivity
IIoTConnectivitySoftware
Data Management Network ManagementDevice Management
IIoT Cloud Alliances
SCADA IoT Cloud
IIoTGateway
Moxaが提供する価値
社外秘
UC-2100with up to 2 serial ports
and 2 LAN ports
UC-3100with 2 serial ports, 2 LAN
ports, and 1 CAN port
UC-5100with 4 serial ports, 2
LAN ports, 2 CAN
ports, and 4 DI/DO
UC-8100-ME-Twith 2 serial ports
and 2 LAN ports
Software
ThingsPro® Suite:• ThingsPro Gateway: A ready-to-run data acquisition platform
UC-8200with 2 serial ports, 2
Giga LAN, CAN and 4
DI/DO in Cortex-A7 Dual
core CPU
Completed IIoT Gateway Product Portfolios
Moxa の IoT Gateway
社外秘
Linux Foundation
LTS(Long-Term Support)
Moxa LinuxSLTS
(Superior Long- Term Support)
2~3年間
10年以上
新機能のサポート バグフィックスとセキュリティパッチ
リリース
従来型IIoTゲートウェイ
Moxa製インテリジェントIIoTゲートウェイ
Moxa Industrial Linx
Connectivity
Rethink
Industrie 4.0 Tool Box
https://industrie40.vdma.org/doc
uments/4214230/0/Guideline%2
0Industrie%204.0.pdf/70abd403
-cb04-418a-b20f-76d6d3490c05
Guideline Industrie
4.0 Guiding
principles for the
implementation of
Industrie 4.0 in
small and medium
sized businesses
by VDMA(ドイツ機械工業連盟)
社外秘
製造業の IoT 化で不足するモデル
センサー ゲートウェイ クラウド解析
社外秘
製造業の IoT 化で不足するモデル
社外秘
システム構成図を作りましょう
System 1
OT backbone network
HMI
PLC
System 2
HMIPLC
System N
HMI
Firewall
ACL
ACLACL
ACL
ACLACL
OT IDSMirror
Network
IT System
社外秘
製造業におけるサイバーセキュリティのアプローチ
工場ネットワークのセキュリテ事故の例には事欠かない
https://tech.nikkeibp.co.jp/it/atcl/news/17/062101713/
感染したのは工場設備に付帯するPC。生産ラインの管理などに使うものだ。感染した具体的な拠点や感染台数は明らかにしていない。感染PCはすぐにネットワークから隔離した。「各拠点には(注意喚起を目的にWannaCryの)ニュースを出していたので初動が早かった。脅迫画面は出なかった」(同)。
WannaCryはWindowsの脆弱性(MS17-010)を悪用するが、既にパッチは公開されており、適用していれば感染を防げる。本田技研工業の広報担当者は「PCは可能な限り対策をしていたしWannaCryのニュースを周知
していた。ただ、一部設備に付帯するバージョンが古いPCには脆弱性があった」と話す。
工場ネットワークのセキュリテ事故の例には事欠かない
社外秘
体系だった製造業向けセキュリティ対策「IEC-62443」
IEC-62443
General Policies & Procedures System Component
IEC 62443-1-1
Terminology and concepts
IEC 62443-1-2
Master glossary
IEC 62443-1-3
System security
compliance metrics
IEC 62443-1-4
IACS security
lifecycle and use-case
IEC 62443-2-1
Requirements for an IACS
security management system
IEC 62443-2-2
Implementation guidance
IEC 62443-2-3
Patch management
IEC 62443-2-4
Installation & maintenance
IEC 62443-3-1
Security technologies
IEC 62443-3-2
Security levels for zones and
conduits
IEC 62443-3-3
System security requirements
and levels
IEC 62443-4-1
Product development
requirements
IEC 62443-4-2
Technical security requirements
社外秘20
Security Level High Medium Basic
IEC 62443-4-2
Level 2
IEC 62443-4-2
Level 1
General
Baseline*
Change Default Password / SNMP Community String V V V
Enable Auto Logout V V V
Enable Trusted Access V V V
Enable Account Login Failure Lockout V V V
Enable Password Complexity Strength Check V V -
Enable Broadcast Storm Protection V V -
Disable Non-encrypted TCP/UDP Ports V V -
Set SNMP Trap/Inform or Syslog Server V V -
Set Login Message V V -
Enable Configuration File Encryption V - -
Built-in Profiles
Check Items
* Refer to CISCO White Paper “Enterprise Security Baseline for LAN, Wireless LAN, and WAN” and “Network Security Baseline”, and SANS Institute “ Router and Switch Security Policy”
Moxa のIEC62443-4 product
社外秘
Moxa のIEC62443-4 product
DIN-Rail Ethernet Switches
EDS-G500E/500E
Device Servers
NPort 6000/S9450/
S9650*/S8000
Rackmount Ethernet Switches
ICS/IKS Series
PT-G7000 Series
Protocol Gateways
MGate 5101/5102
MGate 5103/5105
MGate 5109
MGate 5111/5118
MGate W5108/W5208
Industrial 802.11n Wireless
AWK-4131A
AWK-3131A
AWK-1131A
AWK-1137C
Secure Routers
EDR-810
EDR-G902
EDR-G903
社外秘
トレンドマイクロという会社のアプローチ
ボックスカメラ
ブレット型カメラ
キューブカメラ
人数カウントカメラ
固定ドームカメラ
パノラマフィッシュアイカメラ
マルチセンサーカメラ
スピードドームカメラ
スプリットタイプカメラ
ビデオサーバー
モバイルアプリ
PoEソリューション
ビデオ解析 (VCA) ビジネスインテリジェンス
クラウドサービス
ビデオマネージメントソフトウェア(VMS/CMS)
モバイルドームカメラ
カメラ管理ソフトウェア
ネットワークビデオレコーダー
(NVR)
トレンドマイクロという会社のアプローチ例(VIVOTEK)
トレンドマイクロという会社のアプローチ例(VIVOTEK)
社外秘
LINE(線) , Plane(面) , Dot (点)で守る!工場セキュリティ
• 境界での入り口対策
(Line Defense)
• 万一の感染時も拡大を留めるセグメンテーション設計
( Plane Defense)
• 重要設備のピンポイントでの防御
(Dot Defense)
26
Perimeter Defense
Plane Defense Secure
Mission-
Critical
Assets
Factory Network Reference Diagram
IT environment
OT environment
OT Core switch
OT Distribution switch
OT Edge switch
A Process B Process C Process
OT System computer(Historian , MES , SCADA ,
Andon ,VMS ,NMS OT IDS)
HMI HMI
OT VPN Router for maintenance
IT systems
The Internet
Factory Core Ring
IT environment
OT environment
OT Core switch
OT Distribution switch
OT Edge switch
A Process B Process C Process
OT System computer(Historian , MES , SCADA ,
Andon , NMS ,VMS , S)
HMI HMI
OT VPN Router for maintenance
IT systems
The Internet
Factory Core Ring
Core Network Security Functions
VLAN
ネットワークを分割して余計な通信をおこなえない環境を作る!
ACL(Access Control List)
ネットワークを制御して決められた通信以外は通信させない。
Port Mirroring
今ある通信状況をしっかりと把握するために情報を収集する
Port Security/ IEEE802.1x(Authentication)
ネットワークを制御して決められた通信以外は通信させない。
OT Core switch OT Distribution switch OT Edge switch
OT Core switch OT Distribution switch OT Edge switch OT Core switch OT Distribution switch OT Edge switch
OT Core switch OT Distribution switch OT Edge switch
txOne Networks
TREND MICRO and MOXA as OneTo accelerate the Industrial world's transition to secure automation and data exchange.
30 years’ Security KnowledgeHigh-Speed DPI TechnologyWorld leader in Threat Research
31 years’ OT KnowledgeICS Infrastructure and ProtocolsRobust Hardware Manufacturing
TXOne Networks
CyberSecurity
Expertise
Industrial Mindset
Purpose-Built
Technology
IT/OT Convergence
IIoT Applications
31
2019年度 TOPICS
日本経済新聞2019年4月10日
Copyright 2018 Trend Micro Inc.32
Protocols:CC-LinkModbusEthernet/IPProfinet…Functions:Read/Write/Config/Reset/…
Unique Technology: TXODITM
-TXOne One-Pass DPI for Industrial
Device Identification
Protocol and Function
Identification
Intrusion Prevention
and Virtual Patch
Machine Learning
Vendor IDDevice TypeProduct Code…
ICSA-19-017-01ICSA-18-352-06CVE-2018-8072CVE-2018-8854…
Connectivity TypePeer TypeFrequency…
On
e-Pa
ss In
spec
tio
nPacket
InPacket
Out
• IT-OT DNA Integration• Visibility(見える化)• Control & Protection• Low Latency
Latency
< 1ms
社外秘
Ether Guard Series: Next-Generation Industrial IPSL2-L7 Visibility and Protection
*Wide Temperature (−40℃ to 75℃)*Tiny Dimensions(2 x 3.1 x 0.87 in)
Virtual Patch
Whitelisting Control
Network visibility
TXODI inside
●重要設備の手前に置くセキュリティボックス
・現場の人・設備にわかりやすく、使える製品とい
う設計・開発コンセプト。
• MTBF > 1,500,000 hours• -40 to 75oC wide temperature operation• 5-year warranty• Industrial certificates• 省スペース設計:2x3.1x0.87 inch
34
2019年度 TOPICS
IT environment
OT environment
OT Core switch
OT Distribution switch
OT Edge switch
A Process B Process C Process
OT System computer(Historian , MES , SCADA ,
Andon ,VMS ,NMS OT IDS)
HMI HMI
OT VPN Router for maintenance
IT systems
The Internet
Factory Core Ring
More robust system with txOne
3
1
2
12
IT environment
OT environment
OT Core switch
OT Distribution switch
OT Edge switch
A Process B Process C Process
OT System computer(Historian , MES , SCADA ,
Andon ,VMS ,NMS OT IDS)
HMI HMI
OT VPN Router for maintenance
IT systems
The Internet
Factory Core Ring
More robust system with txOne
3
1
2
1
Edge Fire / Ether Fire
Safe Lock ICS Edition
Edge Guard / Ether Guard
2
A bridge tap for mission-critical
asset with IPS protection and
OT visibility
There is no need to change the
existing configuration, as it is
just between the networks.
We offer vulnerability measures
to multiple devices collectively.
It is also possible to use the
NAT function for network
integration of existing devices.
The lockdown mechanism can
prevent the execution of
unexpected programs such as
malware.
相互理解の推進
IT部門の製造(開発)部門への理解
×
製造(開発)部門のIT部門への理解
Moxa Inc.
アジア営業本部日本営業部
長澤 宣和( [email protected] )
Tel:050-7114-9675
Adress:160-0023 東京都新宿区西新宿1-20-3 西新宿高木ビル7,8F
信頼あるネットワーク・誠実なサービス