CIP Securityにデバイスベースのファイアウォール・プロファイルを追加―EtherNet/IPネットワークのさらなる保護のために

Japanese

ドイツ、ニュルンベルク―2023年11月14日―ODVAは本日、サイバー攻撃に対する抑止力を強化すべく、EtherNet/IPのセキュリティ対応ネットワーク向け拡張であるCIP Security™に新しいデバイスベースのファイアウォールを追加したことをご案内します。このCIP Securityのデバイスベース・ファイアウォールは、LinuxにおいてIP Tableプログラムによりファイアウォールが設定できるのと同様に、ユーザーに対してシンプルなトラフィックフィルタを提供します。CIP Securityの新しいDevice-Based Firewall Profileを介して可能になるこのデバイスベース・ファイアウォールでは、必要に応じて同機能を有効化/無効化できるという柔軟性も実現します。これにより、CIP Securityはデバイスベース・ファイアウォールを通じて、デバイスレベルでいっそう堅固な保護が行えるようになり、悪意ある攻撃者によるEtherNet/IP産業用ネットワークへの侵入を抑止できます。 CIP Securityのデバイスベース・ファイアウォールは、IPアドレスとポート、プロトコルに基づいてトラフィックをフィルタリングするためのメカニズムです。Ingress Egress Objectという新しいCIPオブジェクトを介して、このデバイスベース・ファイアウォールを実装すれば、既知のIPアドレスに対する許可リスト、利用できる暗号スイートの設定、IPアドレスおよびポート番号に基づくルーティング・ルールを定義可能です。つまり、CIP Security対応のEtherNet/IPデバイスは、どのノードとならば安全に通信可能か、またTLSやDTLSによる暗号化が必要かを決定できます。加えてユーザーは、他のデバイスがCIP Security設定のデバイスを通じてCIP通信をルーティングできるかどうかも決定できます。こうした新しいデバイスベース・ファイアウォールにより、物理的アセットやデジタル資産を損害から守るのに有効な深層防御アプローチの一環として、もう一つの抑止層が追加できます。

「今回の新しいデバイスベース・ファイアウォールのセキュリティ機能を追加することで、致命的なシステムの損傷や情報損失につながりかねない悪意ある行為からEtherNet/IPデバイスを守れるように、CIP Securityの継続的な拡充を図っています」と、EtherNet/IP System Architecture Special Interest Group(SIG)の副委員長Jack Visoky氏は説明しています。また、ODVAの会長兼業務執行取締役Al Beydoun博士も同様に次のように述べています。「CIP Securityを設定したEtherNet/IPデバイスに対する未承認のIPアドレスとポート番号からのアクセスを防げれば、深層防御アプローチの一環として、極めて重要な産業オートメーションのアプリケーションを保護する層をもう一つ加えることができます。こうした考えから、デバイスベース・ファイアウォール用プロファイルをCIP Securityに追加し、経済的損失や信頼失墜を招くこともある悪意のサイバー攻撃に対して戦い続けるための重要な前進をまた一つ遂げることができました」。

CIP Securityの新しいDevice-Based Firewall Profileにより、標準のEtherNet/IPを使いつつ、既知のIPアドレスにのみ通信を認めることが可能になりました。加えて、信用できるIPアドレスとポート番号、暗号化の組み合わせに基づいて許可するCIPルーティングも設定できます。デバイスベース・ファイアウォールを実装しておけば、IPアドレスやポート番号が合致しないデータパケットは排除されるため、悪意をもった行為は実行できなくなります。ODVAは、EtherNet/IPユーザーがCIP Securityを通じてデバイスセキュリティのためのロバストかつ常に最新のオプションを深層防御アプローチの一環として確実に利用できるように重点的に取り組んでいます。CIP Securityを含むEtherNet/IP仕様書の最新版はodva.orgから入手いただけます。

ODVAについて

ODVAは、世界をリードするオートメーション関連サプライヤを会員企業として国際的な規格策定や取引を推進する組織です。そのODVAの使命は、産業オートメーション分野に向けた、オープンで相互運用可能な情報通信技術の発展を図ることです。ODVAによる規格には、メディアに依存しないネットワークプロトコルのCommon Industrial Protocol(CIP™)に加え、EtherNet/IPやDeviceNetなどの産業通信技術があります。生産システムの相互運用性と他のシステムとの統合を実現するためには、商用オフザシェルフ(commercial-off-the-shelf)のInternetおよびEthernet技術を採用することが有効であるとODVAは考え、一つの指針としています。その指針を具体化したものがEtherNet/IPであり、現在、産業用Ethernetネットワークをリードする存在となっています。ぜひ、ODVAのwww.odva.orgをご覧ください。

ODVA, Inc.

Ann Arbor, Michigan USA

(US Eastern Time Zone)

Steve Fales

電話番号: +1 734-975-8840, ext. 1365

ファックス: +1 734-922-0027 +1 734-922-0027

[email protected]

www.odva.org