IIoT(インダストリアルIoT)の普及に伴い、デバイスから収集したデータをクラウド上で変換・可視化・分析するニーズが高まっています。
IIoTでのクラウド利用は、生産性と効率を向上させるために役立ちますが、同時にデータ盗難やサイバー攻撃の可能性が増大します。そこで、ネットワークのセグメンテーションを維持し、サイバー・リスクを管理しながら、事業継続の要件を管理する方法の一つとしてデータダイオードを検討されている方が多くなっているようです。
データダイオードは、送信側ネットワークから受信側ネットワークへの物理的な一方向通信により、データ送信を可能にしながら逆方向の攻撃通信を遮断し、送信側ネットワークを確実に保護するOTセキュリティの技術で「ハードウェア」と「ソフトウェア」の組み合わせで構成されます。
ソフトウェアはサーバーを複製し、制御ネットワークから業務ネットワークへデータを模倣し、リアルタイムの運用データの可視化を可能とします。ハードウェアは防護されたネットワークへのあらゆる情報の侵入を物理的に不可能にします。
今回は、Waterfallというデータダイオードを実際に使用して、設定を交えながらプロトコル別に具体的な動作を解説したいと思います。
基本構成
データダイオードは制御システム(OT)と業務システム(IT)の間に接続してネットワークのセグメンテーションを構築します。制御システム側には代理応答用のサーバがありデータを収集し、業務システム側には代理受信用のサーバがありデータを配送します。代理応答用のサーバと代理受信用のサーバはレーザー光を使ってデータの送信のみを行うことで一方向のセキュリティゲートウェイを実現しています。
Syslog UDP
Syslog UDPコネクタを使用して、TX HOSTとRX HOST間のSyslogストリーミングチャネルを定義します。
制御システム側で収集したSyslogメッセージをデータダイオードのTX HOSTに送信し、TX HOSTはRX HOSTにSyslogメッセージをストリーミングして、RX HOSTが業務システム側のSyslogサーバに送信します。
構成図
TX HOST設定
IP (Listening):リスニングするSyslogサーバーのIPアドレスを入力(0.0.0.0は全てのIP)
Port:リスニングするSyslogUDPのポート番号を入力します。
RX HOST設定
Target Addresses:送信先のSyslogサーバーのIPアドレスと、RX HOSTからのSyslogの送信先とSyslogUDPのポート番号を入力します。
Syslog TCP
Syslog TCPコネクタを使用して、TCPを使用したTX HOSTとRX HOST間のSyslogストリーミングチャネルを定義します。TX HOST側ではSyslogサーバーとして、RX HOST側ではSyslogクライアントとして機能します。従いまして、TX HOST側をSyslog TCPサーバーに、RX HOST側をSyslog TCPクライアントに設定します。
構成図
TX HOST設定
IP :リスニングするSyslogサーバーのIPアドレスを入力(0.0.0.0は全てのIP)
Port:リスニングするSyslogTCPのポート番号を入力します。
RX HOST設定
IP :RX HOSTがストリームを送信するTCPサーバーのIPアドレスを入力します。
Port:使用するSyslogTCPのポート番号を入力します。
HTTP
TX HOST側とRX HOST側の間でHTTPリクエストストリーミングを定義し、HTTPリクエストメッセージをHTTPサーバーに配信します。TX HOSTはHTTP Webサーバーとして、RX HOSTはHTTPクライアントとして動作します。TX HOST側のHTTPサーバーがプロキシとして機能し、HTTPリクエストをHTTPコネクタに送信します。このコネクタは、HTTPリクエストを含むTCPトラフィックをストリームします。トラフィックはRX HOSTにストリームされ、定義されたHTTPサーバに送信されます。
対象となるHTTPサーバーからのHTTPレスポンスは、RX HOSTのログファイルに保存されます。
構成図
TX HOST設定
Target server name:HTTPクライアントのIPアドレスを入力します。
Target port:リスニングするHTTPリクエストのポート番号を入力します。。
Allow all HTTP requests:すべてのHTTPリクエストを許可します。
Allow only these HTTP requests:POST\GETのリクエストの許可を制限します。
RX HOST設定
Local IP:RX Host が RX Host マシンから HTTP Request メッセージを送信する際に経由する IP アドレスを入力します。
Target server name:HTTPクライアントのIPアドレスを入力します。
Target port:送信するHTTPリクエストのポート番号を入力します。
FTP
TX HOSTが設定したFTPサーバーに対して定期的にファイルの存在を確認し、ファイルが存在する場合はFTPサーバからファイルをGETします。RX HOSTはFTPサーバーにファイルをPUTします。
構成図
TX HOST設定
Polling interval:FTPサイトへのポーリング頻度を設定します。
FTP host:データを取得するFTPサーバーのIPアドレスを入力します。
FTP port:FTPサーバのポート番号を入力します。
FTP folder:FTPサーバー上のフォルダのフルパスを入力します。
File pattern:ファイル名に名前のパターンを設定して、FTPからダウンロードするファイルの種類を定義することができます。デフォルトでは、*のワイルドカードが使われます。
Username:接続先FTPのユーザー名を入力します。
Change Password:接続先FTPユーザーのパスワードを入力します。
Transfer type:「ASCII」または「Binary」を選択します。
Transfer mode:「Passive」または「Active」を選択します。
Active port:アクティブ・トランスファー・モードで使用されます。
Enable recursive transfer:入れ子になっているフォルダもダウンロードされているかチェックします。
RX HOST設定
Polling interval:FTPサイトへのポーリング頻度を設定します。
FTP host:データを送信するFTPサーバーのIPアドレスを入力します。
FTP port:FTPサーバのポート番号を入力します。
FTP folder:FTPサーバー上のフォルダのフルパスを入力します。
File pattern:ファイル名に名前のパターンを設定して、FTPからダウンロードするファイルの種類を定義することができます。デフォルトでは、*のワイルドカードが使われます。
Username:接続先FTPのユーザー名を入力します。
Change Password:接続先FTPユーザーのパスワードを入力します。
Transfer type:「ASCII」または「Binary」を選択します。
Transfer mode:「Passive」または「Active」を選択します。
Active port:アクティブ・トランスファー・モードで使用されます。
Enable recursive transfer:入れ子になっているフォルダもダウンロードされているかチェックします。
まとめ
データダイオードは、「ハードウェア」と「ソフトウェア」の組み合わせで構成されます。プロトコルによって、一方向通信の実現方法がそれぞれ異なっていることがわかって頂けたと思います。今回紹介しました、Waterfallは様々なOT系プロトコル、IT系プロトコルのコネクタを用意しています。また、NOZOMI NETWORKSのような制御システムIDSと連携してSPANポートやIDS統合管理の安全性確保などにも役立てることができます。
制御系ネットワークで収集したデータを安全に業務系ネットワークやクラウドに渡し、データの分析を行いたいと考えている方は、データダイオードを検討してみてはいかがでしょうか?
