制御システムでの組み合わせ

上記の各種ホワイトリスト制御をビルの制御システムに対して実装したイメージを以下に表示しました、ご覧ください。

写真を拡大

赤枠の部分、ネットワークにつなげるデバイスのアクセスを制御する部分です。この部分はセキュリティ機能付きのイーサネットスイッチで実現します。制御データをイーサネットプロトコルで通信をするデバイス(PLC-GW、もしくはPLC)が所定の場所に接続されていることを確認し、各制御ネットワークへの接続を許可します。このとき、未登録の端末がシステムネットワークに接続されると、通信を遮断するとともに接続を試みた場所をアラームとして管理者に通知します。内部犯行などを防ぐ際に有効です。

緑枠の部分、各ネットワークに流れる通信を制御する部分です。ゲートウェイ製品(主にUTMなどと呼ばれる製品)で制御します。最近のゲートウェイ製品は制御プロトコルのホワイトリスト機能をサポートしている製品も多くあります。この製品を設置するとシステムで許可された通信しか他のネットワークに流さないので、万が一、感染した端末やハッキング端末からの通信を検知した場合、その通信を遮断するので、悪意のあるリモート操作や他のシステムへの脅威拡散などを防ぐことができます。

青の部分、デバイス、サーバーなどで動作するアプリケーションの制御部分です。WindowsやLinuxなどのOSが搭載されている端末にAgentツールをインストールし、動作可能アプリケーションの制限をかけることが可能になります。このことにより、管理者などが未認可アプリケーションのインストールの試みや、感染してしまった端末が他の端末に対して感染を促すような動作などを防ぐことができます。

説明した通り、上記のホワイトリスト対策の長所は異なります。組み合わせで利用することにより、より強靭(きょうじん)なサイバーセキュリティ対策を実現することが可能です。これを私は制御システムの多層化防御と呼んでいます。
 
またそれぞれの対策を連動させることにより、管理者の負担を軽減することが可能となります。その連携のつなぎ目を補うのはSDN(Software-Defined Networking)という技術です。次回は私たちアライドテレシスが取り組んでいる制御向けのSDNソリューションについて解説していきます。

(了)