産業用セキュリティソリューション

さらにセキュアな環境の形成 – 企業からエンドデバイスまで

保護すべき資産があります。制御システム、ネットワーク、ソフトウェアは、すべてセキュリティへの脅威やリスクに対する防御を支援します。今こそ潜在的な脅威を管理し、ニーズに合った、より安全確実な産業用制御システムを形成するチャンスです。

2

セキュリティアプローチ産業用セキュリティに対するシステム指向のアプローチにより、ロックウェル・オートメーションは、貴社の制御システムのリスクを事前に評価してこれに対処し、貴社の産業用システムに、共通の、安全確実な環境を構築する支援を行ないます。

ロックウェル・オートメーションは、お客様に、個別の産業レベルにおける複数のレイヤを使用して、多層防御アプローチを可能にする製品、ソリューション、およびサービスを提供します。

このアプローチの中で、ロックウェル・オートメーションは、トレーニング、アーキテクチャおよびエンジニアリングのレビュー、回復性および堅牢性のテスト、監査などのセキュリティ設計思想を施した製品の品質を高めます。

産業用セキュリティソリューション産業組織がその事業内で可視性を増す方向へ進むにつれ、制御システムを企業に接続することによって情報のシームレスな流れを確立するニーズは、業務用ネットワークの今日的な要件となっています。完全に接続された企業を効果的に発展させるには、制御システムを越えて拡張する、人的、プロセス、技術に関するリスクに対処する方針と手順を含む、産業用セキュリティに対する包括的なアプローチが必要です。複雑な、相互接続システムは課題なしには実現できません。潜在的なリスクを理解し、貴社の産業オートメーション制御システムにセキュリティの構築を開始することが重要です。

リモートアクセス非生産ネットワーク（パブリック（公衆通信回線）やビジネスネットワークなど）を介して制御システムと通信を行なう必要がありますか ?

不許可アクセスこれまでに、誰かが許可されていない変更を行なったために（正しくないコントローラにプログラムをダウンロードするなどして）生産を失ったことがありますか ?

知的財産権の保護貴社の資産が競合企業に複製されないか心配ですか ?

外部のハッカーパフォーマンス問題や疑わしいネットワークトラフィックを経験し、マルウェアやウイルスなどの活動の疑惑が存在しましたか ?

許可されない変更長期間気づかれずにシステムに行なわれていた変更がありましたか ?

ポリシー、手順、認識

物理的

ネットワーク

コンピュータ

アプリケーション

デバイス

安全確実なアプリケーションは、 物理的制御と論理的制御、 構造化プロセスと手順をはじめとする 複数の保護レイヤに依存します。

3

セキュリティのために設計されたオートメーションアーキテクチャ

ネットワーク基盤の保護

外部攻撃に対する抵抗力を備えた制御システムネットワークを構築します。

• 基準となるアーキテクチャ

• ネットワークサービスおよびセキュリティサービス

• Stratix ™ルータおよびスイッチの製品ライン

知的財産権の保護

許可されない使用から貴重な制御システム内容を保護します。

• Logixのソース保護

改ざんの防止と検出

制御システムに対する攻撃を検出、文書化、通知します。

• ファームウェアデジタル署名

• コントローラ変更の検出とロギング

身元管理およびアクセス制御

高度なユーザ管理によって信頼システムを作成します。

• データアクセス管理

• FactoryTalk®セキュリティ 当社の制御システムおよびその他のインテリジェント・ エンド・デバイスは、セキュリティ設計思想に基づいて 開発されています。品質、回復性、および運用上の 整合性を製品に実現していきます。

製品および機能1つの製品、技術、または方法によって、制御システムネットワークを完全に保護することはできません。Cisco社、Microsoft社、Panduit社などとの提携により、ロックウェル・オートメーションのソリューションは、それぞれのお客様と産業に固有の要件を考慮した、会社規模のセキュリティのベストプラクティス設計、ポリシーと手順などの指針も含め、製品や技術を越えて広がります。

企業ネットワーク

セル /ゾーン 1 セル /ゾーン 2

– セル /ゾーンファイアウォール

プラントの運用

プラントファイアウォール– ゾーン間トラフィックのセグメント化

– アクセス制御リスト（ACL）、侵入防止システム（IPS）

– ポータルおよびターミナル・サーバ・プロキシ

– ネットワーク基盤 アクセス保護、ACL

– 仮想ローカル・エリア・ネットワーク（VLAN）、信頼ドメインのセグメント化

– クライアント強化機能– FactoryTalkセキュリティ

– コントローラ強化機能 物理的セキュリティ

– レイヤ 2アクセスセキュリティ

– 物理的ポート セキュリティ

4

Integrated Architecture®

ロックウェル・オートメーションの Integrated Architecture（統合アーキテクチャ）によって、スケーラブルなコントローラによる工場全体の最適化、オープンで多用途のネットワーク、制御システムをシームレスに統合できるようになります。単一ネットワークテクノロジを使用することによって、多数のタスクを達成し、複数の規範とアプリケーションを単一のパッケージにまとめて、生産データを企業全体に安全で簡単に流すことができるようになります。

ロックウェル・オートメーションのプログラマブル・オートメーション・コントローラ（PAC）、ヒューマン・マシン・インターフェイス（HMI）、ドライブ、ソフトウェアなどのインテリジェントな接続デバイスはセキュリティ設計思想に基づいて開発されており、物理的アクセスおよび論理的アクセスの制御、ならびに知的財産権の保全を推進する機能が搭載されています。オートメーション環境で、情報内容は、エンド・ツー・エンド・セキュリティの追加レイヤを提供する、安全確実な通信および改ざん防止メカニズムにより保護されています。

ControlLogix®プログラマブル・オートメーション・コントローラ

• 信頼スロット指定

• 変更の検出およびロギング（Studio 5000® v20以降）

• ファームウェアデジタル署名

CompactLogix®プログラマブル・オートメーション・コントローラ

• 変更の検出およびロギング（Studio 5000 v20以降）

• ファームウェアデジタル署名

セキュリティを 考慮した設計

CompactLogixプログラマブル・オートメーション・コントローラ

ControlLogixプログラマブル・オートメーション・コントローラ

セキュリティ設計開発の実践は、 共通の攻撃に対して製品を強化するため 製品開発プロセスに組み込まれました。

5

ネットワーク基盤ソリューション

過去数年間で、世界はモノのインターネット（IoT）の時代に入りつつあります。そこでは、何十億ものスマートな「モノ」と機械がインターネットで接続されています。

プラント内のすべてのデバイスが、Ethernet IPを中心とした統合済みのネットワーキング基盤を使用して、企業レベルのデバイス同様に互いに通信を行なう必要があります。そのため、インターネット・プロトコル・スイートのみが、拡張性およびモノのインターネットの共存を確実に実現することができるのです。

ロックウェル・オートメーションは、産業オートメーションの独自ニーズを満たすために設計された基盤ソリューションを提供します。これらのソリューションは、ロックウェル・オートメーションの統合アーキエクチャでの使用に最適化され、プラントと ITの統合の実現を支援するために標準 Ethernetおよび TCP/IPを使用する他の産業アプリケーションで使用できます。

Stratix 5900 ™サービスルータ

• 保護されたルーティングおよびファイアウォール機能• バーチャル・プライベート・ネットワーク（VPN）• ネットワークアドレス変換（NAT）• アクセス制御リスト（ACL）• 侵入防止システム（IPS）

Stratix管理型スイッチ

• アクセス制御リスト• 学習モードによるデバイス認証• プログラム可能ポート制御（オン /オフ）• 許可されないデバイスの識別• 暗号化された管理トラフィック

基準となるアーキテクチャ

• Cisco社と共同開発し、IT制御と産業制御の両方に最適化• 安全確実で未来を見据えた EtherNet/IPネットワーク基盤を設計および展開するための、設計注意事項、指針、およびベストプラクティスを提供

• 多層防御アプローチを利用したセキュリティフレームワーク• 産業用 DMZの実装• リモート・アクセス・ポリシーに関する指針および堅牢かつ安全確実なソリューションを提供するアプローチ

Stratix 8000レイヤ 2およびレイヤ 3モジュール式管理型スイッチ

基準となるアーキテクチャ

Stratix 5700レイヤ 2管理型スイッチ

Stratix 5900サービスルータ

6

情報ソフトウェア

モノのインターネットは、すべての人とすべての事項についてデータを即座に共有する可能性を持っているため、潜在的なセキュリティの脅威を生み出します。

今日のテクノロジを使用して、大量の産業用データが配信されています。データと情報を保護することが必須です。制御と情報を統合することによって、貴社のプラントの生産性を推進するために、すぐに実施可能なデータを安全に収集、管理、作成することができます。

情報ソフトウェアは、データの収集、保存、分析や視覚化を含む情報を管理します。データは、プロセスの実行改善や理解向上に使用できます。

FactoryTalk® VantagePoint EMI

このソフトウェアはデータソースを接続し、データを企業全体の他の異種ソースと関連付け、 エンジニアリングから、メンテナンス、運用、方針策定までのさまざまな担当者に有益な方法で構成します。

• Web利用可能な多様なダッシュボードやレポートを作成し、生産性向上につながる情報を得たうえでの意思決定を可能にする。

• Microsoft Active Directoryと緊密に統合し、役割ベースのアクセスをそれらの人々にのみ許可する。

FactoryTalk®セキュリティ

誰がどこから何を実行するか許可されているかを制御することが重要です。FactoryTalkセキュリティは、オートメーションシステムへのアクセスを試みる各ユーザの身元を照合することによって、集中型認証およびアクセス制御を提供します。

• FactoryTalkセキュリティとセキュリティ権限バインドにより、特定のコントローラへのアクセスを制御する。

• ユーザアクセス制御および役割ベースのセキュリティをコントローラ、HMI、ソフトウェアに提供する。

• FactoryTalk®ディレクトリと通信を行なって、どのユーザがどの行動を許可または禁止されているかを特定する。

FactoryTalk® AssetCentre

制御システムへのアクセスを保護する、資産中心のツールセット。

• ユーザの行動を追跡し、資産構成ファイルを管理し、操作中の資産構成のバックアップと回復を行なう。

• 監査値をモニタし、データをコントローラログに送信する。

Studio 5000®

Studio 5000オートメーションエンジニアリングおよび設計環境は、エンジニアリングと設計の要素を 1つの標準化されたフレームワークに統合します。このソフトウェアのセキュリティ機能によって、知的財産権を保護し、システムに行なわれた変更を検出することができます。

• Logixコントローラのソース保護およびデータアクセス制御

• コントローラ変更の検出とロギング• 整合性が高いアドオン命令

専門サービス

ロックウェル・オートメーションのフィールド・コンサルティング・サービスは、お客様に産業用セキュリティを機能強化するソリューションの評価、設計、実装、検証、管理を支援します。当社のネットワークおよびセキュリティサービス（NSS）コンサルタントは、ご使用の機器に関係なく、制御システム内での運用上の整合性とセキュリティの向上達成でお客様を支援するために、広範なサービスを提供します。NSSの能力には以下のものがあります。

• 資産ベースのリスクおよび脆弱性評価• セキュリティポリシー、手順、ガイドラインの定義• 技術的なセキュリティ制御の開発• 実践的なセキュリティ・ガバナンス・プログラムの 確立

• セキュリティライフサイクルの管理• 産業および ITの専門知識

産業用制御システム保護のガイドライン産業用資産の保護には、適切に定義されたセキュリティポリシーに基づく包括的なセキュリティモデルが必要です。ポリシーでは、セキュリティリスクと、それらのリスクに対処するための可能性のある抑制技術の両方を示す必要があります。

ロックウェル・オートメーションのネットワークおよびセキュリティのサービスでは、セキュリティ規格に照らして、貴社のセキュリティプログラムとアーキテクチャを評価、設計、実装、監査する支援を行なうことができます。

• 国際計測制御学会の ISA/IEC-62443は、特に産業オートメーションおよび制御システム（IACS）を保護するための一連の規格です。

• 米国標準技術局の NIST 800-82は、安全確実な産業用制御システムを確立するための指針を提供しています。これには、SCADA（監視制御データ収集）システム、分散型制御システム（DCS）、および制御システム構成が含まれます。

• 米国国土安全保障省の大統領指令 21 – 安全で、機能し、回復性のある、重要な基盤を強化および維持するための国家政策指令

• アイダホ国立工学環境研究所の DHS INL/EXT-06-11478は、米国エネルギー省の国立研究所が提供する多層防御アプローチを使用する指針です。

Industrial IP Advantage – 未来の産業用接続性に関する リソースセンタIndustrial IP Advantageは、情報の統合と簡単なフローを実現するネットワーク接続テクノロジを最大限に利用できるよう生産者を支援するための、ODVAと協力する Cisco社、Panduit社、そしてロックウェル・オートメーションの意見を共有する企業のコミュニティです。このコミュニティでは、産業アプリケーションで標準インターネットプロトコル（IP）を利用する利点について、教育、技術リソース、ツールを提供します。これにより、課題を共有および克服し、モノのインターネットが提供するチャンスをつかむ支援を行ないます。産業アプリケーションでの IP使用について、最新トレンド、開発、実装に関する助言や意見を受けるため、www.industrial-ip.orgでどうぞこのオンラインコミュニティにご参加ください。

7

Publication SECUR-BR001A-JA-P – February 2014 Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved. Printed in USA.

Allen-Bradley、CompactLogix、ControlLogix、FactoryTalk、Integrated Architecture、LISTEN. THINK. SOLVE.、Rockwell Software、Stratix、Studio 5000は、Rockwell Automation, Inc.の商標です。Rockwell Automationに属さない商標は、それぞれの企業に所有されています。

10のすぐに実施可能な手順10のすぐに実施可能な手順によって、貴社の産業の信頼性とセキュリティを強化しましょう

1. アクセス制御リストとポートブロック機能などの機能を使用して、貴社のネットワークのさまざまな領域に誰がアクセスできるかを制御します。

2. ファイアウォールと侵入検出 /防止システムを使用することによって、ネットワークトラフィックの制限指定および管理を行ない、堅牢かつ信頼性の高い運用を保証します。

3. ウイルス対策およびアプリケーションのホワイトリストを使用して、コンピュータ資産を保護します。 参考資料 : 『Achieving Secure, Remote Access to Plant-Floor Applications and Data』（Pub. No. ENET-WP009）

4. ソフトウェアを最新に保つためにシステムのパッチ適用ポリシーを確率します。 参考資料 : 『Computer System Security Updates』（Pub. No. SECUR-WP002）

5. 「人的要因」を管理するセキュリティポリシーを作成します。例えば、パスワードの管理と保護、取り外し可能メディアや個人の機器の管理。

6. Logixコントローラのキースイッチをランモードにすることで物理的制御レベルを実装してから、キーを取り外します。

7. FactoryTalkセキュリティを使用して、誰がアプリケーションのどこから何を行なうことを許可されているか管理します。

8. コントローラ変更検出と FactoryTalk AssetCentreを使用して、システムに起きている出来事をモニタします。

9. Logixソース保護を使用して、知的財産権を保護します。

10. キャビネットやドアのロックなどの物理的制御を実行することによって、オートメーション機器へのアクセスを制限します。

EtherNet/IPプラント全体の基準アーキテクチャ推奨レイヤの多層防御手段を補完する制御システム設計。http://www.ab.com/networks/architectures.html

ネットワークサービスおよびセキュリティサービスセキュリティ・リスク・アセスメントを実施し、リスクを緩和する方法について推奨事項を提案するコンサルティングの専門家。http://www.rockwellautomation.com/services/security

ロックウェル・オートメーション（NYSE:ROK）は、産業オートメーションに専心する世界最大の企業で、お客様の生産性を高め、地球に優しい技術を提供します。世界中で、当社の Allen-Bradley®および Rockwell Software®の製品ブランドは、その革新性と優秀性を認められています。

ツィッターで ROKAutomationをフォローしてください。 　　　　　Facebookと LinkedInで当社とつながってください。

詳細は、以下のサイトをご覧ください。www.rockwellautomation.com/security

Power, Control and Information Solutions HeadquartersAmericas: Rockwell Automation, 1201 South Second Street, Milwaukee, WI 53204-2496 USA, Tel: (1) 414.382.2000, Fax: (1) 414.382.4444Europe/Middle East/Africa: Rockwell Automation NV, Pegasus Park, De Kleetlaan 12a, 1831 Diegem, Belgium, Tel: (32) 2 663 0600, Fax: (32) 2 663 0640Asia Paci�c: Rockwell Automation, Level 14, Core F, Cyberport 3, 100 Cyberport Road, Hong Kong, Tel: (852) 2887 4788, Fax: (852) 2508 1846