About Me

I am public blog

Hello word I am Public Blog

Menu
Categories
最新ニュース

QGDシリーズセキュリティスイッチをOT環境でのマルウェアプログラム検出と行動監視と共に展開し、より包括的なサイバーセキュリティ保護を実現

1 min read

産業オートメーションとスマート製造の波に伴い、OT(運用技術)環境でのサイバーセキュリティの需要が日々増加しています。過去には、OTドメインのネットワーキングはITドメインのネットワーキングから比較的孤立しており、OTシステムの展開、採用、設計段階では機能性と安定性に主に焦点が当てられ、セキュリティの脅威はあまり考慮されていませんでした。多くの環境では、セキュリティの脅威は定量化すらされていませんでした。しかし、ネットワークデータの交換がより複雑で頻繁になるにつれ、OT環境のさまざまなOTデバイスがより広範なネットワーキングに接続されるようになっています。IoTデバイス、スマート製造モニタリング、分析システムの採用により、OT環境で適切なセキュリティメカニズムが欠如していると、レガシーOT機器、生産ラインサーバー、産業用コンピューター、機械がサイバー脅威にさらされる可能性があります。これらの脆弱性は、悪意のある攻撃のターゲットやセキュリティ侵害の侵入点となり得る可能性があり、OT環境内の他の機械に感染が広がり、業務中断や財務損失を引き起こす可能性があります。

この記事では、QNAP QGD-1602P セキュリティネットワーキングスイッチを例に、OTドメインで独立した安全な基盤セキュリティ保護環境を確立し、産業用コンピューター環境、生産ラインネットワーク、その他のネットワーキングを物理的に隔離する方法を説明します。この展開アプローチは、ITおよびセキュリティ担当者による簡単なメンテナンスを目的としています。

サイバーセキュリティの観点から、OTドメインは次の特性と課題を提示します:

  • 高可用性要件:機器とシステムは24時間365日連続して動作する必要があり、サイバー攻撃による中断から保護する必要があります。これにより、重大な損失が発生する可能性があります。
  • 専用プロトコルとシステム:多くの産業用通信プロトコル(Modbus、PROFINETなど)および産業用制御システムは、成熟したサイバーセキュリティ保護対策を欠いています。
  • リアルタイム監視と警告メカニズムの欠如:多くの工場ネットワーキング管理システムは、依然として伝統的なフレームワーク内で動作しており、異常な行動やマルウェアの脅威を検出するためのリアルタイム監視と警告メカニズムを欠いています。

したがって、OTネットワーク層でマルウェアプログラム検出とデバイス行動監視機能を備えたスイッチを導入することで、OT保護能力を大幅に向上させることができます。これにより、悪意のある活動をリアルタイムで遮断し、脅威を特定のネットワークポートまたは指定されたゾーン、VLANに自動的に隔離することができ、OT環境内のさまざまなシステムの安定性とセキュリティを確保します。

実際に、QNAP QGD-1602P セキュリティネットワーキングスイッチをOT環境に展開し、他の2.5Gおよび1Gネットワークスイッチに接続して、環境内のデバイスの運用状況を分析しました。

デバイスを起動してシステム構成とインストールを行う前に、ハードドライブとSSDをこのデバイスにインストールする必要があります。このデバイスは、NASとセキュリティネットワークスイッチの両方として機能します。主な利点の1つは、セキュリティ関連のすべてのソフトウェアとログファイルをこのデバイスのNASセクションに直接保存してログを集約できることです。これらのログは、他のセキュリティログ収集デバイス(LogMasterや他のデバイス、QNAP NASのWORMエリアなど)およびWazuhのようなSIEM(セキュリティ情報とイベント管理)プラットフォームに転送できます。

初期インストール中に、QNAP Qfinderソフトウェアを使用してデバイスを検出し、ネットワーク上での位置を特定できることがわかります。これはADRA セキュリティ製品ラインに分類され、組み込みのADRAサイバーセキュリティ機能が付属しています。

システムインストールページにアクセスすると、スマートインストールを進めるか、他のファームウェアバージョンを選択してインストールするオプションが表示されます。これは、このデバイスがADRAセキュリティ対応ファームウェアまたは標準のQNAP QTSオペレーティングシステムのいずれかで操作できるためです。

現在のバージョンを例にとると、QNE ADRAバージョンをデフォルトでインストールでき、異なるファームウェアバージョンを手動でこのシステムにアップロードすることもできます。

QTSシステムを使用する場合、インストールするバージョンを選択することもできます。

これはQNE ADRAに切り替えるための画面です。OKを選択すると、インストールプロセスが確認され、進行します。

このデバイスは、スタンドアロンモードまたはクラウド管理モードのいずれかで操作できます。OT環境では、スタンドアロンモードを使用していても、デバイスはインターネットに接続でき、更新と警告機能が正常に動作します。ただし、OT環境ポリシーが外部インターネットアクセスを制限している場合や、ファイアウォールを介した更新のためにインターネット接続をケースバイケースでのみ許可している場合は、一般的にスタンドアロンモードを選択して操作することをお勧めします。クラウド管理モードについては、クラウドを介してデバイスを便利に管理できるようにします。このモードでは、認証のためにQNAP AMIZ Cloud Join Keyが必要であり、安全なリモート管理を確保するための強力なセキュリティメカニズムを組み込んでいます。

アカウントとパスワードを設定した後、インストールと構成を進めて使用することができます。

QGDデバイスのデフォルト管理インターフェース。

myQNAPcloudをクリックして、デバイスのクラウド接続メカニズムのステータスを確認します。クラウド管理モードを使用したくない場合は、スタンドアロンモードにスイッチして独立して操作することができます。

このタイプのデバイスを構成する際、OT環境で最も重要な側面はサイバーセキュリティ警告機能です。メール、SMS、インスタントメッセージング(IM)、またはウェブページプッシュサービスを介してセキュリティ警告通知を受け取ることを選択でき、潜在的な脅威をタイムリーに認識できます。

通知方法を選択した後、通知ルールを構成できます。高リスクの脅威イベントに対して警告を有効にすることをお勧めしますが、中リスク、低リスクのイベントやその他の情報は、特定のニーズや状況に基づいて通知を構成できます。

警告ルールと受信者のメールアドレスを構成した後、通知設定が完了します。

マルウェアプログラム検出と行動監視機能を備えたスイッチ

1.ディープパケットインスペクション(DPI)

従来のスイッチは主にレイヤー2(L2)またはレイヤー3(L3)のネットワーキング交換を処理し、産業用プロトコルやアプリケーション層の深い分析を行うことができません。しかし、マルウェアプログラム検出機能を備えたスイッチは通常、組み込みのDPI(ディープパケットインスペクション)エンジンを備えており、ネットワークトラフィックを既知のマルウェアシグネチャと比較して識別することができます。QNAPのソリューションは、ADRA NDR(ネットワーク検出と応答)セキュリティ機能を統合しており、脅威データベースを定期的に更新して次のタスクを実行します:

  • ファイルシグネチャ(マルウェアシグネチャ)の分析。
  • プロトコルパケットに既知の脆弱性や攻撃行動が含まれているかどうかを確認します。

DPIは産業特有のプロトコルを検出し、疑わしいパケットや異常なデータ転送が発見された場合に警告を発したり、高度な検査を行ったりすることで、OTエリア内での悪意のあるファイルの横展開を防ぎます。

2. 行動監視とデバイス識別

マルウェア検出に加えて、スイッチは次のような行動監視も行うことができます:

  • デバイスステータス監視:突然のトラフィックの急増や減少、異常なパケットタイプなど、異常なネットワーキング行動を検出し、異常を迅速に報告します。
  • 異常なログインとユーザー権限監視:連続したログイン失敗試行、異常なソースIP/ユーザーアカウントを監視し、警告を発したりアクセスをブロックしたりします。

3. リアルタイム警告と可視化

産業ネットワーク管理者は、しばしばリアルタイムの生産環境の状態を必要とします。したがって、リアルタイム警告とデータ可視化機能を備えたスイッチは不可欠です:

  • リアルタイムイベント通知:マルウェアファイルや異常なログイン試行が検出された場合、即座にメール、SMS、インスタントメッセージング(IM)、またはウェブプッシュ通知を介して警告が送信され、管理者が迅速に対応できるようにします。
  • 可視化されたダッシュボード:デバイス間の接続状態、トラフィックの傾向、警告イベントをグラフィカル形式で表示し、管理者が疑わしい領域を迅速に特定しやすくします。

4. 柔軟な展開と統合

OT環境は通常、複雑な構造と高いシステムダウンタイムコストを持っています。マルウェア検出と行動監視機能を備えたスイッチは、次の方法で統合または展開される場合、展開の障壁を大幅に低減できます:

  • 既存システムとの統合:主流の産業用通信プロトコルおよびレガシー機器と互換性があり、既存のネットワーキング構造や機器の更新の必要性を最小限に抑えます。
  • 段階的な展開:最初は重要なポイント(例:高セキュリティデバイスの前)で実施し、その後、工場全体に徐々に拡大します。

QGDシステムインターフェースのセキュリティセンターにアクセスすると、デバイス自体の現在のセキュリティリスク状況を確認できます。この評価はQGDデバイスにのみ適用され、OT環境内の監視対象デバイスには適用されません。したがって、デバイスのセキュリティリスクをシステムが推奨する最小レベルに減らすことをお勧めします。

QGDのコントロールパネルから、すべてのADRA NDRネットワーキングエンドポイントセキュリティ保護機能を最新バージョンに更新することを優先できます。

この製品シリーズの最も重要なコンポーネントであるQNEセキュリティネットワークスイッチは、Network Managerを通じて管理する必要があります。このデバイスはNASとネットワークスイッチの両方として機能することに注意してください。したがって、ネットワークスイッチには独自のオペレーティングシステムファームウェアがあり、定期的に更新する必要があります。

QuNetSwitchシステムインターフェースでは、接続された異なるポートのステータスインジケーターを確認できます。左側には、ネットワーク管理者がポート管理、PoE(Power over Ethernet)、VLANなどの一般的な標準設定機能を含む、ネットワークスイッチ構成機能にアクセスできます。

この製品の最も重要なコア機能は、ADRA NDRネットワーキングエンドポイント保護です。このページにアクセスすると、脅威分析タブに移動し、OTネットワーク環境で発生するマルウェア活動、ハッカーのログイン試行、その他のセキュリティインシデントの記録と説明を提供します。システムによって誤認識された通常の行動がリストされている場合、それらを除外することができます。慎重な分析が推奨されます。

セキュリティ脅威では、可視化されたチャートが主要な脅威ソースデバイスIPを表示し、OTネットワーク内のさまざまなリスクのトレンド分析を提供します。

OTネットワークのリスク管理では、管理者は問題のあるデバイスを監視し続けるか、それらを隔離して横方向の接続を防ぎ、OT環境内の潜在的なサイバーセキュリティ脅威を軽減することができます。

ADRA NDRでは、デバイスリストが表示され、管理者は各デバイスに対して異なるアクションを構成できます。

セキュリティ脅威分析では、このOTデバイスの脅威データにアクセスできます。

可視化されたデータは長期的に追跡できます。

OTエリアに提供される主要な保護メカニズム

1. マルウェアの改ざんと横展開の防止

OT環境は高いシステム安定性を必要とするため、ランサムウェア、トロイの木馬、ワームなどの攻撃は、生産ラインを麻痺させるだけでなく、重大な安全リスクや財務損失を引き起こす可能性があります。

  • マルウェアの遮断:マルウェア検出機能を備えたスイッチは、エンドポイントデバイスに送信される前に悪意のあるファイルを遮断し、工場ネットワーク全体に広がるのを防ぎます。
  • 迅速なインシデント報告:疑わしいファイルや接続が検出された場合、システムは即座に管理者に通知し、脅威への対応処理時間を改善します。

2. 不正または悪意のあるログインの防止

OTシステム内のデバイスがハッカーのログインによって侵害された場合、その結果は壊滅的です。

  • ログイン行動監視:ディープトラフィックとパケットインスペクションを活用することで、スイッチは異常なログイン活動を効果的に識別できます。例えば、異常なIPアドレス、異常な大規模接続ポートスキャン、または過剰なログイン失敗試行などです。

3. 全体的なセキュリティの可視性とコンプライアンスの向上

マルウェア検出と行動監視を備えたスイッチを実装することで、セキュリティ保護を強化するだけでなく、ヘルプメーカーがIEC 62443などのさまざまな産業セキュリティコンプライアンス要件をよりよく満たすことができます。

  • ログと監査機能:スイッチは包括的なトラフィックログと警告イベントレポートを提供し、管理者や監査人が重要なネットワーク活動を追跡できるようにします。これにより、ISO 27001の実施、内部監査、第三者の外部監査、またはサプライチェーンセキュリティ監査へのコンプライアンスが向上します。

4. 実用的な展開推奨

重要な資産と高リスクエリアの特定

通常、OTエリア内の重要な機器、例えば生産ライン制御デバイスや重要なサーバー、外部接続の脅威に対して脆弱なノードを特定することから始めます。次のステップは、高リスクエリアでのスイッチの展開または交換を優先することです。例えば、従来のスイッチをQGD-1602Pに置き換えることは非常に実用的なアプローチです。このアップグレードは、既存の運用を中断することなくOT機器の保護を強化し、同時にトラフィックと行動を監視し、記録を維持します。これにより、将来のサイバーセキュリティコンプライアンスが促進され、ネットワーク管理者の負担が軽減されます。

段階的な展開と検証

生産またはテスト環境で小規模な展開を開始し、トラフィック、パフォーマンス、安定性への影響を観察します。監視、検出、警告機能が正しく動作することを確認した後、徐々にOTエリア全体に拡大します。

良好なログ管理と警告応答プロセス

高度なマルウェア検出と行動監視機能を備えていても、明確な警告応答プロセスと適切なログ管理および分析ツールがなければ、システムはその潜在能力を最大限に発揮できません。

IT部門との協力

OTとITの要件は完全に同じではありませんが、OTは通常、安定性を優先し、頻繁なシステム更新やOT作業エリアに影響を与える複雑な環境の実装を避ける傾向があります。ほとんどの場合、OTシステムはダウンタイムを許容できません。一方、ITはよりタイムリーな更新を必要とし、ユーザー側での切断や再起動が少ない方が受け入れられやすいです。しかし、これはOTには当てはまりません。

産業用コンピューターOT環境では、従来のスイッチは主にデータ伝送デバイスとして機能します。しかし、今日のセキュリティ脅威の複雑さが増す中で、機器およびネットワーク層の両方でマルウェア検出とデバイス行動監視機能を備えたスイッチを実装することで、ランサムウェア、トロイの木馬攻撃、不正アクセスに対する保護能力を大幅に強化できます。

このタイプのスイッチは、最も基本的なパケットインスペクションと行動比較から始まり、リアルタイム警告と可視化された情報を組み合わせることで、以前のソリューションと比較してOT環境に対する優れたセキュリティ保護を提供します。これがQNAPのQGDシリーズの主要な利点です。

By QNAP marketing team

Leave a comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です