セキュリティセブン：今日の脅威から工場を守る7つの方法

これは2部構成のシリーズの第1部です。来週はパート2を公開します。

ダイムラートラックノースアメリカで行った最近のケーススタディに例示されているように、工場システムとエンタープライズネットワークの接続に優れているメーカーは、間違いなく、より機敏で、効率的で、柔軟性があり、収益性の高いビジネスを生み出しています。問題は、接続が増えると、新しいセキュリティリスクへの扉も開かれることです。さらに、前世代の産業用制御システムは、セキュリティやIP接続を念頭に置いて考案されていませんでした。正味の効果は、より多くのエンタープライズITを産業資産およびテクノロジーと統合すると、脆弱性が実際に増殖し始める可能性があることです。同時に、悪意のあるハッカーはますます巧妙になっています。

産業用自動制御システム（IACS）には、ネットワークセキュリティとの統合が難しい独自のハードウェアとプロトコルを利用してきた歴史があります。これらは産業用IPネットワークから分離されている可能性がありますが、セキュリティが制限されているかまったくない、単純なオープンネットワークのマシンアイランドとして設定されることが多いため、依然としてリスクがあります。健全なシステムセキュリティを実際に確立していないのに、未開発の情報の島を作成する自動化の島を構築し、ビジネスの俊敏性、効率性、成長の可能性を制約するのはなぜですか？産業用制御システムを保護するためのその他の質問と洞察に関する優れたリソースの1つは、バイヤーズガイド：産業用制御サイバーセキュリティベンダーに尋ねる10の質問です。 。

メーカーにとっては大きな賭けです。最近のCiscoConnected Factoryホワイトペーパーによると、サイバーセキュリティの懸念がデジタル実装の遅延を懸念している場合、価値を実現して競合他社を捕まえるまでに最大5年かかる可能性があります。また、最近のCisco 2016 Annual Security Reportは、産業部門が最も成熟度の低いセキュリティ慣行とポリシー、および最低品質のセキュリティインフラストラクチャを備えていると主張しています。これはすべて、セキュリティがビジネスを持続的に差別化する機会を提供することを意味します。

彼らが言うように、最高の攻撃（つまり成長）は大きな防御（つまりセキュリティ）です。そして、7つは多くの文化で幸運な数と見なされていますが、幸運はそうではありません セキュリティ戦略。

これらの「セキュリティセブン」アプローチを検討して、工場が優れた防御力を発揮できるようにしてください。

1. セキュリティポリシーを作成、教育、施行する 。

多くのプラントには、最も基本的なセキュリティポリシーが書き留められていません。まず、プラントの一連の書面によるセキュリティポリシーと手順を作成して実装します。これには、たとえば、誰がどの資産にアクセスできるかを概説し、許容可能な資産の使用を定義し、イベントのレポートメカニズムを定義します。書面によるポリシーには、セキュリティイベント後に重要な本番システムを復元するための手順を含むインシデント対応計画も含める必要があります。

2. 多層防御セキュリティで工場をロックダウンします。

製造環境での接続が多いほど、侵害の可能性が高くなります。単一のテクノロジー、製品、または方法論でネットワークを完全に保護することはできません。重要な製造資産を保護するには、さまざまなタイプの脅威に対処するために、物理的、手続き的、およびデジタル（ネットワーク、デバイス、アプリケーション）の複数の防御層を使用する包括的なアプローチが必要です。基本的なマッピング演習は、ネットワーク上のすべてのデバイスとソフトウェアのインベントリを提供して、開始するのに役立ちます。

「エアギャップ」戦略は誤りであることに注意してください。ロボットやデバイスがネットワークに接続されていないからといって、完全に安全であるとは限りません。 1台の破損または悪意のあるサムドライブは、隔離されたマシンを計画外のダウンタイムまたはさらに悪いことに安全上の問題のリスクにさらします。

https://youtu.be/H4Nmz62RAKQ?list=PL6FEA443253B44EC2

3. 最初の防衛線を強化します。

物理的セキュリティは、製造において特に重要です。最も深刻な被害のいくつかは、工場の床から入場するときに内部から発生します。在庫の増加、データの損失、知的財産の盗難の防止にかかわらず、企業は安全な有線および無線の産業用ネットワークと統合された包括的な物理的セキュリティソリューションの恩恵を受けることができます。 PLCやその他のプレイアセットは、ロック、キーカード、ビデオ監視などの物理的なアクセス制限で保護できます。実用的な場所では、デバイスの認証と承認に加えて、暗号化を追加することもできます。

たとえば、地域の飲料販売業者であるDel Papa Distributingは、テキサスにある27エーカーの新しい本社を保護する必要がありました。 Del Papaは、ビデオ監視、物理アクセス制御、デジタルサイネージ、温度センサーなどのシスコソリューションを使用して安全なIPネットワークを構築しました。

IPカメラは、敷地の周囲、100,000平方フィートの倉庫、オフィスの廊下、およびすべての配達ゲートを監視します。システムアラートは、制限区域へのドアが開いたときに従業員に通知し、ライブビデオへのリンクを提供します。 IP電話のボタンを押すことでドアを開閉できます。

4. デバイスプロファイリングを使用してネットワーク上にいるユーザーを制御します。

人々は自分のタブレット、電話、その他のモバイルデバイスを製造現場に持ち込み、ネットワークの可視性と制御を完了することがこれまで以上に困難になっています。デバイスとIDのプロファイリングサービスを使用すると、セキュリティに対する一元化されたポリシーベースのアプローチで、ネットワークに接続するすべてのユーザー、デバイス、さらにはアプリケーションを監視、認証、および制御できます。

たとえば、Diebold、Inc。は、77か国で87,000台のデバイスのネットワークを保護するために、Cisco Identity Services Engine（ISE）を含むシスコソリューションをセットアップしました。このソリューションにより、Dieboldはネットワーク内のすべてのデバイスのプロファイルを簡単に作成し、ゲストと請負業者のアクセスを合理化できました。

外部の請負業者（たとえば、1日1時間ごとに多くのプラントが所有するOEM機器にサービスを提供する）がラップトップをプラントフロアの開いているポートに接続する場合、Cisco ISEは接続とIDを検出し、アクセスを拒否します。これにより、意図的または意図しないセキュリティ違反による計画外のダウンタイムやその他の望ましくない結果を回避できます。

残りのセキュリティセブンを共有します 来週あなたと一緒に。工場のセキュリティに関するその他のベストプラクティスについては、最新のホワイトペーパーをダウンロードしてください：

将来の製造ブログを受信トレイに直接受け取るには：