工場内ネットワークのセキュリティ対策は喫緊の課題。導入の手間を最小限に抑えながら工場内ネットワークに強固なセキュリティ対策をもたらすアラクサラネットワークスの小型アプライアンス「AX260A」なら、“既存スイッチを入れ替えるだけ”で工場で使われている制御用コンピュータや専用機器などの装置を強力に保護することができる。

かつては、工場の製造装置や制御機器を結ぶネットワークといえば、OA系のネットワークとは異なり、外部とは遮断された“閉じられたネットワーク”であり、それ故に特にセキュリティ対策は必要ないと思われていた。しかし、USBメモリなどを介して感染し、機器を物理的に破壊するウイルス「Stuxnet」の登場や、工場内の機器を外部から監視／管理する生産管理手法のためのインターネットへの接続など、工場ネットワークが置かれた環境はこの5年ほどで激変した。

そうはいっても「身の回りで被害が出ているなんて聞いたことがない。本当に危ないのか」と思われる方もいるかもしれない。ただそれは公表されないだけであって、大なり小なり問題は起きているのだ。重要インフラシステムのセキュリティに関する研究機関である制御システムセキュリティセンター（CSSC）には、産業ネットワークの脆弱性や攻撃についての情報が集まっているという。また、公開された数少ない例としては、警視庁のセキュリティサイト（＠police）が、2015年10月と12月に国内メーカー製PLCを標的とした攻撃が起きていると警告している。

もはや、閉じられていようといまいと工場内ネットワークのセキュリティ対策は喫緊の課題なのだ。ところが、肝心のセキュリティ対策があまり進んでいない。その理由の一端を、TechFactoryが2016年6月に実施した現場技術者へのアンケートに見ることができる。

工場のネットワーク化に不安を感じるという人は79.4％に上るが、セキュリティ対策をしていると答えたのは半数に満たない48.2％しかない。なぜ対策していないのかの理由が以下の図だ。「よく分からない」が22.0％、「ネットワークにつないでいないので必要ない」が20.1％、「セキュリティに問題があるとは思えないから」も7.9％いる。まったく認識が不足しているといわざるを得ない。

ホワイトリスト方式で強固なセキュリティ「AX260Aシリーズ」

このような、ネットワークセキュリティを理解している人が少ない工場の現場にぴったりの、導入や設定、管理の手間が少なく、それでいて強固なセキュリティを実現する製品を提供しているのがアラクサラネットワークスだ。知らない方は海外の企業と思うかもしれないが、2004年に日立製作所とNECの合弁会社として設立されたれっきとした国内企業で、高性能ネットワーク機器のトップメーカーである。

アラクサラネットワークスが、2016年7月に供給開始した小型アプライアンスが「AX260Aシリーズ」だ。工場で使われている制御用コンピュータや専用機器などの装置を、工場内ネットワーク上で強力に保護することができる。

小型アプライアンス「AX260Aシリーズ」

一般にOAシステムのセキュリティ対策やPCのセキュリティソフトでは、怪しい通信や悪意のあるプログラムをリスト化したブラックリストを定義ファイルとして持ち、リストにあるものを不正と判断する仕組みだ。しかしブラックリスト方式では、汎用性が高い一方で定義ファイルを常に最新のものに更新する必要があり、サポートコストや管理工数がかかる。また未知の攻撃を検出することができないといった短所がある。

同社ネットワークシステム部
技師 内住圭吾氏

これに対してAX260Aシリーズの最大の特長は、「ホワイトリスト方式」を採用していることにある。ホワイトリスト方式では、許可された“正しい”通信をリスト化することで、それ以外の通信は全て不正と判断する。このため、ブラックリスト方式のように定義ファイルの更新は不要で、さらに未知の攻撃に対してもセキュリティ対策として機能する。

ただホワイトリスト方式は、不特定多数機器がつながれ、ネットワーク構成の変更が頻繁にあるような、OAシステムなどでは、運用に工夫が必要となるため、特定用途以外ではあまり使われていない。だが裏を返せば、工場内ネットワークのように基本的に決まった装置／ソフトウェアがずっと使われ、同じ通信しか流れないシステムには、非常に相性が良いのだ。

　「（工場にある）これまでインターネットにつながることの脅威を考慮していなかった機器、コストなどの観点からセキュリティ対策が取られていなかった機器がどんどんネットワークにつながれていきます。こうした、機器自身でのセキュリティ対策ができないものをネットワークスイッチで守ろうというのが、われわれが提案するホワイトリストスイッチです」（ネットワークシステム部 技師 内住圭吾氏）

同社ネットワークシステム部
GL主任技師 矢野大機氏

「セキュリティの世界では、ホワイトリスト方式の方が絶対にセキュリティが高いとされているんです。ただ、ネットワークの構成変更への対応に手間が掛かるためにブラックリスト方式が使われているのですが、こと製造業ではそこは問題にならない」（同社ネットワークシステム部GL主任技師 矢野大機氏）

ホワイトリスト方式が工場内ネットワークと相性が良く、強固なセキュリティ対策となり得ることは分かるが、運用面はどうだろうか。ホワイトリストをどうやって作ればいいのか。大企業ならともかく、中小の製造メーカーなどではネットワーク専門の部隊などはいないことが多く、まして工場ではネットワークセキュリティのことは本来の業務ではないと見なされることもあり、セキュリティ管理の手間やコストは最小限に抑えたいところだ。

　アラクサラネットワークスのAX260Aシリーズは、この点も十分に考慮されている。まず導入は、工場内ネットワークで使われているネットワークスイッチをAX260Aシリーズに置き換える。いままでなかった装置を加えるのではなく、スイッチを入れ替える形なので設定変更などの手間は最小限に抑えられる。その上で、AX260Aシリーズをホワイトリスト学習状態にして、一定期間、通常の製造業務を行う。AX260Aシリーズは、この間に行われる通信を、「正しい通信」として認識しホワイトリストを自動生成してくれるのだ。

ホワイトリスト機能の動作

ホワイトリスト作成後には、運用状態にして、あとは基本的にAX260Aシリーズ任せでよい。もし、ホワイトリストにない通信などが発生した場合には、直ちにその通信を遮断してメールなどを通じて外部に通知する仕組みなので、通知メールが来ない間は管理者はセキュリティを意識しなくて済むのだ。学習／運用状態の切り替えは、現在はコマンドを入力する必要があるが、2017年2月をめどにWebブラウザを使ってより簡単に状態を切り替えたり、ホワイトリストを確認したりできるようになる予定だ。

ネットワークのセキュリティ対策においては、管理者は常に最新のセキュリティ情報をチェックして、自社のネットワークに問題がないかをモニターしなくてはならず、かなりの手間がかかるというのが一般的だ。しかし、アラクサラネットワークスのAX260Aシリーズであれば、ホワイトリストを作るための手間はほとんどかからず、運用中も何か起こらない限り機械任せでよい。工場内ネットワークも、いまやセキュリティ対策が必須であることを認識した上で、最小の手間で強固なセキュリティ対策を導入しようとするなら、アラクサラネットワークスのAX260Aシリーズは筆頭候補といえるだろう。

※この記事は TechFactory に 2016年9月 より掲載されたコンテンツを再構成したものです
http://techfactory.itmedia.co.jp/tf/articles/1609/28/news004.html