メールニュース　リスト

EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEI

■PIミーティング ソウルの3つのポイント■
セキュリティ、Security、セキュリティ

EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEI



今年のPIミーティング主催者は、PI Koreaの寛大で有能なチームでした。
有意義な議論、示唆に富むプレゼンテーション、そして目を見張るような
デモンストレーションが数多く行われました。
ここで最も重要なポイントはサイバーセキュリティです。

これまで、産業オートメーションにおけるセキュリティは、ほとんど
後回しにされてきました。境界防御、ネットワークのセグメント化、そして
あとは運任、、のような状態です。数十年にわたりPROFINETのようなプロトコルは
比較的孤立した状態で運用され、多層防御がセキュリティモデルでした。
このような時代は終わりました。

今後、PROFINETは変わります。セキュリティはプロトコル自体に組込まれます。
後付けではありません。

□境界防御からアイデンティティへ
従来のオートメーションセルのセキュリティモデル、孤立したデバイスの
島をファイアウォールで囲む方法は、依然として役割を果たしています。
しかし決して十分ではなく、設置状況によっては、特に新しい法律や規制を
考慮すると全く不十分な場合もあります。産業環境がエンタープライズITシステム、
クラウドプラットフォーム、リモートエンジニアリングツールに接続されるにつれ、
境界は曖昧になります。残る疑問は
「ネットワーク上に誰がいるのか、そして彼らを信頼できるのか」ということです。

PROFINETは証明書ベースのデバイスIDによってこの疑問に答えます。
IDは、あらゆるセキュリティ制御のベースです。誰が誰と通信しているかを
確実に把握できなければアクセス制御、ポリシー、異常検知、あるいは有意義な監査を
実施できません。

□拡張性の高いアクセス制御
PROFINETのロールベースアクセス制御（RBAC）は、デバイスを操作できるユーザーと
設定できるユーザーを区別します。周期的なリアルタイムデータを処理する
コントローラは、診断ツール、HMI、トポロジを調整するネットワークマネージャとは
異なる権限を持ちます。ロールは証明書に直接エンコードされ適用されます。

□トンネルだけでなくエンドツーエンドの保護
PROFINET V2.5は、レイヤ2とレイヤ3の両方のトランスポートで一貫して機能する
統合セキュリティレイヤーを提供します。暗号キーの更新は、I/Oトラフィックを
中断することなくバックグラウンドで実行できるようになり、
OT環境における証明書に関する長年の運用上の懸念事項の一つを解消できます。

□運用上の現実
これらの変更は、システム全体の全面的な置換えが不要です。
PIは、3つの現実的な移行パスを提示しています。
◇既存のデバイスをファイアウォールで保護し、隔離されたセルを維持する方法、
◇混在環境を運用しながら重要なデバイスを選択的にアップグレードする方法、
◇そして最大限のセキュリティを確保するためにエンドツーエンドの
証明書インフラストラクチャ全体を構築する方法です。
すべてはリスク評価に基づいて決定されます。変化した点は、産業オペレーターが、
ベンダー固有のさまざまなコンポーネントからセキュリティを構築する必要が
なくなったことです。プロトコル自体がアーキテクチャを担っています。

従来、セキュリティは後付けで考慮されていたため、
結果も後付けレベルでした。PROFINETがIDおよびアクセス制御をコア仕様に
統合したことは、産業ネットワークが重要なインフラストラクチャであり、
それ相応の保護が必要であるという認識に基づいています。



Michael Bowne
Deputy Chairman, PI

■PI NEWS紹介ページ↓↓↓↓
PI NEWS