～製造業のためのネットワークセキュリティ実践入門セミナー～

「グローバル産業ネットワーク機器メーカーから見た産業ネットワークとセキュリティ」

Moxa Inc. アジア営業本部

IIoT事業開発マネージャ

長澤 宣和

社外秘

MoxaはIIoTにおいて信頼できるパートナー

# 1シリアル接続のサプライヤ

# 3産業用イーサネットインフラストラクチャのサプライヤ

市場リーダーシップ

ものデバイスの接続実績

世界中で

5千万台以上ものOT経験

30年以上

社員数約1,200名：Best Employee of the year in Taiwan 2013/2016

研究開発の人材

35% 120以上ディストリビュータ

研究開発投資 グローバルカバレッジ

高性能ヒートシンク

ラック内での上部と下部にて熱収集なし

Other Device on Rack

Other Device on Rack

側面での熱伝導

PowerIN

Power OUT1 Power OUT2

Power OUT3

Heat Source1

Heat Source2

Heat Source3

Heat Source4Heat Source5

Hot Spot1Hot Spot2

Hot Spot3

Hot Spot4 Hot Spot5 Hot Spot6

Hot Spot1

ChassisTA

Component Level

消費電力／ホットスポットの配置温度仕様(Tモデル)／サーマルモジュール

デザインを考慮し設計 !!

Moxa のハードウェア設計

ロシアのパイプライン監視システムではMoxaのSWが600個以上使用されています。

サウジアラビアの掘削システムではMoxaのSWが1000台以上使用されています。75°C

-40°C

Moxa のハードウェア設計

Industrial Computing

Industrial Computing

IIoTGateway

Industrial Network Infrastructure

Industrial Ethernet

Industrial Wireless

Secure Remote Access

Industrial Edge Connectivity

Serial Connectivity

I/O Connectivity

IIoTConnectivitySoftware

Data Management Network ManagementDevice Management

IIoT Cloud Alliances

SCADA IoT Cloud

IIoTGateway

Moxaが提供する価値

社外秘

Moxaが提供する価値

Industrial Computing

Industrial Computing

IIoTGateway

Industrial Network Infrastructure

Industrial Ethernet

Industrial Wireless

Secure Remote Access

Industrial Edge Connectivity

Serial Connectivity

I/O Connectivity

IIoTConnectivitySoftware

Data Management Network ManagementDevice Management

IIoT Cloud Alliances

SCADA IoT Cloud

IIoTGateway

Moxaが提供する価値

社外秘

UC-2100with up to 2 serial ports

and 2 LAN ports

UC-3100with 2 serial ports, 2 LAN

ports, and 1 CAN port

UC-5100with 4 serial ports, 2

LAN ports, 2 CAN

ports, and 4 DI/DO

UC-8100-ME-Twith 2 serial ports

and 2 LAN ports

Software

ThingsPro® Suite:• ThingsPro Gateway: A ready-to-run data acquisition platform

UC-8200with 2 serial ports, 2

Giga LAN, CAN and 4

DI/DO in Cortex-A7 Dual

core CPU

Completed IIoT Gateway Product Portfolios

Moxa の IoT Gateway

社外秘

Linux Foundation

LTS(Long-Term Support)

Moxa LinuxSLTS

(Superior Long- Term Support)

2～3年間

10年以上

新機能のサポート バグフィックスとセキュリティパッチ

リリース

従来型IIoTゲートウェイ

Moxa製インテリジェントIIoTゲートウェイ

Moxa Industrial Linx

Connectivity

Rethink

Industrie 4.0 Tool Box

https://industrie40.vdma.org/doc

uments/4214230/0/Guideline%2

0Industrie%204.0.pdf/70abd403

-cb04-418a-b20f-76d6d3490c05

Guideline Industrie

4.0 Guiding

principles for the

implementation of

Industrie 4.0 in

small and medium

sized businesses

by VDMA(ドイツ機械工業連盟)

社外秘

製造業の IoT 化で不足するモデル

センサー ゲートウェイ クラウド解析

社外秘

製造業の IoT 化で不足するモデル

社外秘

システム構成図を作りましょう

System 1

OT backbone network

HMI

PLC

System 2

HMIPLC

System N

HMI

Firewall

ACL

ACLACL

ACL

ACLACL

OT IDSMirror

Network

IT System

社外秘

製造業におけるサイバーセキュリティのアプローチ

工場ネットワークのセキュリテ事故の例には事欠かない

https://tech.nikkeibp.co.jp/it/atcl/news/17/062101713/

感染したのは工場設備に付帯するPC。生産ラインの管理などに使うものだ。感染した具体的な拠点や感染台数は明らかにしていない。感染PCはすぐにネットワークから隔離した。「各拠点には（注意喚起を目的にWannaCryの）ニュースを出していたので初動が早かった。脅迫画面は出なかった」（同）。

WannaCryはWindowsの脆弱性（MS17-010）を悪用するが、既にパッチは公開されており、適用していれば感染を防げる。本田技研工業の広報担当者は「PCは可能な限り対策をしていたしWannaCryのニュースを周知

していた。ただ、一部設備に付帯するバージョンが古いPCには脆弱性があった」と話す。

工場ネットワークのセキュリテ事故の例には事欠かない

社外秘

体系だった製造業向けセキュリティ対策「IEC-62443」

IEC-62443

General Policies & Procedures System Component

IEC 62443-1-1

Terminology and concepts

IEC 62443-1-2

Master glossary

IEC 62443-1-3

System security

compliance metrics

IEC 62443-1-4

IACS security

lifecycle and use-case

IEC 62443-2-1

Requirements for an IACS

security management system

IEC 62443-2-2

Implementation guidance

IEC 62443-2-3

Patch management

IEC 62443-2-4

Installation & maintenance

IEC 62443-3-1

Security technologies

IEC 62443-3-2

Security levels for zones and

conduits

IEC 62443-3-3

System security requirements

and levels

IEC 62443-4-1

Product development

requirements

IEC 62443-4-2

Technical security requirements

社外秘20

Security Level High Medium Basic

IEC 62443-4-2

Level 2

IEC 62443-4-2

Level 1

General

Baseline*

Change Default Password / SNMP Community String V V V

Enable Auto Logout V V V

Enable Trusted Access V V V

Enable Account Login Failure Lockout V V V

Enable Password Complexity Strength Check V V -

Enable Broadcast Storm Protection V V -

Disable Non-encrypted TCP/UDP Ports V V -

Set SNMP Trap/Inform or Syslog Server V V -

Set Login Message V V -

Enable Configuration File Encryption V - -

Built-in Profiles

Check Items

* Refer to CISCO White Paper “Enterprise Security Baseline for LAN, Wireless LAN, and WAN” and “Network Security Baseline”, and SANS Institute “ Router and Switch Security Policy”

Moxa のIEC62443-4 product

社外秘

Moxa のIEC62443-4 product

DIN-Rail Ethernet Switches

EDS-G500E/500E

Device Servers

NPort 6000/S9450/

S9650*/S8000

Rackmount Ethernet Switches

ICS/IKS Series

PT-G7000 Series

Protocol Gateways

MGate 5101/5102

MGate 5103/5105

MGate 5109

MGate 5111/5118

MGate W5108/W5208

Industrial 802.11n Wireless

AWK-4131A

AWK-3131A

AWK-1131A

AWK-1137C

Secure Routers

EDR-810

EDR-G902

EDR-G903

社外秘

トレンドマイクロという会社のアプローチ

ボックスカメラ

ブレット型カメラ

キューブカメラ

人数カウントカメラ

固定ドームカメラ

パノラマフィッシュアイカメラ

マルチセンサーカメラ

スピードドームカメラ

スプリットタイプカメラ

ビデオサーバー

モバイルアプリ

PoEソリューション

ビデオ解析 (VCA) ビジネスインテリジェンス

クラウドサービス

ビデオマネージメントソフトウェア(VMS/CMS)

モバイルドームカメラ

カメラ管理ソフトウェア

ネットワークビデオレコーダー

(NVR)

トレンドマイクロという会社のアプローチ例（VIVOTEK）

トレンドマイクロという会社のアプローチ例（VIVOTEK）

社外秘

LINE(線) , Plane（面） , Dot （点）で守る！工場セキュリティ

• 境界での入り口対策

（Line Defense）

• 万一の感染時も拡大を留めるセグメンテーション設計

( Plane Defense)

• 重要設備のピンポイントでの防御

(Dot Defense)

26

Perimeter Defense

Plane Defense Secure

Mission-

Critical

Assets

Factory Network Reference Diagram

IT environment

OT environment

OT Core switch

OT Distribution switch

OT Edge switch

A Process B Process C Process

OT System computer(Historian , MES , SCADA ,

Andon ,VMS ,NMS OT IDS)

HMI HMI

OT VPN Router for maintenance

IT systems

The Internet

Factory Core Ring

IT environment

OT environment

OT Core switch

OT Distribution switch

OT Edge switch

A Process B Process C Process

OT System computer(Historian , MES , SCADA ,

Andon , NMS ,VMS , S)

HMI HMI

OT VPN Router for maintenance

IT systems

The Internet

Factory Core Ring

Core Network Security Functions

VLAN

ネットワークを分割して余計な通信をおこなえない環境を作る！

ACL(Access Control List)

ネットワークを制御して決められた通信以外は通信させない。

Port Mirroring

今ある通信状況をしっかりと把握するために情報を収集する

Port Security/ IEEE802.1x(Authentication)

ネットワークを制御して決められた通信以外は通信させない。

OT Core switch OT Distribution switch OT Edge switch

OT Core switch OT Distribution switch OT Edge switch OT Core switch OT Distribution switch OT Edge switch

OT Core switch OT Distribution switch OT Edge switch

txOne Networks

TREND MICRO and MOXA as OneTo accelerate the Industrial world's transition to secure automation and data exchange.

30 years’ Security KnowledgeHigh-Speed DPI TechnologyWorld leader in Threat Research

31 years’ OT KnowledgeICS Infrastructure and ProtocolsRobust Hardware Manufacturing

TXOne Networks

CyberSecurity

Expertise

Industrial Mindset

Purpose-Built

Technology

IT/OT Convergence

IIoT Applications

31

2019年度 TOPICS

日本経済新聞2019年4月10日

Copyright 2018 Trend Micro Inc.32

Protocols:CC-LinkModbusEthernet/IPProfinet…Functions:Read/Write/Config/Reset/…

Unique Technology: TXODITM

-TXOne One-Pass DPI for Industrial

Device Identification

Protocol and Function

Identification

Intrusion Prevention

and Virtual Patch

Machine Learning

Vendor IDDevice TypeProduct Code…

ICSA-19-017-01ICSA-18-352-06CVE-2018-8072CVE-2018-8854…

Connectivity TypePeer TypeFrequency…

On

e-Pa

ss In

spec

tio

nPacket

InPacket

Out

• IT-OT DNA Integration• Visibility（見える化）• Control & Protection• Low Latency

Latency

< 1ms

社外秘

Ether Guard Series: Next-Generation Industrial IPSL2-L7 Visibility and Protection

*Wide Temperature (−40℃ to 75℃)*Tiny Dimensions(2 x 3.1 x 0.87 in)

Virtual Patch

Whitelisting Control

Network visibility

TXODI inside

●重要設備の手前に置くセキュリティボックス

・現場の人・設備にわかりやすく、使える製品とい

う設計・開発コンセプト。

• MTBF > 1,500,000 hours• -40 to 75oC wide temperature operation• 5-year warranty• Industrial certificates• 省スペース設計：2x3.1x0.87 inch

34

2019年度 TOPICS

IT environment

OT environment

OT Core switch

OT Distribution switch

OT Edge switch

A Process B Process C Process

OT System computer(Historian , MES , SCADA ,

Andon ,VMS ,NMS OT IDS)

HMI HMI

OT VPN Router for maintenance

IT systems

The Internet

Factory Core Ring

More robust system with txOne

3

1

2

12

IT environment

OT environment

OT Core switch

OT Distribution switch

OT Edge switch

A Process B Process C Process

OT System computer(Historian , MES , SCADA ,

Andon ,VMS ,NMS OT IDS)

HMI HMI

OT VPN Router for maintenance

IT systems

The Internet

Factory Core Ring

More robust system with txOne

3

1

2

1

Edge Fire / Ether Fire

Safe Lock ICS Edition

Edge Guard / Ether Guard

2

A bridge tap for mission-critical

asset with IPS protection and

OT visibility

There is no need to change the

existing configuration, as it is

just between the networks.

We offer vulnerability measures

to multiple devices collectively.

It is also possible to use the

NAT function for network

integration of existing devices.

The lockdown mechanism can

prevent the execution of

unexpected programs such as

malware.

相互理解の推進

IT部門の製造(開発)部門への理解

×

製造(開発)部門のIT部門への理解

Moxa Inc.

アジア営業本部日本営業部

長澤 宣和（ john.nagasawa@moxa.com ）

Tel:050-7114-9675

Adress:160-0023 東京都新宿区西新宿1-20-3 西新宿高木ビル7,8F

信頼あるネットワーク・誠実なサービス