生産現場のパソコンやサーバーは古いOSが多く、サポート切れOSの継続利用や、システムの構成を変更したくないのでセキュリティパッチを適用できないといった課題がある。
近年、インターネットに接続するIoT機器の導入の増加に伴い、工場におけるセキュリティ被害が後を絶えず、多数の国内・日系企業でマルウェア感染による生産停止が発生。
制御ネットワークに配置される産業制御機器の停止は工場における製造ラインの稼働の停止に直結するものが多い。
We are EdgeFire/EdgeIPS
EdgeFire/Edge IPSは、産業制御システムの脆弱性保護のために開発された産業用ネットワークセキュリティアプライアンスです。
未許可の通信を可視化してネットワークで防御します。
NECネッツエスアイのSOC(セキュリティオペレーションセンター)と組み合わせ、お客様の課題を解決します。
柔軟なネットワーク分離や脆弱性攻撃対策などを行うことで、新設生産ラインの安定稼働や脆弱な設備群を新たにネットワーク接続する際のセキュリティリスクを低減します。
HMIやPLCなどの重要資産に対して透過型で1対1で設置。既存ネットワーク構成を維持したままで脆弱性攻撃や不正アクセスの防止が可能です。
大規模ネットワーク環境を想定した次世代侵入防御システムで、ラックマウント型で提供します。
防塵、コンパクトサイズ、低消費電力、障害時バイパス機能など、止まることが許されないOT環境に適した対応動作温度、耐久性、通信継続性を保持しています。
仮想パッチは最新の脅威情報を元に作成され、生産設備が脅威にさらされる期間を最小限に抑えます。パッチが適用できないレガシーシステムの保護にも有効です。
保護対象の各資産のモデル名などの情報、ITプロトコル/制御プロトコルを含めたネットワークトラフィックの状況を可視化します。
産業用プロトコルのコマンドベースで通信制御を行うことで、不正操作による誤動作や重要資産への不正なアクセスを防止します。
多くのEdgeFire・EdgeIPSが導入された環境では、OT Defense Console(産業向け集中管理コンソール)により、効率的に管理することで管理工数を削減します。
お客様の代わりに工場ネットワークを24時間365日セキュリティ監視・運用を行います。
攻撃発生時には、セキュリティアナリストがリアルタイムで脅威の解析を行い、対策立案、通信遮断対応などをトータルでサポート。
お客様のセキュリティ運用を強力に支援。
Case Study
FW/NATなどによるネットワーク分離
■DMZにある特定のサーバからのみ生産ラインAにあるHistorianにアクセス可能とすることで、生産ラインA内のその他の設備と外部Nネットワークとの間の不正通信や、Historianにおけるその他のサービスをターゲットにしたワーム感染などのリスクを低減。
IPS機能による脆弱性攻撃・ワーム感染の防止
■生産ラインA内のHistorianに対する通信を許可していたDMZにある特定サーバが攻撃を受け、当該サーバを介して、脆弱性攻撃がHistorianに対して行われたとしても、IPS機能により攻撃をブロック。
■生産ラインA内のEWSがUSBメモリ経由でDOWNADなどのワームや持ち込み端末経由で ランサムウェアに感染したとしても、生産ラインAのネットワークを超えてワームが拡散することを防止。
※東西方向の侵入防御やProtocol Filterには制限があるため、横感染防止を目的とする場合はEdgeIPSを併用ください。
■不必要な上位ネットワークとの接続を制限することで、上位ネットワークから生産ライン内への不正アクセスなどの脅威侵入リスクを低減(逆も同様)
IPSによる脆弱性攻撃・ワーム感染の防止
■通信を許可されている上位ネットワークの特定端末などがワーム感染し、そこから通信を許可されている生産ライン内の脆弱な設備などに脆弱性攻撃がなされても、IPSによりブロック。
■レガシーOSが利用されていたり、パッチ適用が困難な既存の脆弱な設備がUSBストレージや持ち込み端末などを介してワーム感染したとしても、上位ネットワークに脅威が拡散することを防止。
※ファイルベースの脅威対策として、別途TXOne StellarやTrend Micro Portable Securityなどを併用することを推奨
※東西方向の侵入防御やOT Protocol Filterには制限があるため、横感染防止を目的とする場合はEdgeIPSを併用ください。
ご質問や導入にあたってのお打ち合わせ希望についてはこちらからお気軽にお問い合わせください。
