Categories
産業オートメーションとスマート製造の波に伴い、OT(オペレーショナルテクノロジー)環境のセキュリティニーズは日々増加しています。過去には、OTドメインはITドメインネットワーキングから比較的孤立しており、OTシステムは主に機能の可用性と安定性に焦点を当てていましたが、セキュリティ脅威についてはあまり考慮されていませんでした。多くの環境では、セキュリティ脅威は定量化さえされていませんでした。しかし、ネットワーキングデータの交換がより複雑で頻繁になるにつれて、OT環境内のさまざまなOTユニットもより広範なネットワーキングに接続し始め、IoTデバイス、スマート製造監視、分析ユニットの導入と相まって、OT環境で適切な保護メカニズムが欠如している場合、古いOTユニット、生産ラインサーバー、産業用コンピューター、機械が悪意のある攻撃のターゲットになったり、セキュリティの侵害を引き起こし、OT環境内の他の機械に感染し、業務中断や損失を引き起こす可能性があります。
この記事では、QNAP QGD-1602Pセキュリティネットワーキングスイッチを例に、OTドメインで独立した安全な基盤セキュリティ保護環境を確立する方法をヘルプし、ITおよびセキュリティ担当者が簡単に維持できるようにし、産業用コンピューター環境、生産ライン環境、その他のネットワーキングで物理的な隔離を実現します。
セキュリティ層では、OTドメインには次のような特徴と課題があります。
- 高可用性要件:ユニットとシステムは24時間連続して稼働し、攻撃による中断による大きな損失を避ける必要があります。
- 専用プロトコルとシステム:多くの産業用通信プロトコル(Modbus、PROFINETなど)と制御システムは成熟したセキュリティ保護対策を欠いています。
- リアルタイム監視と警告メカニズムの欠如:多くの工場ネットワーキング管理は依然として伝統的なフレームワークにとどまり、異常な行動や悪意のあるプログラムに対するリアルタイム監視と警告メカニズムを欠いています。
したがって、悪意のあるプログラム検出とインストール行動監視機能を備えたスイッチをOTドメインネットワーキング層に導入できれば、OTドメインの保護能力を強化し、リアルタイムで悪意のある行動を阻止し、特定のネットワーキング接続ポイントや指定されたエリア、VLANで脅威を自動的に隔離し、OT環境内のさまざまなシステムの安定性とセキュリティを確保します。
実際にこのQNAP QGD-1602PセキュリティネットワーキングスイッチをOT環境にインストールし、他の2.5G、1Gネットワーキングスイッチに接続し、環境内のユニットの運用状況を分析しました。
インストールとシステム設定を開始する前に、まずこのユニットにハードドライブと SSD をインストールする必要があります。このユニット自体も NAS であるため、 NAS プラスセキュリティネットワーキングスイッチの二重機能を持ち、利点はすべてのセキュリティ関連ソフトウェア、ログファイルをこのユニットの NAS エリアに直接配置し、ログファイルの統合を行い、その後他のセキュリティログ収集ユニット(LogMasterや他のユニット、WORMエリアQNAP NAS など)やSIEMセキュリティイベント管理プラットフォーム(WazuhなどのSIEM)に転送できます。
初期インストール中に、QNAP Qfinderソフトウェアを使用してネットワーキング内でこのユニットを見つけることができ、ADRA Scutity製品カテゴリに属し、ADRAセキュリティ機能が内蔵されていることがわかります。
システムのインストールページに接続すると、インテリジェントインストールを実行するか、他のファームウェアバージョンを選択してインストールすることができると教えてくれます。このユニットはADRAセキュリティ機能ファームウェアを選択することも、標準のQNAP QTS オペレーティングシステムを選択して操作することもできます。
このバージョンを例にとると、デフォルトでまず QNE ADRA バージョンをインストールでき、異なるファームウェアバージョンを手動でこのシステムにアップロードすることもできます。
もし QTS システムであれば、インストールするバージョンを選択することもできます。
これは QNE ADRA インターフェースにスイッチするオプションで、OKを選択すると、インストールプロセスを確認して進行します。
このユニットはスタンドアロンモードまたはクラウド管理モードで動作することができ、OT環境ではスタンドアロンモードを選択してもネットワークに接続できるため、更新や警告機能を含めて動作できます。OT環境ポリシーが外部ネットワーク接続を許可しない場合や、更新時のみ外部ネットワークに接続する必要がある場合は、通常スタンドアロンモードでの操作を選択することをお勧めします。クラウド管理モードについては、クラウドを通じて管理するためにQNAP AMIZクラウドJoin Keyを使用する必要があり、対応するセキュリティメカニズムも備えています。
アカウントパスワードを設定した後、インストールの設定と使用を開始できます。
QGDユニットのデフォルト管理インターフェース。
myQNAPcloud をクリックすると、このユニットのクラウド接続メカニズムの状態が表示され、クラウド管理モードを使用したくない場合は、スタンドアロンモード操作にスイッチすることもできます。
このタイプのユニットを設定する際、OT環境で最も重要なのはセキュリティ警告機能であるため、システムセキュリティ警告通知をメールやSMS、IM、ウェブページプッシュサービスを通じて受け取ることを選択できます。
通知方法を選択した後、通知ルールを設定できます。高リスクの脅威イベントは通知することをお勧めし、他の中リスク、低リスクの情報については、必要に応じてルールを設定して通知します。
警告ルールと受信者のメールを設定した後、通知設定が完了します。
悪意のあるプログラム検出と行動監視機能を備えたスイッチの特徴
1.ディープパケットインスペクション(DPI)
従来のスイッチは主にL3またはL2ネットワーキング交換を処理し、産業用プロトコルやアプリケーション層の深い分析を行うことができません。しかし、悪意のあるプログラム検出機能を備えたスイッチは通常、DPIエンジンを内蔵しており、一般的な悪意のあるプログラムの署名を比較することができます。QNAPの製品は内蔵の ADRA NDR ネットワークエンドポイントセキュリティ保護機能を採用しており、定期的にデータを更新し、次のタスクを実行できます:
- ファイル署名(マルウェア署名)の分析。
- プロトコルパケットに既知の脆弱性や攻撃行動が含まれているかどうかを確認。
DPIは産業特有のプロトコルを検出でき、疑わしいパケットや異常なデータ伝送が見つかった場合、警告を発したり高度な検出を行ったりして、OTエリア内での悪意のあるファイルの横展開を防ぎます。
2. 行動監視とデバイス識別
悪意のあるプログラム検出に加えて、スイッチは行動監視も行うことができます。例えば:
- デバイス状態監視:異常なネットワーキング行動(例えば、トラフィックの急増や減少、異常なパケットタイプなど)を検出し、報告。
- 異常なログインとユーザー権限監視:連続したログイン失敗試行や異常なソースIP/ユーザーアカウントを監視し、警告を発したりロックしたり。
3. リアルタイム警告と可視化
産業用ネットワーキング管理者は生産環境の状態をリアルタイムで把握する必要があるため、リアルタイム警告と可視化データ機能を備えたスイッチは非常に重要です:
- イベントのリアルタイム通知:悪意のあるプログラムファイルや異常なログインを検出した後、メール、SMS、IMインスタントメッセージングソフトウェア、またはウェブページPUSHを通じて即座に通知し、管理者が迅速に対応策を講じることができるようにします。
- 可視化ダッシュボード:デバイス接続状態、トラフィックの傾向、警告イベントをグラフィカルに表示し、疑わしいエリアを迅速に特定できるようにします。
4. 柔軟な展開と統合
OT環境は通常、構造が複雑で、システムのダウンタイムコストが高いです。悪意のあるプログラム検出と行動監視機能を備えたスイッチを次の方法で展開または統合することで、導入の敷居を大幅に下げることができます:
- 既存システムとの統合:主流の産業用通信プロトコルと古いユニットと互換性があり、既存のネットワーキング構造やユニットの更新の必要性を最小限に抑えます。
- 段階的な展開:重要なポイント(高セキュリティ要件のインストールなど)から導入し、徐々に工場全体に拡大します。
QGDシステムページのセキュリティセンターを開くと、システムの現在のセキュリティリスク状態が表示されます。これはユニット自体に対するものであり、OT環境で監視されているユニットに対するものではありません。まずここでシステムの推奨値に従ってユニットリスクを減少させます。
QGDのコントロールパネルから、 ADRA NDR ネットワーキングエンドポイントセキュリティ保護機能に関連するすべてのソフトウェアを最新バージョンに更新することを優先できます。
そして、このシリーズの製品の最も重要なQNEセキュリティネットワーキングスイッチは、このネットワーキングマネージャー Network Manager を通じて管理する必要があります。QNEスイッチ管理のために、このユニットは実際には NAS とネットワーキングスイッチで構成されていることを覚えておいてください。そのため、ネットワーキングスイッチ自体には独自のオペレーティングシステムファームウェアがあり、これも更新が必要です。
QuNetSwitch のシステムインターフェースでは、異なる接続ポイントのライトインジケーターが表示され、左側には接続ポイント管理、POE、VLAN、その他のネットワーク管理ネットワーキングスイッチの一般的な標準設定機能を使用することに慣れたネットワーキング管理者がいます。
この製品のコアキー機能は ADRA NDR ネットワーキングエンドポイント保護機能であり、このページを開くと、脅威分析タブを選択でき、現在のOT環境ネットワーキングで発生している悪意のあるプログラムの動作、ハッカーのログイン、ヘルプを記録できます。システムによって誤判断された通常の行動がある場合、それらも除外できます。慎重に分析することをお勧めします。
セキュリティ脅威では、視覚化されたチャートを確認でき、主要な脅威デバイスIPやOTネットワーク内の異なるリスクの傾向をリストします。
OT環境でのリスク管理では、問題のあるデバイスやユニットを監視し続けるか、隔離することを選択できます。横方向の接続がOT環境内でネットワーキングセキュリティ脅威を引き起こすのを避けるためです。
ADRA NDR では、リストされたユニットリストを確認でき、それらに対して異なるアクションを設定できます。
セキュリティ脅威分析では、このOTユニットの脅威データを知ることができます。
視覚化されたデータは長期的に追跡できます。
OTエリアに提供される主要な保護メカニズム
1. 悪意のあるソフトウェアの改ざんと横展開の防止
OTシステムの高い安定性要件のため、ランサムウェア、トロイの木馬、ワームによる攻撃を受けると、生産ラインの麻痺を引き起こすだけでなく、セキュリティリスクと損失をもたらします。
- 悪意のあるプログラムの阻止:悪意のあるプログラム検出機能を備えたスイッチは、エンドポイントユニットに送信される前に悪意のあるファイルを阻止し、工場全体のネットワーキングに広がるのを防ぎます。
- 迅速なインシデント報告:疑わしいファイルや接続が検出された場合、システムは即座に管理者に報告し、脅威対応処理時間を改善します。
2. 不正なライセンスや悪意のあるログインの防止
OTシステムのユニットがハッカーによってログインされると、結果は想像を絶します。
- ログイン行動の監視:スイッチによるトラフィックとパケット層の深い観察を通じて、異常なログイン行動(異常なIP、大規模なスキャン接続ポイント行動、またはパスワード入力エラーの試行が多すぎるなど)を効果的に識別できます。
3. 全体的なセキュリティの可視性とコンプライアンスの向上
悪意のあるプログラム検出と行動監視機能を備えたスイッチを導入することで、セキュリティ保護を効果的に強化するだけでなく、メーカーがさまざまな産業セキュリティコンプライアンス要件(IEC 62443など)をより良くヘルプするのを助けます。
- ログと監査機能:スイッチは完全なトラフィックと警告イベントレポートを提供し、管理者と監査人が重要なネットワーキング活動を追跡できるようにし、ISO 27001の導入や内部監査、第三者の外部監査、サプライチェーンセキュリティ監査を行う際のコンプライアンスを向上させます。
4. 実用的な導入の推奨
重要な資産と高リスクエリアの特定
通常、最初にOTエリアで外部接続によって脅威にさらされる可能性のある重要なユニット(生産ライン制御ユニット、重要なサーバーなど)とポイントを特定し、スイッチを優先的に導入または交換します。つまり、従来のスイッチをQDP-1602Pユニットに置き換えることは非常に実用的であり、既存のユニットの運用に影響を与えることなくOTユニットの保護を強化し、トラフィックと行動を監視し、記録し、将来のセキュリティコンプライアンスを助け、ネットワーク管理者の負担を軽減します。
段階的な展開と検証
生産またはテスト環境で少量で最初に展開し、トラフィック、パフォーマンス、安定性への影響を観察します。監視、検出、警告機能が正しいことを確認した後、徐々にOTエリア全体に拡大します。
良好なログ管理と警告対応プロセス
高度な悪意のあるプログラム検出と行動監視機能があっても、明確な警告処理プロセスと適切なログ管理と分析ツールがなければ、最大の効果を発揮することはできません。
IT部門との協力
OTとITの要件は完全に同じではありませんが、OTは通常、安定性を求め、システムの更新や複雑な環境の導入を望まず、OT作業エリアに影響を与えることを避けます。ほとんどのOT状況ではダウンタイムが許されません。一方、ITはよりタイムリーな更新を求め、ユーザーエンドの切断や再起動が少ない方が受け入れられやすいですが、OTは異なります。
産業用コンピューターOT環境では、従来のスイッチは主にデータ伝送の役割を果たしていましたが、今日のセキュリティ脅威はますます複雑化しており、ユニット層とネットワーキング層が悪意のあるプログラム検出とインストール行動監視機能を備えたスイッチを導入できれば、ランサムウェア、トロイの木馬攻撃、不正なライセンスアクセスなどのリスクに対する防御能力を大幅に強化します。
このタイプのスイッチは、最も基本的なパケット検出と行動比較から始め、リアルタイム警告と視覚化された情報を組み合わせ、過去と比較してOT環境に優れたセキュリティ保護を提供します。これがQNAP QGDシリーズ製品の利点です。
