産業オートメーション、エネルギー、重要インフラを含むOT(運用技術)およびCPS(サイバーフィジカルシステム)環境では、ネットワーク通信に高レベルのセキュリティ、拡張性、効率性が求められます。主要な課題は、複数のVLANにまたがるシームレスな通信を可能にしながら、異なるネットワークセグメント間の分離され、制御され、構造化されたトラフィックフローを確保することです。Q-in-Q、802.1ad、またはQ-in-Qトンネリングとしても知られるダブルVLANタギングは、サービスプロバイダVLAN内に顧客VLANをカプセル化することで、効果的なソリューションを提供します。これにより、セグメンテーションが維持され、信頼性の高いデータ伝送が保証されます。
ダブルVLANタギング(Q-in-Q)を理解する
ダブルVLANは、あるVLANタグを別のVLANタグの中にカプセル化し、内部VLAN設定に干渉することなく、ネットワーク境界を越えてVLANを拡張することを可能にします。この技術は、制御システム、PLC、SCADA環境、および運用データを分離するためにネットワークのセグメンテーションが必要な産業用セットアップで特に有用です。
ダブルVLANタギングの主な構成要素:
- 外部VLAN(サービスVLAN):サービス・プロバイダーが管理するこのVLANは、共有ネットワーク・インフラでのトラフィック伝送を容易にし、顧客データがカプセル化され分離された状態を維持することを保証します。
- インナーVLAN(カスタマーVLAN):企業によって割り当てられた元のVLANタグ。そのまま残り、宛先で復元される。
Q-in-Qを活用することで、産業用企業はVLANの整合性を維持し、運用の複雑さを軽減しながら、ネットワークを効率的に拡張することができます。
Industrial セットアップにおけるダブルVLANタギングの仕組み
この構造化されたトラフィックフローにより、産業用ネットワークは、各セグメントを管理可能な状態に保ちながら、複数の拠点にVLANを拡張することができる。
OTネットワークにおけるダブルVLAN(Q-in-Q)のメリット
交通分離
ダブルVLANは、OTネットワークの異なる部分間のトラフィックの分離を可能にします。これにより、PLCからの重要な制御トラフィックが他の非本質的なトラフィックから分離され、信頼性が向上し、干渉が最小限に抑えられます。
スケーラビリティ
OT ネットワークの拡大に伴い、Q-in-Q は増え続ける VLAN を効率的に管理するソリューションを提供します。VLAN ID の枯渇を防ぐことができ、複数の PLC や制御システムを持つ大規模な産業プラントには特に有益です。
セキュリティ
産業用ネットワーク内の異なるVLANを分離することで、Q-in-Qは特定のネットワーク・セキュリティ管理を強化し、簡素化することができる。しかし、VLANは完全なセキュリティ・ソリューションではない。VLANホッピングなどのテクニックを使って回避することは比較的容易です。
簡素化されたネットワーク管理
Q-in-Qは、産業用ネットワークにおける構造化されたVLAN階層の作成を可能にします。これにより、ネットワーク構成が簡素化され、運用の複雑さが軽減され、トラブルシューティングがより効率的になります。
ベンダーの独立性
広く採用されているIEEE標準802.1Q(2011年)の一部として、Q-in-Qは複数のネットワークベンダーによってサポートされている。これにより、産業用オペレーターは異なるハードウェアを統合しても、統一されたトラフィックのセグメンテーションと管理を維持することができます。
OT環境におけるダブルVLANタギング(Q-n-Q)の使用例
- サービスプロバイダ・ブリッジング:Q-in-Qは、レイヤー2 VPNを大規模なOTネットワークに拡張することで、異なる産業サイト間の通信を可能にする。
- Industrial オートメーション製造工場やエネルギー・グリッドでは、Q-in-Qを使用してオートメーション機器と制御システム間のトラフィックを分離し、シームレスな運用を実現しています。
- スマートグリッドQ-in-Qは、変電所とコントロールセンター間のトラフィックを管理し、スマートグリッド展開における効率的な通信を維持します。
- BMS(ビル管理システム): Industrial キャンパスでは、Q-in-Qを使用してHVAC、照明、セキュリティシステムのトラフィックを分離し、適切な機能を確保している。
- 輸送システム:Q-in-Qは、鉄道制御システムを含む様々な輸送ネットワークにおけるデータ伝送をサポートし、中断のない運行を保証します。
ネットワーク・トポロジーの例
次のような設定の工場を考えてみよう:
1.デバイスPLC (サーバー)、Industrial Firewall、およびネットワーク B のクライアント。
2.ネットワークのセグメンテーション:
- ネットワークA:VLAN 100(PLCはここにある) - 192.168.10.0/24
- ネットワーク B: VLAN 200.100 (HMI または外部デバイス) - 10.10.10.0/24
- Industrial Firewall:両ネットワークのインターフェイスで、両ネットワーク間のトラフィックを変換する。
3.交通の流れ:
- ネットワークBのデバイスは、VLAN100でタグ付けされたトラフィックを送信する。
- ファイアウォールまたはサービスプロバイダのスイッチは、外側のVLANタグ(VLAN 200)を追加します。
- パケットはVLANの分離を保ったままネットワークを通過する。
- ネットワークAに到達すると、外側のVLANタグが削除され、VLAN100が復元される。
- PLC は、内部 VLAN を変更することなく外部デバイスと通信できるようになりました。
結論
ダブル VLAN タギングは、VLAN の拡張性、分離、共有インフラ上でのデータ転送を必要とする組織にとって強力な手法です。Q-in-Qは、産業およびOT環境において、シームレスで効率的なVLAN管理を実現し、柔軟でコスト効率の高いネットワーキング・ソリューションを可能にします。
Industrial Firewall™
パフォーマンスを犠牲にすることなく、Q-in-Qでセキュアでセグメント化されたOT/ICS通信のロックを解除します。MetaDefender Industrial Firewall 産業用ネットワークをどのように強化するかをご覧ください。
よくある質問 (FAQ)
Q:ダブルVLANタギング(Q-n-Q)とは何ですか?
A:Q-in-Qとしても知られるダブルVLANタギングは、あるVLANタグを別のVLANタグの中にカプセル化することで、セグメンテーションを維持しながらVLANをネットワーク全体に拡張します。ネットワークのセグメンテーションが制御システム、PLC、SCADA環境、運用データの分離に不可欠な産業環境では、特に有用です。
Q:VLANのSecure ?
A:VLANは、トラフィックを論理的にセグメント化し、ブロードキャスト・ドメインを制限することで、ネットワーク・セキュリティを向上させることができます。しかし、VLANは本質的に安全ではありません。VLANホッピングや不正アクセスなどの攻撃を効果的に防ぐには、慎重な設定が必要です。
Q:VLANホッピングとは何ですか?
A:VLANホッピングとは、攻撃者が弱点を突いてあるVLANに不正アクセスし、同じネットワーク内の他のVLANに移動するネットワーク・セキュリティの脆弱性です。VLANは、異なるセグメント間でトラフィックを分離することで、セキュリティとパフォーマンスを向上させることを目的としています。VLANホッピングはこの分離を弱体化させ、攻撃者が制御を迂回し、保護され隔離されたままであるべき機密システムやデータにアクセスすることを可能にします。
