製造業｜お客様の声

OPSWAT MetaDefender Optical Diode （フェンド）によるレガシーOTデータ抽出の保護

グローバルメーカーがOPCデータをリアルタイムに可視化しながら、OT/ITの完全分離を実現した方法

フィオナ（ユエン）・ファム・フォン

この記事を共有する

会社についてこの大規模な製造施設は複数の生産ラインを運営しており、稼働時間、製品品質、コンプライアンスを維持するために、従来のOT（オペレーション・テクノロジー）システムに大きく依存しています。数千人の従業員を抱え、グローバルに流通するため、中断のないオペレーションが不可欠です。

どんな話？このメーカーは、生産ネットワークをサイバーリスクにさらすことなく、レガシーOPCシステムから企業のIT環境にOPCデータを安全にエクスポートし、監視と分析を行う方法を必要としていました。OPSWAT と Enero Solutions と協力することで、この施設はMetaDefender Optical Diode (Fend) を実装し、OPC UA データフィードのプロトコル変換を可能にしながら、ハードウェアレベルの一方向データ転送を実施しました。

事業の性質上、彼らの活動の完全性を守るため、この記事に登場する組織名は匿名とさせていただいております。

産業：

製造業

場所

グローバル

SIZE：

大規模

使用されている製品：

MetaDefender 光ダイオード™（フェンド）

クリティカルなデータのSecure 移動

製造業は、エネルギーコストとメンテナンスコストの管理という絶え間ない課題に直面している。工場の設備は、年間数百万ドルのエネルギーと水を消費する可能性があり、些細な性能上の問題でも、すぐにコストが膨らんでしまいます。

予期せぬ機器の故障もまた、大きな懸念事項である。予知保全の欠如は生産停止を引き起こし、その結果、ダウンタイム1時間ごとに大きな減収をもたらします。

アバディーン・リサーチによると、製造業者は計画外のダウンタイムにより、1時間あたり最大26万ドルの損失を被る可能性があるという。現在、攻撃によって平均21日間のダウンタイムが発生しており、これ以上の損失はないです。

このような問題に対処するため、メーカーは分析プラットフォームと省エネパフォーマンス契約を利用して、メンテナンスチームを支援している。OPCやその他のデータフローを利用して、各施設の重要な設備を常に把握し、作業の優先順位をつけ、投資を指示しています。

レガシーOTデータ抽出の安全性を強調し、予定外のダウンタイムが1時間当たり26万ドルかかることを示すテキストが表示されたIndustrial 施設の背景

しかし、社内のOT（オペレーショナル・テクノロジー）セキュリティ・チームは、工場フロアをインターネットに接続することに多大なサイバーセキュリティ・リスクがあると考えています：

レガシーなOT機器には、セキュリティやパッチ適用機能が組み込まれていないことが多い。
OPCデータフィードを外部に公開することは、敵対者にとって攻撃のベクトルを生み出す可能性がある。
生産システムの変更にはコストがかかり、ダウンタイムのリスクもある。

こうしたセキュリティ上の懸念は十分に根拠があり、連邦政府のガイダンスによって裏付けられています。2022年3月、CISA（Cybersecurity & Infrastructure Security Agency）は、ネットワークのセグメンテーションを強化し、サイバー攻撃から産業用制御システムを保護するために、一方向通信ダイオードの使用を推奨した。このガイダンスは2023年にさらに強化され、NISTと国防総省は最新のNIST SP 800-82r3とUFC 4-010-06で、OTインフラを保護するためのオプションとしてデータ・ダイオードを推奨しています。

この施設は、破壊的なシステム変更や新たな脆弱性を追加することなく、OTデータを安全に抽出・共有する方法を必要としていました。

エネロ・プロトコル変換機能付きMetaDefender Optical Diode

このメーカーはOPSWAT Enero Solutions社と提携し、安全で低遅延のデータ転送アーキテクチャを設計しました。

MetaDefender Optical Diode (Fend)の導入は、データを一方向にのみ送信する光絶縁を使用し、重要な資産を物理的に保護します。マルウェア、ランサムウェア、その他の攻撃がネットワーク接続を突破することを禁止しながら、システムの可視性を提供します。

Enero Solutionsと協力して、元のシステムを変更することなく、レガシーシステムからOPC UAデータフィードを導入しました。MetaDefender Optical Diode (Fend)によるOPCプロトコル変換は、マルチステップの低レイテンシーアプローチを使用して、悪質な行為者に潜在的な攻撃ベクトルをもたらすことなく、OPCデータを安全にOTネットワークの外部に公開します。

動作のしくみ

保護側のOPCクライアントは、OPC UAまたはDAサブスクリプションを消費します。

データはOT側エッジデバイスでTCPパススルー用にシリアライズされ、MetaDefender Optical Diode （Fend）に転送され、企業側のTCPServer 渡され、IT側エッジデバイスでデシリアライズされ、実行可能なOPCポイント（パス、値、タイムスタンプ）として抽出されます。エンタープライズ（IT）エッジデバイス上のOPCクライアントは、OPC UAサーバーにポイントを書き込み、サブスクリプションを持つ顧客がアクセスできるようにします。

信頼できるネットワークと信頼できないネットワークの間でMetaDefender Optical Diode 使用した安全な一方向OTデータ抽出を示す図

成果

統合ソリューションにより、製造施設は達成しました：

完全なOT/IT隔離： Hardware一方通行転送により、外部からの脅威がOTネットワークに侵入することを防ぎます。
リアルタイムの可視性：OPC UAデータをITシステムにSecureかつ継続的に配信することで、レスポンスタイムの短縮、モニタリングの改善、データ主導の意思決定を可能にします。
アップタイムと投資の維持：レガシーOTシステムはそのままで、コストのかかる交換や破壊的なダウンタイムを回避。
サイバーリスクの低減：直接接続やソフトウェアのみのアプローチに関連する攻撃ベクトルを取り除くことで、この施設は全体的なサイバーセキュリティ態勢を強化しました。
規制との整合：この実装は、連邦政府のサイバーセキュリティのベストプラクティスに従い、一方向通信ダイオードに関するCISAの勧告を満たし、OTインフラの安全性に関するNIST SP 800-82r3およびDoD UFC 4-010-06ガイダンスと整合しています。