2019年12月26日

IoT時代のネットワークセキュリティ対策「ネットの番犬☆通さん犬」｜インタフェース

社会全体がIoT化に向けて発展する中で、社会インフラやスマート工場内の機器は、ますますネットワーク技術で相互接続することが加速しております。一方で、各現場はインターネットへの接続やIoT端末の導入などで、外部からの侵入や攻撃に晒されるリスクが高まっております。

インタフェースは、IoT時代のネットワークへ簡単に追加できるセキュリティ装置、「ネットの番犬☆通さん犬」を開発しました。

「通さん犬」の特長

通さん犬は、ネットワークの中に追加するだけでセキュリティを強化できます。例えると、ネットワーク配線を途中で切って、通さん犬の2つのポートに接続し、そこを通るパケットが条件に応じてフィルタリングされるイメージです。

通さん犬にはIPアドレスがありません。通さん犬によって現場のネットワークは分離されず、その他の機器はIPアドレスは維持させたまま、設定を変更する必要がありません。

また、IPアドレスが無いことから通さん犬はネットワーク経由で設定変更ができず、専用の設定装置とケーブルで接続する必要があります。これは、IPアドレスをターゲットとする侵入や攻撃が困難ということでもあります。

通さん犬構成

まず、設定装置にディスプレイとキーボード、マウスを接続します。設定のターゲットとなるフィルタ装置と、設定装置を専用のケーブルで接続します。それぞれ電源を投入し起動させ、設定装置にログインしてください。

設定装置の最初の起動のときに、設定ツールのユーザー追加ページでユーザー名、パスワードを設定します。次回からこれを用いて設定ツールにログインしてください。

設定ツールのトップページには機能メニューやメンテナンスメニューがあります。「チェック」ボタンで表示されるチェックページで、フィルタ装置と設定装置の接続をチェックします。フィルター条件は「フィルタリング」ボタンで表示されるフィルタリングページで設定します。

フィルタリングページ

「特定コンピュータのパケットのみ転送する」ホワイトリストを設定してみます。下図のフィルタリング環境例に適用します。

フィルタリング環境例

まず、入力LANポート/出力LANポートにフィルタ装置のポート番号を設定して方向を設定します。次に、対象プロトコル、送信元、送信先アドレスの設定し、処理を「転送」とします。送信元、送信先アドレスは、

MACアドレス
「xx:xx:xx:xx:xx:xx」、
またはIPアドレス
「xxx.xxx.xxx.xxx:yyy（:yyyポート番号）」
を記載します。アドレス未記入の場合は、すべてのアドレスを指定したことになります。設定を複数記載すると、これがホワイトリストとなります(下図)。

「設定反映」ボタンで、設定をフィルタ装置に反映します。

パケット通過設定

次に、「特定コンピュータのパケットのみ破棄する」ブラックリストを設定してみます。先ほどと同じフィルタリング環境例に適用します。

まず、破棄させるパケットの設定（入出力LANポート、プロトコル、MAC/IPアドレス）を入力し、処理を「破棄」とします。設定を複数記載すると、これがブラックリストとなります（下図①）。

パケット破棄設定

最後にブラックリストより下の行に、すべてのパケットを「転送」とする設定を記載します。すなわち入力ポート1→出力ポート2と、入力ポート2→出力ポート1の二行へ、アドレスを未記入、処理を「転送」と設定します(上図②)。

「設定反映」ボタンで、設定をフィルタ装置に反映します。

セキュリティ対策の弱い生産システムに対して、ネットワーク管理者がシステムを守るために使用します。

システム仕様例

第三者からの攻撃で生産システムが稼働停止することによる損害を防ぎます。

実際の設定方法など詳しくは、こちらの動画をご覧ください。

この記事では、「通さん犬」の代表的な設定について記しましたが、工夫次第でさまざまな利用方法があります。例えば、ネットワークカメラ映像の漏洩禁止やネットワークダイオードによる設定変更や乗っ取り防止、パケット処理能力の低い装置のネットワークからの帯域分離などが考えられます。

「ネットの番犬☆通さん犬」はインタフェースのネットワーク制御装置シリーズ第一弾の製品です。今後も、IoT時代において膨れ上がるネットワーク機器を管理、制御する技術の開発を進めてまいりますので、ぜひご期待ください。