お客様へのご提案
制御システムネットワークで最も重要な情報は何ですか? あなたがライフサイエンスのOT/IT担当者だとしたら、私が質問を終えるまでに答えることができるでしょう。
極めて重要なシステムデータを特定し、それを保護する必要を認めること。これは多くの点で容易な部分です。しかし、サイバーセキュリティリスクを軽減し、最新のモノのインターネット(IoT)テクノロジを活用できるネットワークインフラを設計することは、障害となる可能性があります。
確かに、今日のライフサイエンス企業は企業全体の情報を密接に結びつけ活用することの利点を認識して、電子バッチレコードや報告機能を強化し、高度な分析ツールや他のデジタル技術を有効活用しています。
しかし、さらに大きな接続性を求めるうちに、うっかりしてリスクを取り込んでしまうネットワークを選択してしまうことがあります。
ネットワークインフラの構築は計画的ですか、それとも無計画ですか?
これについて考えてみましょう。どのようにして、異種のシステムでデータを共有できるようにしますか?
もちろん、この目標を達成する一番容易な方法は、すべてを同じネットワークに配置することです。これは珍しいことではありません。
利便性のために、フラットなセグメント化されていないネットワークの構築を決断することがあります。そこでは、情報は自由に交換可能です。より一般的には、セグメント化されていないネットワークというのは、旧式のインフラが徐々に拡張したという意図しない結果です。そこには、VLANの利点も、ファイアウォールや他の境界線もありません。
セグメント化されていないネットワークの問題
原因がどうであろうと、セグメント化されていないネットワークはアクセスと通信が容易であるかわりに大きな犠牲を払います。
まず、フラットなセグメント化されていないネットワークのインフラは、重要でないデータも重要なデータも同様にサイバーセキュリティリスクにさらします。ネットワーク境界やアクセス制限なしでは、攻撃者は最も脆弱なエントリポイントを利用し、ネットワークやそれに接続しているすべての機器に深く侵入できます。
危険にさらされるコンテンツは、製造情報やレシピ情報から治験データ、価格設定、および市場戦略にまで及びます。
さらに、セグメント化されていないネットワークは通常、非効率なネットワークです。最初はオペレーションを実行できるので、ネットワークパフォーマンスの問題に企業は気づかないかもしれません。しかし、システムが更新され、新機能が追加され、ネットワークトラフィックが増大すると、ネットワーク衝突や減速がより頻繁に発生し、しばしば生産の問題が表面化します。
データの損失、システムの可視性を失った経験をした人を知りませんか? あるいは自分で経験したことはありませんか? こうしたことは起こります。
多層防御アプローチの一環として、ネットワークセグメンテーション、すなわち1つのネットワークを小さなネットワークに分割することは、不必要なブロードキャストトラフィックを軽減し、攻撃者がすぐに利用できるリソースを制限するのに役立ちます。
セグメンテーションを使用中のシステムに構築
オートメーションシステムを構築するときに、ネットワーク設計やパフォーマンスを考慮しましたか? また、ネットワークパフォーマンスを改善し、潜在的な侵入範囲を制限できるセグメンテーションをどのように組み込みますか?
私の経験では、大半のライフサイエンス企業は生産プロセスの管理の点では非常に優れています。しかし、多くの企業は、選択したオプションがネットワークインフラにどのようなインパクトを与えるのかを認識していません。結果として、既存のインフラのコンテンツの範囲やトラフィックパターンに気づかず、潜在的なリスクやパフォーマンスの制限にも気づいていない可能性があります。
システム監査は、システムに含まれているコンテンツ、デバイスの通信方法、情報の伝達方法をより良く理解するのに役に立ちます。システム監査は、最初のステップとして、潜在的なリスクを特定し、パフォーマンスの改善を評価するのに必要な基本的情報を提供します。
監査が完了したら、IEC 62443指針に準拠したリスクアセスメントを実施するのが業界のベストプラクティスです。これにより、優れたネットワーク設計とセグメンテーションへの正しい方向に向かいます。
IEC 62443は一連の国際規格で、産業用オートメーションと制御システム(IACS)の現在、および将来のセキュリティの脆弱性に対応し軽減する柔軟なフレームワークを提供します。特に、IEC 62443-3-2はリスクアセスメントのガイドラインを提供します。
リスクアセスメントは現在のセキュリティの実態を提供し、許容可能なリスクの状態を達成するには何が必要かを明らかにします。
必ず、システムの異なるエリアは異なるセキュリティのニーズがあることに気づくでしょう。リスクアセスメントは、新しいテクノロジの実装のために受け入れるリスクのレベルに関して妥当な判断をするのに役立ち、セキュリティ目標と生産性目標の2つを論理的に達成するためにどのようにネットワークをセグメント化するかを決断するのにも役に立ちます。
お客様の要件に応じて、アクセス制御リスト、ファイアウォール、VLAN、産業用非武装地帯(IDMZ)、および他のテクノロジを含む複数のセグメンテーション方法を選択できます。
コネクテッド施設の保護
ネットワークセグメンテーションは、サイバーセキュリティへの多層防御アプローチの一環として推奨される多数の方法の1つに過ぎないことに注意してください。効果的な戦略は、ドアに付ける簡単な物理的セキュリティデバイスから、高度な電子機器や安全防御の手順までの複数の保護レイヤを含みます。
また、効果的な戦略とは、用意周到な設計だけでなく、積極的な介入、およびメンテナンスも必要となる継続的なプロセスです。
ロックウェル・オートメーションは、IEC 62443ガイドラインに準拠してお客様のシステムの設計と保守をどのように支援できるかをご紹介しています。また、最新のIEC 62443認定もご覧ください。
公開 2020/01/15