Amazon Web Services ブログ

製造 OT 向けのセキュリティのベストプラクティス

本投稿は、Shailaja Suresh、Russell de Pina による記事 Best Practices for Manufacturing OT Security を翻訳したものです。

はじめに

製造工場では、企業のビジネスデータの生成、管理、処理のための IT システムと、工場や産業機器のオペレーションのための OT(Operational Technology)システムがあります。製造業のデジタルトランスフォーメーション(インダストリー4.0)の一環として、データから洞察を得て業務効率を高めることを目的に OT システムを安全に IT システムやネットワークに接続するため、OT セキュリティのベストプラクティスを適用する必要があります。「製造 OT 向けのセキュリティのベストプラクティス」ホワイトペーパーでは、OT セキュリティのベストプラクティスを取り上げています。本ブログ投稿では、以下の幅広いトピックでこれらのベストプラクティスに触れます。

  1. すべてのレイヤーを保護
  2. クラウドとローカルリソースに対するネットワーク接続の保護と監視
  3. データの保護
  4. トレーサビリティとオブザーバビリティ(可観測性)の向上
  5. デバイスとゲートウェイを管理して攻撃対象領域を縮小化


図 1 — 製造 OT でのセキュリティのベストプラクティスを示すリファレンス図

図1は、以下で説明するベストプラクティスの基本的なフレームワークを表しています。この図のレイヤーの定義には、 Purdue Enterprise リファレンスアーキテクチャを使用します。この図は、製造環境のさまざまなレイヤーが AWS クラウドにどのように接続されているかを示しています。

1) すべてのレイヤーを保護

図 1 は、次世代ファイアウォールが、Purdue モデルにおける各レイヤーのサブネットワークを互いに分離するための信頼境界を作成する方法を示しています。これらの信頼境界は、許可されたトラフィックのみがネットワークゾーンを通過することを保証します。
ファイアウォールルール、ルーティングルール、およびデータダイオード(単方向ネット ワークデバイス)のようなデバイスを使用してネットワークトラフィックを制限することで、さらなる分離を実現できます。

2) クラウドとローカルリソースに対するネットワーク接続の保護と監視

OT ワークロードをクラウドに接続するには、接続を暗号化するか、プライベートネットワーク/仮想プライベートネットワーク (VPN) 経由でルーティングする必要があります。 AWS Direct ConnectAWS VPN は、図 1 に示すように、製造のエッジ (OT ネットワーク) と AWS クラウドの間に直接ネットワーク接続を実装するための 2 つのオプションです。可能な限り、OT 通信の暗号化を実現する安全な通信プロトコル(ModbusやMQTTなど)を使用します。
ほとんどの製造環境は、ローカルネットワークに接続されているリソースは常に安全であるという誤った仮定の下で運用されています。このような仮定を除外し、ローカルネットワーク、エッジ、ゲートウェイ、またはエージェントソフトウェアは、外部リソースに適用されるのと同じ厳密なセキュリティレベルを適用して相互に接続する必要があります。「製造 OT 向けのセキュリティのベストプラクティス」ホワイトペーパーの「クラウドへのセキュアなネットワーク接続」および「ローカルリソースへのセキュアなネットワーク接続」セクションでは、ネットワークにおけるゼロトラスト設計について詳しく説明しています。
さらに、AWS IoT Device DefenderAmazon GuardDuty などの AWS サービスを使用して、IoT デバイスとネットワークトラフィックを継続的に監視することをお勧めします。

3) データの保護

OT とクラウド環境内のデータを保護する主要な柱は次のとおりです。

  • 伝送中および保管中のデータの暗号化 — 伝送中および保管中のデータの暗号化を有効にします。これは、オンプレミスとクラウドの両方に保存されているデータに適用します。
  • 最小権限の原則を使用 — 最小権限の原則を使用して、データへのアクセスを必要とするリソースにのみデータへのアクセスを許可します。アプリケーション、オペレーティングシステム、ネットワークレベルでアクセスルールを実装して、データアクセスをさらに制限します。
  • データ損失の防止 — データストアのバックアップを取ることは重要ですが、バックアップからそのデータを復元できることは、ビジネス継続性を実現するために重要です。たとえば、製造実行システム(MES)にハイブリッドモデルを使用している企業は、ビジネス継続性のためにオンプレミスとクラウドの両方のデータをバックアップする堅牢なソリューションが必要です。AWS クラウドでは、ハイブリッド環境におけるリソースのバックアップと復元を、高い費用対効果、高い信頼性で、セキュアに実現できます。

4) トレーサビリティと可観測性の向上

ネットワークアセットのインベントリを維持することは、ネットワーク上に存在するアセットを追跡するのに役立つだけでなく、セキュリティ侵害を引き起こす可能性のある不正なアセットを検出するためにも役立ちます。
AWS Systems Manager などの AWS サービスを利用して一元化された運用を集約した点(ハブ)を通じて、クラウドとオンプレミスの両方のリソースのトレーサビリティと可観測性を実現します。これにより、パッチや構成に対するアセットのコンプライアンスを維持できるだけでなく、リソースの構成と継続的な管理が自動化されます。

5) デバイスとゲートウェイを管理して攻撃対象領域を縮小化

どのデバイスまたはエッジゲートウェイも攻撃対象領域に追加される可能性があります。リスクを軽減するために、未使用のサービス、USB ポート、アプリケーション、およびネットワークプロトコルを無効にするか削除することがベストプラクティスです。
ベンダー固有のドキュメントを使用して、エッジゲートウェイの基盤となるオペレーティングシステム (OS) を強化します。
これらのデバイスを管理するため、AWS IoT Greengrass では、プライベートキーのセキュアな保存とオフロードのためのハードウェアセキュリティモジュール (HSM) の使用をサポートしています 。

まとめ

製造 OT 向けのセキュリティのベストプラクティス」ホワイトペーパーでは、オンプレミスハイブリッド製造ワークロードを AWS クラウド向けに設計、デプロイ、構築する際のセキュリティのベストプラクティスについて詳しく説明していますが、このブログ投稿は主要なトピックを抜粋してご紹介しました。
AWS は、スケーラブルで最先端の IT、OT セキュリティおよびコンプライアンスソリューションを構築するために、迅速で費用対効果の高い方法でお客様をご支援します。

翻訳はソリューションアーキテクトの 鈴木健吾 が担当しました。原文はこちらです。