ODVA
サイバー攻撃に対する抑止力を強化
ODVAは、サイバー攻撃に対する抑止力強化を目的に、EtherNet/IPのセキュリティ対応ネットワーク向け拡張であるCIP Security™に新しいデバイスベースのファイアウォールを追加した。
CIP Securityのデバイスベース・ファイアウォールは、LinuxにおいてIP Tableプログラムによりファイアウォールが設定できるのと同様、ユーザーに対してシンプルなトラフィックフィルタを提供する。
CIP Securityの新しいDevice-Based Firewall Profileを介して可能になるこのデバイスベース・ファイアウォールでは、必要に応じて同機能を有効化/無効化できるという柔軟性も実現する。これにより、CIP Securityはデバイスベース・ファイアウォールを通じて、デバイスレベルでいっそう堅固な保護が行えるようになり、悪意ある攻撃者によるEtherNet/IP産業用ネットワークへの侵入を抑止する。
CIP Securityのデバイスベース・ファイアウォールは、IPアドレスとポート、プロトコルに基づいてトラフィックをフィルタリングするためのメカニズム。Ingress Egress Objectという新しいCIPオブジェクトを介して、このデバイスベース・ファイアウォールを実装することで、既知のIPアドレスに対する許可リスト、利用できる暗号スイートの設定、IPアドレスおよびポート番号に基づくルーティング・ルールを定義可能。
CIP Security対応のEtherNet/IPデバイスは、どのノードが安全に通信可能か、またTLSやDTLSによる暗号化が必要かを決定できる。加えてユーザーは、他のデバイスがCIP Security設定のデバイスを通じてCIP通信をルーティングできるか否かも決定できる。
こうした新しいデバイスベース・ファイアウォールにより、物理的アセットやデジタル資産を損害から守るのに有効な深層防御アプローチの一環として、もう一つの抑止層が追加できる。
CIP Securityの新しいDevice-Based Firewall Profileにより、標準のEtherNet/IPを使いつつ、既知のIPアドレスにのみ通信を認めることが可能になったほか、加えて、信用できるIPアドレスとポート番号、暗号化の組み合わせに基づいて許可するCIPルーティングも設定できる。
デバイスベース・ファイアウォールを実装するこで、IPアドレスやポート番号が合致しないデータパケットは排除されるため、悪意をもった行為は実行できなくなる。
CIP Securityを含むEtherNet/IP仕様書の最新版はodva.orgから入手可能。
■ODVAについて
ODVAは、世界をリードするオートメーション関連サプライヤを会員企業として国際的な規格策定や取引を推進する組織。ODVAは、産業オートメーション分野に向けた、オープンで相互運用可能な情報通信技術の発展を図ることを使命とする。
ODVAによる規格には、メディアに依存しないネットワークプロトコルのCommon Industrial Protocol(CIP™)に加え、EtherNet/IPやDeviceNetなどの産業通信技術がある。
生産システムの相互運用性と他のシステムとの統合を実現するためには、商用オフザシェルフ(commercial-off-the-shelf)のInternetおよびEthernet技術を採用することが有効であるとODVAは考え、一つの指針としている。その指針を具体化したものがEtherNet/IPであり、現在、産業用Ethernetネットワークをリードする存在となっている。
詳細は→ https://www.odva.org
(※資料提供:ODVA)
CIP Securityのデバイスベース・ファイアウォールは、LinuxにおいてIP Tableプログラムによりファイアウォールが設定できるのと同様、ユーザーに対してシンプルなトラフィックフィルタを提供する。
CIP Securityの新しいDevice-Based Firewall Profileを介して可能になるこのデバイスベース・ファイアウォールでは、必要に応じて同機能を有効化/無効化できるという柔軟性も実現する。これにより、CIP Securityはデバイスベース・ファイアウォールを通じて、デバイスレベルでいっそう堅固な保護が行えるようになり、悪意ある攻撃者によるEtherNet/IP産業用ネットワークへの侵入を抑止する。
CIP Securityのデバイスベース・ファイアウォールは、IPアドレスとポート、プロトコルに基づいてトラフィックをフィルタリングするためのメカニズム。Ingress Egress Objectという新しいCIPオブジェクトを介して、このデバイスベース・ファイアウォールを実装することで、既知のIPアドレスに対する許可リスト、利用できる暗号スイートの設定、IPアドレスおよびポート番号に基づくルーティング・ルールを定義可能。
CIP Security対応のEtherNet/IPデバイスは、どのノードが安全に通信可能か、またTLSやDTLSによる暗号化が必要かを決定できる。加えてユーザーは、他のデバイスがCIP Security設定のデバイスを通じてCIP通信をルーティングできるか否かも決定できる。
こうした新しいデバイスベース・ファイアウォールにより、物理的アセットやデジタル資産を損害から守るのに有効な深層防御アプローチの一環として、もう一つの抑止層が追加できる。
CIP Securityの新しいDevice-Based Firewall Profileにより、標準のEtherNet/IPを使いつつ、既知のIPアドレスにのみ通信を認めることが可能になったほか、加えて、信用できるIPアドレスとポート番号、暗号化の組み合わせに基づいて許可するCIPルーティングも設定できる。
デバイスベース・ファイアウォールを実装するこで、IPアドレスやポート番号が合致しないデータパケットは排除されるため、悪意をもった行為は実行できなくなる。
CIP Securityを含むEtherNet/IP仕様書の最新版はodva.orgから入手可能。
■ODVAについて
ODVAは、世界をリードするオートメーション関連サプライヤを会員企業として国際的な規格策定や取引を推進する組織。ODVAは、産業オートメーション分野に向けた、オープンで相互運用可能な情報通信技術の発展を図ることを使命とする。
ODVAによる規格には、メディアに依存しないネットワークプロトコルのCommon Industrial Protocol(CIP™)に加え、EtherNet/IPやDeviceNetなどの産業通信技術がある。
生産システムの相互運用性と他のシステムとの統合を実現するためには、商用オフザシェルフ(commercial-off-the-shelf)のInternetおよびEthernet技術を採用することが有効であるとODVAは考え、一つの指針としている。その指針を具体化したものがEtherNet/IPであり、現在、産業用Ethernetネットワークをリードする存在となっている。
詳細は→ https://www.odva.org
(※資料提供:ODVA)