産業用IoTの保護:アーキテクチャを選択するためのガイド
組織が産業用制御ネットワークをIT環境、クラウドアプリケーション、リモートワーカーに接続することが増えているため、非武装地帯(DMZ)によって生じるエアギャップが侵食され、オペレーショナルテクノロジー(OT)ネットワークを保護する新しい方法を導入する必要があります。
>セキュリティソリューションでは、ITとOTの両方のニーズを考慮に入れる必要があります。これにより、運用上のオーバーヘッドやネットワークの複雑さを増すことなく、堅牢なセキュリティを提供できます。組織に最適なソリューションを選択するには、利用可能なさまざまなセキュリティアーキテクチャの影響を理解する必要があります。この投稿では、産業用IoTを保護するための適切なアーキテクチャを選択するためのガイドの概要を説明します。
はじめに
産業用IoTネットワークを保護するための最初のステップは、可視性を獲得することです。ネットワーク上にあるデバイス、それらが通信しているもの、およびそれらの通信がどこに向かっているのかを理解する必要があります。ただし、従来の産業用制御ネットワークは、これらの洞察を提供するために構築されていませんでした。
幸いなことに、ネットワークの可視性を実現するテクノロジーは現在利用可能です。ディープパケットインスペクション(DPI)は、すべての通信フローをデコードし、メッセージの内容とパケットヘッダーを抽出して、保護する必要のあるデバイスとそれらが通信しているものを理解するための可視性を提供します。これにより、適切なセキュリティポリシーを構築できるだけでなく、マシンへの不正なコマンドなど、壊滅的な影響を与える可能性のある異常な動作を検出することもできます。
アーキテクチャの選択
DPIを実行するためにネットワークパケットを収集する場合、セキュリティソリューションプロバイダーは通常、次の2つのアーキテクチャのいずれかを採用します。
- DPIを実行する中央サーバーにトラフィックを送信するようにネットワークスイッチを構成します
- 各ネットワークスイッチに専用のセキュリティアプライアンスを導入する
どちらのアプローチもネットワークの可視性を提供できますが、新しい課題も生み出します。中央サーバーにトラフィックを送信するようにネットワークスイッチを構成するには、ネットワークフローを複製する必要があり、複雑でコストがかかる可能性があります。追加のネットワーク輻輳は、ネットワーク遅延を引き起こす可能性もあります。多くの場合、許容できない妥協です。
セキュリティアプライアンスを導入すると、ネットワークトラフィックの複製に関連する問題に対処できます。アプライアンスは、スイッチでネットワークトラフィックを収集して分析し、追加の分析のためにメタデータのみをサーバーに送信します。ただし、完全に可視化するには、ネットワーク上のすべてのスイッチに専用のハードウェアをインストール、管理、および保守する必要があります。これは、コストとスケーラビリティの課題にすぐにつながる可能性があります。そして、効果的にするには、セキュリティには完全な可視性が必要です。 1つのスイッチを「暗闇の中で」放置しても、リスクが発生します。
別のアプローチ
完全なネットワークの可視性と3番目のアーキテクチャアプローチを実現するためのより良い方法があります。ネイティブDPI機能を備えた産業用スイッチを導入することです。これにより、ネットワークフローを複製し、追加のアプライアンスを展開する必要がなくなります。可視性とセキュリティ機能を取得するには、スイッチ内の機能をアクティブにするだけです。コスト、トラフィック、および運用上のオーバーヘッドはすべて最小限に抑えられます。
ネットワークスイッチにDPIを組み込むと、ITとOTの両方に独自のメリットがもたらされます。 ITは、既存のスキルセットを活用して、追加のハードウェアやネットワークトラフィックを管理することなく、OTネットワークを保護できます。 OTは、産業用ネットワークトラフィック全体を分析できるようになったため、これまでにない運用の可視性を得ることができ、制御システムに関する貴重な分析的洞察を提供します。
OTセキュリティソリューションを評価するときは、それらのアーキテクチャへの影響に注意してください。展開を簡素化し、スケーラブルにするための最良のオプションは、セキュリティ機能をスイッチに組み込むことです。これには、産業用コンピューティング機能を備えたネットワーク機器が必要です。産業用IoT向けに設計されたDPI対応スイッチを探してください。
これは、Cisco CyberVisionで採用したアプローチです。独自のエッジコンピューティングアーキテクチャを活用して、セキュリティ監視コンポーネントを産業用ネットワーク機器内で実行できるようにすることで、OT環境の可視性、運用上の洞察、および全体的な脅威の検出を提供します。
Cisco Cyber Visionのメリットは、シスコネットワークを使用している組織だけではありません。センサーは、レガシーネットワークデバイスに接続することでエッジでトラフィックを分析するCiscoIC3000アプライアンス内でも利用できます。これにより、既存のネットワークのニーズを満たすための最大限の導入の柔軟性が提供されると同時に、古いスイッチを、それに接続されているすべてのものを表示できるDPI対応のネットワーク機器に置き換える時間が与えられます。
詳細については、ホワイトペーパー「産業用IoTネットワークを保護するためのエッジアーキテクチャアプローチ」をご覧ください。ここでは、ここで紹介した3つのセキュリティアーキテクチャと、ネットワークスイッチにDPIを組み込むことでITとOTの両方。
モノのインターネットテクノロジー