Amazon Web Services ブログ
AWS IIoT セキュリティワークショップで IIoT ソリューションを保護する方法を学ぶ
このブログは「Learn how to secure your IIoT solutions with AWS IIoT security workshop」を翻訳したものです。
はじめに
産業用デジタルトランスフォーメーションは、オペレーショナルテクノロジー(OT)の状況に変化をもたらし、インターネットと IT システムおよびソリューションとの接続性を高めています。 OT/ITが交わることにより、OT 環境はより多くの IT ソリューションを活用して、生産オペレーションの生産性と効率を向上させています。産業界のお客様は、AWS Edge およびクラウドサービスを使用して OT データに安全にアクセスし、AWS IoT Service、人工知能、機械学習を使用して業務を変革できます。生産環境の継続的なデジタル化と漸進的な相互接続性は、産業用IoT(IIoT)ソリューションから価値を引き出すために重要です。この新しく拡大する「物理とデジタルの出会い」の接続性は大きなメリットをもたらしますが、適切に管理する必要がある新しいサイバーセキュリティリスクももたらします。産業組織は、このコンバージェンスとクラウド採用のメリットに伴うリスクを認識する必要があります。企業が産業用デジタルトランスフォーメーションを安全かつ確実に計画できるように、AWS では、IIoT ソリューションの 10 のセキュリティゴールデンルールに盛り込まれている、産業用制御システムおよび運用技術 (ICS/OT)、IIoT、およびクラウド環境を保護するための多層的なアプローチを推奨しています。
このブログ投稿では、AWS IIoT セキュリティワークショップを紹介します。このワークショップは、AWS サービスを使用して IIoT セキュリティゴールデンルールを実装することにより、スマートファクトリーと IIoT ソリューションを保護する方法に焦点を当てた実践的な学習を始めるのに役立ちます。
AWS IIoT セキュリティワークショップ
開始するには、AWS IIoT セキュリティワークショップをご覧ください。このワークショップでは、AWS IoT サービスと AWS セキュリティサービスを使用して、産業用 IoT セキュリティソリューションを安全かつ安全にデプロイおよび監視する方法に焦点を当てたハンズオンを提供します。AWS にデータを送信する Computer Numerical Control(CNC; コンピューター数値制御)マシンがあるスマートファクトリーのシナリオを通じて、ネットワーク異常検出とプロセス異常検出を使用して、工場からのデータ流出を検出および修正できます。サイバーイベントを早期に検出して対応することで、ミッションクリティカルなOT運用への被害を抑え、組織のサイバーセキュリティ体制を改善することができます。まず、ワークショップのアーキテクチャを見てみましょう。
AWS IIoT セキュリティ ワークショップ アーキテクチャ
ワークショップのアーキテクチャは、エッジデータ処理のためにエッジゲートウェイにデータを送信する CNC マシンを備えた工場を示しています。エッジデバイスからのデータは、データストレージ、処理、分析、視覚化のために AWS に送信されます。このワークショップでは、Ignition OPC UAサーバーを使用して CNC マシンデータをエミュレートします。OPC UAは、IIoTやスマートファクトリーのアプリケーションやプラットフォームによるデータ収集と制御に使用される産業オートメーション用の最新の通信プロトコルです。これはオープンスタンダードであり、Ignition OPC UA サーバーインターフェイスが AWS IoT SiteWise ゲートウェイ上の OPC UA クライアントにシームレスに接続できるようにします。OPC UA サーバーは、AWS IoT Greengrass を実行する Amazon EC2 にデプロイされたゲートウェイデバイスにデータを送信します。AWS IoT Greengrass にインストールされた AWS IoT SiteWise ゲートウェイコンポーネントは、クラウド内の AWS IoT SiteWise にデータをストリーミングします。
AWS IoT SiteWise Monitor はデータをほぼリアルタイムで視覚化するために使用され、AWS IoT SiteWise メトリクスはカスタム集計とメトリクスを作成するために使用できます。サイバーイベントをシミュレートするために、悪意のあるスクリプトがゲートウェイデバイスに注入されます。AWS IoT Device Defender は、一連の IoT デバイスを監査および監視するために使用されます。AWS IoT SiteWise メトリクス は、サイバーイベントを示す可能性のあるプロセスの異常を検出します。また、緩和アプローチについても検討します。セキュリティ異常が検出されたら、異常なデバイスを隔離するなど、調査して緩和措置を講じます。AWS Security Hub は、IIoT ソリューションを実装する際に、工場やクラウド環境全体のセキュリティアラートを一元的に表示するために使用できます。
前提条件
ワークショップを実施するには、次のものが必要です。
- 管理者権限を持つ AWS アカウント。AWS アカウントをお持ちでない場合は、指示に従って作成してください。AWS のイベントに参加している場合は、AWS からアカウントを提供できます。
- AWS IoT の基本知識。学びたい場合は、「AWS IoT ワークショップ」をご覧ください。
- ブラウザがインストールされているラップトップまたはコンピュータ
- リモートデスクトップクライアントへのアクセス
- Linuxの基本的な知識
- 基本的なPythonスキル
- AWS IoT SiteWise に関する知識。詳しい内容は、AWS IoT SiteWise ワークショップをご覧ください。
- AWS IoT Greengrass V2。詳しい内容は、Greengrass V2ワークショップをご覧ください。
学習目標と使用したサービス
このワークショップでは、次の方法を学びます。
- AWS IoT Device Defender のデバイス側のメトリクス (送信バイト数、送信パケット、送信先 IP など) を使用して、スマートファクトリーからのデータ流出を検出
- データ漏洩のセキュリティイベントを調査し、AWS IoT Device Defender を使用してデバイスを隔離するための緩和アクションを実行します
- AWS Secrets Manager を使用して Ignition サーバーの認証シークレットを保護し、Ignition OPC UA サーバーと AWS IoT SiteWise Gateway OPC UA クライアント間の認証と暗号化を設定して、安全な OPC UA 通信を可能にすることで、ゲートウェイ構成を保護します
- AWS IoT SiteWise Monitorとアラームを使用したプロセスの異常の検出
- AWS IoT Device Defender Audit を使用した IoT セキュリティのベストプラクティスに対する監査に続いて、監査結果を AWS Security Hubにインポートする
次の主要サービスを使用します。
- AWS IoT Greengrass V2
- Amazon IoT SiteWise
- Ignition OPC UA Server
- AWS IoT Core
- AWS IoT Device Defender
- AWS Security Hub
- AWS Secret Manager
ソリューション展開
ワークショップ用の AWS リソースは、AWS CloudFormation で作成されます。ワークショップ中に起動する CloudFormation スタックは、ネストされたスタックで動作します。ネストされたスタックは、他のスタックの一部として作成されたスタックです。複数の CloudFormation スタックが起動されているのがわかります。ネストされたスタックは、AWS CloudFormation コンソールで NESTED としてマークされます。CloudFormation スタックは、次のリソースを作成します。
- 産業データをシミュレートする OPC UA サーバーとして Amazon EC2 インスタンス。
- AWS Cloud9 環境を、AWS IoT Greengrass V2 と AWS IoT SiteWise コンポーネントをインストールするワークスペースとして使用します。
注:ワークショップ中のインストールプロセスを合理化するために、CloudFormation テンプレートは AWS Cloud9 環境に AWS IoT Greengrass V2 および AWS IoT SiteWise コンポーネントを自動的にデプロイするように設定されています。CloudFormation テンプレートが起動されると、完全に機能する AWS IoT Greengrass 環境が Docker コンテナを介して実行され、コンポーネントが AWS IoT Greengrass コアデバイスにデプロイされて実行されます。詳細については、AWS IoT Greengrass アクセラレータプロジェクトを参照してください。
- 自動生成された名前の S3 バケット。
- Cloud9 および EC2 インスタンス用のパブリックサブネットとセキュリティグループを持つ VPC。
- Cloud9 環境の認証情報を提供する IAM ユーザー。
- AWS IoT SiteWise で CNC マシンモデルとアセットを作成するLambda関数。
- EC2 インスタンスにデプロイされる Mosquitto ベースの MQTT ブローカー。Mosquitto MQTT ブローカーは、シミュレートされた悪意のあるデータを受信する外部ブローカーとして使用されます。
- AWS IoT Device Defenderレポートの準備ができたときに通知する Amazon SNS トピック。
- Device Defender の結果を AWS Security Hubにインポートする Lambda 関数。
まとめ
産業分野のお客様は、産業用デジタルトランスフォーメーションの一環として IIoT ソリューションをますます使用しています。これにより、OT に新たなリスクがもたらされ、お客様が IIoT ソリューションを実装する際にサイバーセキュリティを理解し、優先順位を付け、計画することが重要になります。
AWS は、10 のセキュリティゴールデンルールを使用し、OT/IIoT サイバーセキュリティプログラムを確立して IIoT ソリューションを保護するために、多層セキュリティアプローチを推奨しています。このワークショップでは、複数の AWS サービスと機能を使用して次の IIoT セキュリティゴールデンルールを実装するのに役立つ新しいセキュリティワークショップリソースを紹介しました。
- ゴールデンルール #3 AWS IoT アイデンティティと AWS IoT ポリシーを使用した一意のアイデンティティと最小権限のアクセス
- ゴールデンルール #6 安全でないプロトコルを安全なプロトコルに変換し、安全な通信のために OPC UA を構成する
- ゴールデンルール #7 AWS IoT Greengrass と AWS Secrets Manager を使用してシークレットを保護し、AWS IoT サービスへの安全なクラウド接続を確立することによるデバイスの強化
- ゴールデンルール #8 AWS IoT Device Defender 監査と AWS IoT Device Defender 検出と AWS Security Hubを使用したセキュリティモニタリングを使用した (IoT セキュリティのベストプラクティスに対する)監査
- ゴールデンルール #9 AWS IoT Device Defender と AWS Security Hubを使用したインシデント対応
このブログ投稿では、AWS の多層セキュリティアプローチと包括的なセキュリティサービスと機能を使用して、IIoT インフラストラクチャを安全に保つためのベストプラクティスをいくつか紹介しました。AWS のインダストリアル IoT セキュリティは、MQTT、OPC UA、ISA/IEC 62443 などのオープンスタンダードに基づいて構築されています。インダストリアル業界のお客様には、AWS のセキュリティサービスには多くの選択肢と柔軟性があります。お客様は、必要なものを選んで選択し、所有しているものと統合することができます。AWS は、包括的で継続的でスケーラブルな IIoT セキュリティ、コンプライアンス、およびガバナンスソリューションに向けた、より簡単、迅速、かつ費用対効果の高い方法をお客様に提供します。詳細については、「AWS インダストリアル IoT」、「製造 OT のための AWS セキュリティのベストプラクティス」、「AWS による IoT のセキュリティ保護に関するホワイトペーパー」、「AWS IoT Lens」を参照してください。
執筆者について
Ryan Dsouza は、AWS の産業 IoT のプリンシパルソリューションアーキテクトです。ニューヨーク市に拠点を置く Ryan は、測定可能なビジネス成果を実現するために、幅広く奥深い AWS の機能を使用して、より安全でスケーラブルで革新的なソリューションの設計、開発、運用を支援しています。Ryan は、デジタルプラットフォーム、スマートマニュファクチャリング、エネルギー管理、建築および産業オートメーション、OT/IT コンバージェンス、およびさまざまな業界にわたる IIoT セキュリティで25年以上の経験があります。AWS 以前は、アクセンチュア、SIEMENS、ゼネラル・エレクトリック、IBM、AECOM に勤務し、デジタルトランスフォーメーションの取り組みにおいて顧客にサービスを提供していました。
Ameer Hakme は、ペンシルベニア州に拠点を置く AWS ソリューションアーキテクトです。彼は北東部の独立系ソフトウェアベンダーと協力して、AWS クラウドでのスケーラブルで最新のプラットフォームの設計と構築を支援しています。余暇にはバイクに乗るのが好きで、家族と一緒に過ごしています。
Umesh Kalaspurkar は、ニューヨークを拠点とする AWS のソリューションアーキテクトです。彼は、企業や新興企業全体で、デジタルイノベーションとトランスフォーメーションプロジェクトの設計と提供において20年以上の経験を持っています。彼は、顧客が課題を特定して克服するのを支援することに動機付けられています。仕事以外では、ウメシュは父親になったり、スキーをしたり、旅行を楽しんだりしています。
このブログの翻訳はソリューションアーキテクトの大井が担当致しました。