Industrial IoTのセキュリティ

業システムからデータへリモートデータアクセスする問題 は、新しい問題ではありません。プラントオーナーは、長年にわたり、管理者、運営者、保守技術者またはパートナーが、プラントから生成された貴重なリアルタイムデータへアクセスする方法を作り出してきました。グローバル化やJIT(Just-In-Time Manufacturing)などの革命的な実業は、このデータに対する低レイテンシのリモートアクセスを必要とし、多くの場合、信頼されていないネットワークを介して適度に信頼しているエンドユーザへ送信されています。例えば、製造業者は、生産情報をリモートサプライヤと共有したいが、製造システムまたはデータベースへのログインアクセスを提供しないことがあります。

リモートリアルタイムアクセスの必要性から、いくつかの根本的なセキュリティ上の問題が発生しました。

インターネットからの攻撃  プラントがリモートからシステムにアクセスできるようユーザを許可することは、悪意のアクターがシステムへアクセスすることを試みるための攻撃面を自然に作り出します。

ITネットワークからの攻撃  プラントがリモートシステムにアクセスできるようユーザを許可するこには、会社のITシステムのネットワークインフラへプラントをさらけ出す必要があります。一般的に、プラントネットワークは、大企業ではサブネットです。プラント内への侵入は、ITインフラを介して侵入します。ITネットワークからの侵入はあまりありませんが、ITネットワーク内のいくつかの問題が、プラントネットワーク上の正常なネットワークデータフローを中断させる可能性があります。可能な限りITとプラントネットワークを分離することが賢明です。

必要なデータ以外へのリモートアクセス  Microsoft RDPのようなデスクトップへのリモートユーザアクセスを許可することは、好奇心または悪意のあるユーザが意図された以上のプログラムやデータへのアクセスを試みる可能性があることを意味します。

一部のプラントネットワークの危険性  一部の工場では、インターネット接続を制限するためにVPN接続を使用することを選択しています。しかしながら、VPNはすべての参加者を効率的にローカルサブネットワークに配置し、参加マシンに効果的に互いへのローカルネットワークアクセスを提供します。妥協して任意のマシン(リモートサプライヤなど)をネットワークに配置することで、攻撃者がVPN経由でプラントネットワーク内に侵入する機会が生じます。

高額な費用  VPNやRDPエントリーポイント、ファイウォール、ルータの管理には、IT担当者の継続的な注意と労力が必要です。この費用は、システム内の参加者の数が増えるにつれて増加します。ITへリソースを費やさないプラントは、安全性の低いリモートデータアクセスを実施している可能性が高いです。

How can Skkynet Help?

Skkynet社のユニークなソリューションSkkyHub™は、リモートプラントデータアクセスにおける従来のセキュリティ問題のすべてに対応するメカニズムを提供しています。

インターネットからの攻撃に対して安全性を確保します  SkkynetのSkkyHubユーザは、プラント情報を収集し、Skkynetのリアルタイムデータサーバにプッシュするエージェントをプラント内にインストールします。この接続は、プラントからインターネットへのアウトバンドであるため、プラントがインバウンドTCPポートを開く必要がなく、プラントは決してインターネットからの攻撃にさらされることはありません。

ITネットワークからの攻撃に対して安全性を確保します  プラントからITネットワークへのアウトバウンド接続のみを許可するルータを使用して、ITネットワークからプラントを隔離することをお勧めします。SkkyHubサービスを使用することで、ITネットワークプラントから信頼されていないものとして扱われ、ファイアウォールは、ルータとSkkyHubの間に配置され、プラント内へインバウンド接続を許可しません。ITネットワークの破損は、プラントネットワークからSkkynetサービスへのデータフローに影響する可能性がありますが、プラントネットワーク内のデータフローには影響しません。 リモートデータアクセスが低下したとしても、プラントは安全で機能的なままです。

リモートプラントデータアクセスにおいて、従来のセキュリティ問題に対処するソリューションを設計しました。

必要なデータ範囲を超えるリモートアクセスはありません  SkkyHubを使用して、プラントはどのデータをリモートで使用可能にするか決定します。プラントエンジニアは、プラントで生成されたデータのサブセットを選択し、データグループのリモートユーザへ選択データを使用できるようにします。各グループには、グループごとに読み取り/書き込み権限があり、リモートユーザが接続しているリモートユーザ名とIPアドレスに基づいて制限を設定します。リモートユーザは、プラントエンジニアが許可している範囲を超えてデータアクセスを拡張するメカニズムはありません。

一部のプラントネットワークの安全性を確保します SkkyHubサービスは、VPNなどの汎用ネットワーク構成を作成しません。それは、データの送信のためのTCP接続のみを行います。その結果、参加しているマシンは、ローカルネットワークまたはVPN経由で他のマシンにさらされることはありません。データはネットワークプロキシ、データプロキシ、DMZサーバを経由してルーティングすることができ、アウトバウンド接続の場合でも、プラントネットワークがインターネットに直接接続することはありません。Skkynetサービスに参加するシステムは、ネットワークを共有する必要はありません。

高額の費用はかかりません.  SkkyHubは多くのセキュリティ上ハードルを排除し、それによって、実質的にITの実装コストを縮小します。しばしば、既存のITインフラストラクチャを変更することなく、Skkynetサービスに参加することができます。プラントでは、追加のIT専門家を雇ったり、ネットワーク機器を増設する必要はありません。多くの場合、唯一のコストは、プラントとSkkynetサービス自体へのSkkynetエージェントの設定です。

Skkynetの技術は、すべてのインターネットトラフィックにSSL接続を使用し、証明書の信頼チェーンを検証することによって証明されます。これにより、Industrial IoTのセキュリティが強化され、ネットワークののぞき見(snooping)や中間者攻撃(man-in-the-middle attacks)に対して保護します。