「データダイオード」はインダストリー4.0ネットワークセキュリティを強化します

モノのインターネットとインダストリー4.0ネットワークには、信頼性が高く、安全で、安全なデータリンクが必要です。ただし、最近では、従来のセキュリティ方法で保護されている場合でも、どのネットワークもサイバー攻撃を受けやすくなっています。この問題を解決するために、ハードおよびソフトウェアデバイスであるデータダイオードは、外部へのデータのアップロードのみを許可し、セキュリティ上の理由から、データの逆方向のダウンロードを回避します。

サイバーダイオードは、ネットワークセキュリティの従来のソリューションの機能を拡張します。安全で安全なネットワークの重要性は、BundesamtfürSicherheitinder Informationstechnik（BSI、または英語ではドイツ連邦情報セキュリティ局）が実施したサイバー攻撃に関する調査によって証明されています。調査によると、トロイの木馬、ランサムウェア、トリックボットなどのマルウェアの量は、2019年6月から2020年5月の間に1,170億に増加し、マルウェアの種類と強度は増加し続けています。相互接続された業界および重要なインフラストラクチャにおける最適なセキュリティの要件は非常に高く、悪影響を回避するために産業機器のインターフェイスを完全に保護する必要があります。もう1つの重要な点は、送信されるデータは機密であり、操作できないものでなければならないということです。

ジェノヴァのスティーブショナー

「しかし、既存のセキュリティソリューションを使用しても、リスクは残っています」と、GenuaGmbHの戦略的製品マーケティングマネージャーであるSteveSchonerは EE Times Europe に語りました。 。 「サイバーダイオードにより、このギャップを埋めることができます。」 1992年に設立されたGenuaGmbHは、Bundesdruckerei（ドイツ連邦印刷会社）のビジネスユニットです。機密情報を扱う民間企業での豊富な経験があり、ネットワークとデジタル通信の保護を専門としています。

ITとOTの相互接続が進むにつれ、産業用ネットワークのセキュリティが低下していることが、多くの企業がインターネットを介して工場を外界に接続することによる進歩を控えている理由です。ネットワーキングにより、ロットサイズ1までの効率的で費用効果が高く、柔軟な製造が可能になります。また、機械やシステムの監視と最適化も可能になります（たとえば、予知保全や分析のために）。ただし、インターネット接続により、インダストリー4.0ネットワークはサイバー犯罪者による妨害行為やスパイ行為の標的になりつつあります。

最大化されたサイバーセキュリティ

「サイバーセキュリティの既存のソリューションは独自仕様または非常に高価であるため、安全で信頼性が高く、メーカーやプラットフォームに依存しない通信を保証する産業用サイバーダイオードを開発しました」とSchoner氏は説明します。 「これは、認定された機密製品に基づく世界で唯一のデータダイオードです。」産業環境での安全なデータ転送のために、マシンデータを交換するためのオープンスタンダードであるOPC UAプロトコル（OPCユニファイドアーキテクチャ）をサポートしています。また、IPSecVPNを介したクライアントアプリケーションへの暗号化されたデータ送信も可能です。 IPSecがアクティブになっている場合、外部クライアントは暗号化された通信を使用することによってのみダイオードと通信できます。これは、ダイオード内部ファイアウォールによって保証されており、クラウドまたはその他の外部の場所にある任意のサービスへの非常に安全なデータ送信を可能にします。

サイバーダイオードの詳細

サイバーダイオードハードウェアは、コンパートメント分離用のI / Oメモリ管理ユニット（IOMMU）を使用することで安全です。機能ブロック図の黒いコンパートメント（左）は、送信機（この場合はOPC UAクライアント）を示しています。中央では、特許取得済みの一方向タスクが一方向のデータ転送機能を表しています。赤いコンパートメント（右）は、VPN対応データをネットワークインターフェイス（NIC）経由で外部ターゲットシステムに送信するVPN対応側です。追加の更新コンパートメント（上部）を使用すると、セキュリティ上の理由からネットワークで許可されていない新しい機能やアップグレードを統合できます。更新はデバイス自体にのみアップロードできます—ネットワーク設定を介して、基本構成を変更することはできません。このハードウェアは、省スペースのDINレールまたは19ラックハウジングに適しており、UEFIおよびセキュアブートをサポートします。サイバーダイオードは、携帯電話（LTE）とWLANを介した接続用に拡張できると同社は述べています。

サイバーダイオードのブロック図（画像ソース：ジェノヴァ）

ソフトウェアのコアは、最小限の強化されたマイクロカーネルと強化されたOpenBSDオペレーティングシステム上に構築されています。どちらにも数行のコードが含まれているため、ハッカーや攻撃ベクトルのエントリポイントが最小限に抑えられます。 「このようなアーキテクチャは攻撃が非常に困難です」とSchoner氏は述べています。オペレーティングシステムの脆弱性でさえ、特許取得済みの一方向機能には影響しません。サイバーダイオードで実行できるのは、Genuaが提供するソフトウェアのみです。 「費用対効果が高く、1つのシステムのハードウェアとソフトウェア全体を含むライフタイムライセンスとして利用できます」とSchoner氏は述べています。ホットラインサービスまたは完全なシステム管理サービスも保証されています。ネットワークに必要なサイバーダイオードの量は、ユーザーのリスク要件とネットワーク構造によって異なります。

セキュリティ機能の改善

サイバーダイオードは、インダストリー4.0ネットワークでの安全なデータ転送を可能にします

エアギャップ、ファイアウォール、光ファイバーなどの従来のサイバーセキュリティ手法と比較して、サイバーダイオードにはさまざまな利点があるとSchoner氏は述べています。エアギャップは、たとえばITをOTネットワークから分離し、自動化されたデータ交換を回避して、セキュリティを確保します。しかし、インダストリー4.0では、とにかく環境データを異なるネットワーク間で交換する必要があります。この場合、データ送信は通常、USBスティックまたはその他のメモリデバイスを介して行われるため、効率が悪く、障害が発生しやすくなります。 USBスティックやその他のメモリデバイスには、マルウェアが含まれている可能性があります。

代替手段はファイアウォールであり、データを一方向にのみ送信するように構成できます。これは解決策になる可能性がありますが、ほぼすべてのファイアウォールが1セット以上のルールを備えているため、非常に複雑です。これは、これらのルールのセットを誤って変更したり、長年にわたって廃止されたりする可能性があることも意味します。これにより、新しいネットワークセグメントをリンクするのが複雑になるか、少なくともそのためには十分な知識が必要になります。一方向性関数が無効になる可能性があります。

これらのリスクは、サイバーダイオードでは除外されています。 3番目の従来のオプションであるファイバーダイオードは、逆方向のデータをブロックできますが、データ送信が成功したかどうかを知るために別のチャネルが必要です。信頼性の高いデータ転送を向上させるために、サイバーダイオードは1ビットだけを送り返すことによってデータ転送が成功したことを確認します。最後に、サイバーダイオードは既存の産業用ネットワークに簡単に統合できます。

>>この記事は、もともと姉妹サイトEEで公開されました。タイムズヨーロッパ。