ビル制御システムのセキュリティ対策(2)
ホワイトリスト制御など多層化防御
中島 豊
1998年にアライドテレシスに入社。ネットワークスイッチの開発経験を経て、マーケティング部門に異動。VoIP、データセンターネットワーク機器企画を行った後、企業向けSDNの新企画(Secure Enterpise SDN)を立ち上げ、現在のサイバーセキュリティ戦略室で邁進中。
2019/05/13
企業よ、サイバーリスクに備えよ
中島 豊
1998年にアライドテレシスに入社。ネットワークスイッチの開発経験を経て、マーケティング部門に異動。VoIP、データセンターネットワーク機器企画を行った後、企業向けSDNの新企画(Secure Enterpise SDN)を立ち上げ、現在のサイバーセキュリティ戦略室で邁進中。
前回の内容で説明しきれなかった、制御システムインフラ(=ネットワーク)のホワイトリスト制御について説明します。
最初にネットワークの観点からホワイト・ブラックリストについて説明します。
・ホワイトリスト:ネットワークを使っていいもの
・ブラックリスト:ネットワークを使ってはいけないもの
非常に簡単です。でも実際に制御するに当たってはいくつかポイントがあります。サスペンスドラマに例えると、犯人がブラック、犯人が分かるまでに怪しい動きをする人物がグレー、そして明らかに疑うに値しない人物がホワイトです。つまりホワイトリスト制御は、疑うに値しないもの:ホワイトのみをシステムに参加させる方法です。
では実際の制御システムにおいてどんなものを対象としてホワイトと定義するのか、ここがポイントになります。対象を大別すると以下の3つです。
1)ネットワークにつなげる“デバイス“
2)ネットワークに流れる“通信“
3)デバイス、サーバーなどで動作する“アプリケーション”
ネットワークにつなげるデバイス
ネットワーク機器に接続するデバイスのIPアドレス、もしくはMACアドレスを対象に判別します。通常、IT(一般の企業ネットワーク)ではPC、スマートフォンなどがネットワークにログインする際、ユーザーIDとパスワードなどでネットワークに入ることができますが、制御デバイスの多くはそのような機能を持っていないため、ネットワーク機器にあらかじめ許可した端末(ホワイト端末)のアドレスを設定し、設定された端末のみアクセスを許可します。ネットワーク側でサポートする機能です。
ネットワークに流れる通信
こちらもネットワーク機器で制御する機能になりますが、アクセスする端末のアドレスだけでなく、その端末が使用する通信プロトコルを制限します。これはネットワーク機器の性能によって制限する機能が異なりますが、UDP/TCPの使用ポート番号でアクセスする通信を決定する機能が一般的です。最近のゲートウェイタイプの製品では、さらに上位のアプリケーションで利用するメッセージなどで判断することが可能です。
デバイス、サーバーなどで動作するアプリケーション
こちらは主にOSを持つものに対して、Agentと呼ばれるソフトをインストールして制御するものになります。アンチウイルスなどのソフトはブラックリスト制御で、悪い動きを封じ込めることになりますが、ホワイトリストの場合は認められたもののみプロセスやレジスタ、そして通信プロトコルのみを許可し、それ以外の動作は実行させない仕組みになります。
企業よ、サイバーリスクに備えよの他の記事
おすすめ記事
過疎高齢化地域の古い家屋の倒壊をどう防ぐか
能登半島地震の死者のほとんどは、倒壊した建物の下敷きになって命を落とした。珠洲市や輪島市の耐震化率は50%程度と、全国平均の87%に比べ極端に低い。過疎高齢化地域の耐震改修がいかに困難かを物語る。倒壊からどう命を守るのか。伝統的建築物の構造計算適合性判定に長年携わってきた実務者に、古い家の耐震化をめぐる課題を聞いた。
2024/03/28
リスク対策.com編集長が斬る!【2024年3月26日配信アーカイブ】
【3月26日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:四半期ニュース振り返り
2024/03/26
リスク対策.com編集長が斬る!【2024年3月19日配信アーカイブ】
【3月19日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:副業・兼業のリスク
2024/03/19
リスク担当者も押さえておきたいサイバーセキュリティ対策の最新動向
本勉強会では、クラウド対応のサイバーセキュリティ対策の動向を、簡単にわかりやすく具体的なソリューションの内容を交えながら解説します。2024年3月8日開催。
2024/03/18
発災20分で対策本部をスタートする初動体制
総合スーパーやショッピングモールなど全国各地のイオン系列の施設を中心に設備管理、警備、清掃をはじめとしたファシリティマネジメント事業を展開するイオンディライト(東京都千代田区、濵田和成社長)。元日に発生した能登半島地震では、発災から20分後にオンラインの本社災害対策本部を立ち上げ、翌2日は現地に応援部隊を派遣し、被害状況の把握と復旧活動の支援を開始しました。
2024/03/18
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方