お客様へのご提案
シスコ社とロックウェル・オートメーションの目標は、工場設備、ITソリューション、クラウドソリューション、およびスタッフを接続するためにConverged Plantwide Ethernet (CPwE)を使用することだけではありません。
それは組織の安全を保ちながら、組織がその接続を介してより多くのことを達成できるようにします。
CPwEの機会にはCPwEリスクが伴う
イーサネットネットワークに産業用デバイスを追加すると、一般的なサイバー犯罪者から国家やテロリストにいたるサイバー脅威にアクセスし、それらを制御するためのエントリポイントを提供することになります。
そこからの可能性は恐ろしいものであり、膨大です。
これらのリスクから産業用デバイスを保護するには、ネットワークアクティビティを明確に把握することと、ネットワークを個別の部分に分割する能力の2つが必要です。
ネットワークの可視性は産業用デバイスまで拡張する必要がある
IT/OTネットワークで発生していることを正確に把握できないと、セキュリティチームは攻撃を特定したり、アクセスを管理する効果的なポリシーを作成したりできません。
課題は、多くの一般的なITネットワーク・モニタ・ツールでは必要な可視性を提供できないことです。それはなぜでしょうか? 産業資産は、ツールが単にサポートすることを意図していないIACSプロトコルを使用しているためです。
お客様ががより包括的なプラントビューを実現できるように、シスコ社とロックウェル・オートメーションは、コアITプロトコルと共通産業プロトコル(CIP)の両方をサポートする統合IT/OTモニタツールを提供しています。
ネットワークをセグメント化して侵入を制御
サイバー犯罪者は、最も脆弱なポイントを探して悪用することによりIACSネットワークに侵入します。
これに対処するために、ネットワークセグメンテーションは、ネットワークを小さなゾーンに分割し、それらの間のデータフローを厳密に制御します。トラフィック(および攻撃者やマルウェア)は、許可なく1つのゾーンから別のゾーンに移動することはできません。
産業分野のお客様の場合、一般的なセグメンテーション方法は、産業非武装地帯を介して企業地帯から産業地帯を分けることです。OT/ITチームは、協力してアクセス制御リスト(ACL)を介して各ゾーンへのアクセスを定義します。
ただし、ACLを手動で管理することは非常に面倒です。また、大きなリストはネットワークデバイスのパフォーマンスに影響を与える可能性があります。
そのため、セグメンテーションをより簡単かつ柔軟にするために、セキュリティグループを使用してアクセスポリシーを定義できます。事前定義されたグループタグは、場所、目的、ユーザの意図などに基づいて資産に自動的に適用できます。
パートナとモバイル従業員のアクセスの制御
産業組織は、パートナやモバイルワーカーのセキュアなアクセスを可能にすることがますます求められています。
Cisco Identity Services Engine (ISE)によって、ITは従業員と信頼できるパートナの役割を定義できます。これらの役割は、産業ネットワークと企業の基幹ネットワーク内の資産へのアクセスを許可および制限するように構成できます。
また、Cisco ISEは、工場の担当者、ベンダー、パートナ、およびゲストが新しいデバイスを自動的に登録およびプロビジョニングするためのセルフサービス登録ポータルも提供します。
多層防御は可視性とセグメンテーション以上のもの
プラント全体のアーキテクチャを完全に保護できる製品、技術、または方法論は1つもないことを覚えていなければなりません。可視性とセグメンテーションは重要ですが、大規模戦略の2つの部分にすぎません。
IACS資産を保護するには、内部および外部のセキュリティの脅威に対処する総合的な多層防御セキュリティアプローチが必要です。
シスコ社とロックウェル・オートメーション(Cisco and Rockwell Automation)では、そのアプローチを可能にし、オペレーションの安全を維持できるよう支援しています。CPwEセキュリティの課題についてすぐにお話をしましょう。
公開 2019/07/05
