　「通信の暗号化、認証」については、これまでは、制御装置のリソースが足りなかったり、制御システムのリアルタイム性に影響を与えるため、ほとんど採用されてこなかった。しかし、デバイスの処理能力の進歩に伴い、徐々に利用可能なソリューションも増えてきた。今後は採用される機会も増えていくと考えられる。

　「通信の制限」については、「産業制御システム用ファイアウォール」と呼ばれる製品が存在している。プラントや工場などの制御システムネットワークにおいて、特定の通信プロトコルの通信以外は許可しないような設定が行える。^※4）。

※4）産業制御システム用ファイアウォールの例として、Tofino社のICSファイアウォールなどがある（http://www.tofinosecurity.com/products/overview）

　また、近年片方向の通信しか許さない「データダイオード（片方向ゲートウェイ）」と呼ばれる製品も注目されている^※5）。この製品は、いわゆるダイオードのように一方向にしか通信を許さないため、例えば、原子力発電所の最上位のセキュリティレベルの状態を監視するためのゲートウェイとして用いられている。

※5）データダイオード（片方向ゲートウェイ）の例として、Waterfall Security Solutionsの片方向ゲートウェイなどがある（http://www.waterfall-security.com/category/products/scada-protocols/）

　本稿において、詳しく説明するのは「IPベースの通信を監視する対策」である。これは「侵入検知システム（IDS：Intrusion Detection System）」と呼ばれる製品を用いて実現する。IDSはネットワーク監視装置の1つで、ネットワーク上の通信を監視して不正なアクセスと思われるパケットを発見して検知するというものだ（図2）。

図2：IDSとは何か？（出典：マカフィー）

　IDSは、制御システムの通信を集約しているスイッチのミラーポートと呼ばれるポートを用いて、実際の通信のコピーを監視する方法を取るため、対象の制御システムに与える影響が少ない。これは、可用性やリアルタイム性を意識する制御システムにIDSを適用する場合の大きな利点といえるだろう。では、IDSを制御システムのネットワーク監視に活用する方法をいくつか見てみよう。

IDSの活用例

前のページへ 1|2|3 次のページへ