ICS/SCADAネットワークトラフィックの
可視性とセキュリティ

2024年5月1日


Flowmonは一般のIT基盤のみならず、産業用制御システムいわゆるOTシステム基盤のネットワークモニタリングおよびセキュリティ機能もご提供しています。このコラムではFlowmon社の Network Traffic Visibility and Security for ICS/SCADA のコラムをベースに、その概要についてご紹介します。

産業用の制御システムが正しく機能することは、エネルギーの配布や機械操作、水の管理など、重要なプロセスの基盤となります。技術の進化により相互接続が進んだことで、外部からの影響に対してより脆弱になりました。ネットワークに変更が加えられると制限や完全なシステムの停止が起こる可能性があり、企業やその顧客に直接的な影響を与えてしまう恐れがあります。Flowmonのネットワーク可視性インテリジェンスによって企業は、このようなリスクを回避し、OT環境においてもセキュリティの脅威に対処しIT運用を強化することができます。

産業ネットワークの信頼性とセキュリティの確保

一時期までは、産業用制御システムは通常、企業のネットワークやインターネットから完全に切り離されていました。そのため、インフラに大幅な変更が行われることはほとんどなく、エンジニアはセキュリティについてあまり心配する必要はありませんでした。しかし、最近では、IoTデバイスや自動化、インダストリー4.0などの台頭により、産業用制御システムの環境は大きく変わりました。

広くITネットワークの可視化にご利用いただいているFlowmonですが、この産業用制御システムの関わるネットワークについても、すでに多くのお客様にご利用いただいています。 早期の異常検出と外部システムとの連携機能に加えて、災害復旧計画やフォレンジック分析のためのデータの取得にFlowmonをご活用いただいています。

Flowmon ADSのICS環境での検証レポート

チェコ共和国ブルノ大学では、FlowmonによるICS基盤の有効性についてこちらの レポート(Behavioral Anomaly Detection in Industrial Control Systems an Evaluation of Flowmon ADS: Technical Report no. FIT-TR-2020-02 Faculty of Information Technology, Brno University of Technology)にまとめられています。

Flowmonは、製造業や公益企業が産業ネットワークの信頼性を確保し、ダウンタイムやサービスの中断を避けるために利用できます。これは、継続的な監視と異常検出によって実現され、サイバースパイ活動やゼロデイ攻撃、マルウェアなどのデバイスの不具合やセキュリティインシデントを早急に報告して修復できるようになります。Flowmonでは現時点で、右の図にあるような関連プロトコル -IEC104, CoAP, Goose, MMS, DLMS- をサポートし、高い費用対効果で、産業用システム分野でも以下のようなエンタープライズクラスの機能セットを利用できるようになりました。

  • リアルタイムでネットワークトラフィックを見ることで、ネットワークの利用状況を把握できます。
  • 個々の環境・場所の特性に応じた、効率的なレポート作成ができます。
  • 脅威やボットネット、ゼロデイ攻撃、パッチ未適用のサービスの悪用など、シグネチャやルールベースのソリューションでは見逃されがちなリスクを、先手で見つけ出します。
  • 自動的に異常を検知し、ネットワークのトラブルや設定の問題に迅速に対処します。

Flowmon を活用するメリット

Flowmonにより、以下のようなシステム運用のメリットを得ることができます。

誤作動を起こしたサービスを修復し通常の業務を回復させるために、広範なネットワークを確実に監視し、信頼できる唯一の情報源とトラブルシューティングの機能をFlowmonは提供します。またトラフィックの特性や接続の信頼性、パフォーマンス、コンテンツ属性の掌握が可能となります。Flowmonの利用するNetFlowに基づく、ネットワーク監視の詳細は ブログ「NetFlowとは」 をご参照ください。

Flowmonは署名やルールベースではなく、高度な分析機能を活用し高いセキュリティを担保することで、ネットワーク全体のセキュリティポリシーに対する適用評価を行います。全てのインフラストラクチャやエンドポイントデバイスを幅広く監視し、多様な実装機能を使って機密データを保護し、APTやゼロデイ脅威、高度なマルウェアを検知します。このFlowmonの異常検出技術はGartnerによっても認められています。

適切に配置されたGUI、わかりやすいダッシュボード、ドリルダウン機能により、トラブルシューティングが効率的に行え、高い操作性を甘受できます。 また安全でないデバイスやセキュリティ設計とプロセスの不備、不規則なパッチ適用、古い機器やOSによる攻撃や侵害などを早期に検知して警告し、EPCIPやNISなどの各指令に対応することが可能です。 その他Flowmonでは、特定のニーズに合わせた正確で詳細な自動レポートを提供します。これにより、定期的またはオンディマンドで業務に求められるレポートの出力要求に対応が可能です。

Flowmon SCADA監視およびセキュリティスキーム

技術的な性質から、ファイアウォールとIPSはネットワーク内の特定ゾーン(L2とL3の間)にしか影響を及ぼしません。これは企業ネットワークには効果的でも、SCADA/ICS環境には十分でないとされています。そのため、ネットワーク内で最も重要な部分が依然として脆弱な状態に置かれています。Flowmonは、従来のセキュリティアプローチを超えて、ゾーン内(L2内)の可視性を提供し、トラフィックに対する完全な理解を提供します。(左図参照)

ファイアウォールは、ネットワークの境界とDMZ間の通信を保護しますが、SCADA環境内の可視性や検出は提供されません。SCADAシステムへの侵入や攻撃は、感染したラップトップを持ち込んでネットワークに接続することなど、比較的容易です。しかし、ファイアウォールでは計画されたメンテナンスや悪意のある活動が表示されない可能性があります。

Flowmonは、IPネットワーク内の通信を監視することに特化しています。これにより、SCADAネットワーク内のすべての通信、サーバーとエンドステーション間の通信、およびSCADAサーバーとHMI(Human Machine Interface)間の通信を深く掌握できます。さらに、包括的なトラブルシューティング機能を提供し、機械学習と異常検出技術を活用して、従来のシグネチャが利用できない場合でも、疑わしい動作を検出します。

終わりに

産業用制御システム(OT)と一般業務ネットワーク(IT)の融合を受けて、統合的なネットワークモニタリングがより重要な位置を占めるようになってまいりました。現在IT環境で高いお客様評価をいただいているFlowmonを、OT環境でも是非ご活用ください。


Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連記事:


Flowmon製品に関する
お問い合わせはこちらからどうぞ

  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)