現在地

第4回 IIoTセキュリティプラクティスの詳細リストについて

第4回では、IIoTセキュリティプラクティス(本コラムにおける「Good practices for Security of Internet of Things in the context of Smart Manufacturing」)の詳細リストを公開します。

詳細リストの例

詳細リストは、IIoTセキュリティプラクティスのAnnex Bに記載されています。第2回第3回で見てきた110件のセキュリティ要件それぞれに紐づく脅威グループや、関連する参考文書が記載されており、実際のセキュリティ対策の検討に役立てられるようになっています。

例えば、TM-43(セグメント間トラフィック制御)では、以下のようになっています。

本文
TM-43:マイクロセグメンテーションアプローチに従うこと。つまり、1つのネットワーク内で互いに通信するコンポーネントの小さな島を構築し、セグメント間のネットワークトラフィックを制御すること。
Annex B: セキュリティ対策/グッドプラクティスの詳細リスト
セキュリティ対策/グッドプラクティス TM-43:島の内側でのみ通信するコンポーネントの同じネットワーク(例えば、ITまたはOT)の小さな島の中に構築することに基づくマイクロセグメンテーションアプローチに従うこと。ファイアウォールを使用して異なるセグメント間のトラフィックを制御すること。ネットワークをセグメント化しながら、最小特権とneed-to-know(知る必要性)の原則を使用すること。これは、必要なポートで必要なプロトコルを使用する必要なシステム間通信だけを許可し、残りを無効にすることを意味する。感染した場合、隔離されたマイクロセグメントで感染がネットワークにそれ以上広がることを防ぐ。

ネットワーク内のマイクロセグメンテーションは、次の方法で実現できる。
  • 各マイクロセグメントにVLAN( Virtual LAN )を使用
  • 物理ネットワークの分離
  • ネットワークレイヤのフィルタリング、状態ベースのフィルタリング、ポートおよびプロトコルレベルのフィルタリング、アプリケーションフィルタリングなど、さまざまなレイヤでのネットワークトラフィックのフィルタリング。
脅威グループ
  • 悪意のある活動/悪用
  • 盗聴/傍受/ハイジャック
参考文書
  • IEC - IEC 62443-1-1:2009 Terminology, concepts and models
  • IEC - IEC 62443-2-1:2010 Establishing an industrial automation and control system security program
  • IEC - IEC 62443-3-3:2013 System security requirements and security levels
  • IIC (Industrial Internet Consortium) - Industrial Internet of Things Volume G4: Security Framework
  • IoT Alliance Australia - Internet of Things Security Guidelines v1.2
  • LNS - Putting Industrial Cyber Security at the top of the CEO agenda
  • NIST - NIST SP 800 82r2: Guide to Industrial Control Systems (ICS) Security
  • SANS Institute - Building the New Network Security Architecture for the Future

詳細リストの対訳版

IIoTセキュリティプラクティスのセキュリティ要件および詳細リストの対訳版は以下のリンクからダウンロードが可能です。
(詳細リストのうち、脅威グループと参照文書は割愛しています。)

IIoTセキュリティプラクティス(ENISA 2018年11月).xlsx

参考資料

Writer Profile

セキュリティ事業部
セキュリティコンサルティング担当 チーフコンサルタント
戸田 勝之