RTI Connext DDSSecureを理解する

当社のConnext DDS Secure製品は、前例のない関心を呼んでいます。製品に対する需要や好奇心はめったに見られません。製品はまだベータ版であるにもかかわらず、顧客はできるだけ早く出荷することを計画しているため、これは特に珍しいことです。最も一般的な質問のいくつかに答えると思いました。

まず、新しいDDSセキュリティ標準はセキュリティアーキテクチャとモデルを指定します。ベータ標準は、OMGによって3月に採用されました。私たち（RTI）は最終決定委員会の議長を務めます。来年は最終的なはずです。 RTIは、新しい標準を最初にサポートします。他のDDSベンダーもそれを実装すると確信していますが、他の誰もまだ製品を持っていません。

DDSセキュリティは、いくつかの理由でミドルウェアの分野でユニークです。まず、他の標準よりも完全にセキュリティに対応しています。この仕様は、認証、アクセス制御、機密性、整合性、否認防止、およびロギングを対象としています。第二に、それは「プラグイン」設計を持っています。この仕様は、一連の標準プラグインコンポーネントと相互運用可能なワイヤ仕様を定義しています。ただし、プラグイン用に独自のアルゴリズムを定義することはできます。最後に、ノードや接続ではなく、DDSの「トピック」を保護します。そのため、きめ細かい制御を提供し、独自の産業用モノのインターネット（IIoT）要件に適応できます。これは、人間やサーバー中心のアーキテクチャではなく、IIoTデバイス間およびデバイス間ネットワークを対象とした最初のセキュリティ標準です。

おそらく、例を使用すると、これがより明確になります。この（非常に）単純なシステムを考えてみましょう：

DDSセキュリティ

ここで、「PMU」はセンサー（電力制御で一般的な位相測定ユニット）を表します。 「CBM」（状態ベースのメンテナンス）分析コンポーネントは、システムを監視し、システムの正常性の問題を探します。このシステムの簡単な操作：PMUセンサーが状態を書き込み、コントロールがその状態を読み取り、設定値を書き込みます。 CBMは状態を読み取り、アラームを書き込みます。オペレーターはシステムを監視できます。

DDSでは、このシステムはトピック間のデータフローとして簡単に設定できます。もちろん、DDSはデータレート、信頼性要件などを指定します。

Connext DDS Secureを使用してこのシステムを保護するには、次のことを伝える構成ファイルを作成します。

 PMU：State（w）CBM：State（r）; Alarms（w）Control：State（r）、SetPoint（w）Operator：*（r）、Setpoint（w）

これは、単純に、PMUが状態を書き込むことしかできないことを示しています。コントロールは、状態の読み取りとSetPointの書き込みのみを行うことができます。 CBMは、状態の読み取りとアラームの設定のみを行うことができます。また、オペレーターは何でも読み取り、SetPointを書き込むことができます（おそらくシステムをオフにするため）。 Connext DDS Secureは、これらの非常に論理的なシステム制約を直接適用します。

これは、概念的には非常に単純です。もちろん、証明書と構成ファイルを配布する必要があります。ただし、この「トピックベース」のセキュリティは、プロトコルのロックアウト、ノードの分離、またはユーザーの役割に基づくアクセスの制限に基づく設計よりも、IIoTシステムにとってはるかに直感的です。 Connext DDS Secureは、データフロー自体に直接かつ簡単に作用します。

重要なことに、Connext DDS Secure製品でも、アプリケーションコードを変更する必要はありません。あなたはそれを設定して行きます。 Connext DDS Secureは、既存のシステムに実用的で直感的な保護を提供します。

もちろん、セキュリティ保護は絶対確実ではありません。したがって、ほとんどすべての実用的なセキュリティシステムは、保護（悪いことを阻止する）と検出（違反を見つけて隔離する）を組み合わせています。これが、たとえば、ラップトップにファイアウォール（保護）とウイルススキャナー（検出）の両方がある理由です。保護と検出を組み合わせることで、はるかに安全なシステムが提供されます。

DDSは、ソフトウェア「DataBus」であるため、簡単に監視することもできます。これをPNNLで使用して、電力網の「レトロフィット」セキュリティテストを実装し、古いDNP3回線を安全なDDS回線に置き換えて、保護を実装しました。 DataBusトラフィックとメタトラフィックフローを利用することで、スクリプト機能を追加できます（洗練されたLuaコンポーネントがあります）。単純なスクリプトは、侵害されたシステム、中間者攻撃など、多くの潜在的な攻撃を検出できます。

ConnextDDSを使用して安全な産業用制御システムを構築»

したがって、DDSを使用すると、保護（標準）と検出（DataBusを介して）を組み合わせることができます。どちらも実装は比較的簡単です。

当社の製品は現在早期アクセスリリース中です。ただし、すでに火災試験が行われています。これが1つの非常に広範なテストアクティビティです：

USS SECUREサイバーセキュリティテストベッドは、国家安全保障局、国防総省情報保証範囲Quantico、Combat Systems Direction Activity Dam Neck、NSWCDD、NSWC Carderock / Philadelphia、Office of Naval Research、Johns Hopkins University AppliedPhysicsのコラボレーションです。 Lab、およびReal Time Innovations Inc. USS SECUREのテストベッドは、サイバー防衛技術の最適な組み合わせを決定し、リアルタイムの期限のスケジュールされたパフォーマンス要件に影響を与えることなく、海軍戦闘員を保護します。

ご覧のとおり、当社のセキュリティ製品は、非常に要求の厳しい顧客を想定しています。明らかな理由から、これらのテストについて多くを語ることはできません。しかし、私はConnext DDSSecure製品を非常に誇りに思っていると言えます。これと他の多くのサイトで、それは非常に効果的であることが証明されています。

RTI Connext DDS Secureは、来年一般提供される予定です。ご不明な点がございましたら、最寄りの担当者にお問い合わせください...