※セキュア・リモートメンテナンスの、カタログダウンロードはこちら
生産現場へのリモートアクセス導入にあたって、向き合うべき2つのリスク
リモートアクセス環境を構築するとなった場合、どのような技術情報を収集するべきなのか?またどのようなソリューションをを採用するのが最適であるか?という情報は、大変重要でありながらも、巷には存在する玉石混交の情報の中から、根拠を持って選定することは容易ではありません。そこで今回は、産業用途ではない汎用的なソリューションであまり想定されていない条件の一つとして、装置メーカーのサービスマンが、生産現場にあるマシンにリモートアクセスを行うとき、アクセス先の機器が、リモートアクセス先が別会社の所有物であることも少なからずあるという点を例に、注目すべき項目を説明します。
従来のように現場に出向いて作業を行う場合であれば、装置の暴走など意図しない機械の挙動が発生してしまったときに迅速な対処ができるように、リスクのある機械操作は生産者側の現場責任者同席のもとで実施することが一般的です。しかし、リモートアクセスにより作業を行う場合、知らず知らずのうちに、現場責任者が不在のまま作業が進行している可能性も捨てきれません。(リモートアクセスにより遠隔で把握できるのは装置情報のみであり、周囲の人員配置状況を把握するものではないため)各人の責任範疇をどのように定めるか?どのような手順で作業を行うか?どのようにして作業手順遵守を監理監督するか?リモートアクセスを活用した作業に適応した作業手順、要領へのアップデートが不可欠となります。
また、今まで、外界とデータやりとりが物理的にできないよう意図的に通信が遮断していた生産装置で、新たな試みとしてリモートアクセスでのサービスを始めたいといおう要望や事例を耳にする機会が増えていています。この場合は、生産現場における新たなリスク要因として情報漏洩、不正アクセスを認識し検討を行う必要があります。具体的には、情報漏洩や、不正アクセス、データ改ざん等によって発生しうる問題のリストアップと、夫々の影響度合を検討したうえで対処策を決めることが必要となります。こちらについても、事案毎に、責任範疇をどのように定めるか?どのような技術と手順でセキュアな通信を確立するか?どのようにして通信のセキュリティを維持するか?サービス契約を新たなリスクに適応した形態へアップデートすることが不可欠となります。
上記の点は、一般的な例であり、生産現場へのリモートアクセスを導入する場合は、工場の立地や装置の特徴、周囲の人員配置状況など、装置を取り巻く固有の状況を踏まえて、複合的にリスク評価を行い、契約やルールに反映することが、導入後のトラブルから身を守るうえでも、重要なプロセスとなるでしょう。
それでも多くの生産現場で、リモートアクセスを用いた遠隔サービス提供の検討が進んでいるワケ
従来型の現場で行うサポートは、生産現場のマシンが設置されている場所まで必ずサービスマンを物理的に派遣する必要があったことから、サポート依頼の第一報の段階では入手できる情報、および解決できる事象には制限がありました。そのため、装置メーカーは、現場の近くでの事務所維持や、人員の移動に伴って、エンジニアの稼働時間、移動交通費の負担を踏まえて、サービス費用を見積もる必要がありました。もしも、リモートアクセスによる遠隔サービスが可能になると、装置メーカーのエンジニアは、生産現場に行かずとも、それと同等の情報を装置から得ることができ、また、同等のマシン操作を行うことが技術的に可能となるため、結果、以前より少ないコスト負担で、以前よりもより幅広く迅速なサービス提供を、生産者に向けて行うことができます。
セキュア通信を確立するため、一般的に検討が必要な、技術的項目3点
1. セキュア通信路の確立手段の検討アクセスする側と、アクセスされる側の機器の間でセキュアにデータ通信を行うための通信路を確立するための物理インフラ、および、通信プロトコル。これにより、機器間の通信中に、インターネット空間上を移動している通信データが、意図しない第三者のもとへ届けられてしまうことを防ぎます。VPNとはVirtual Private Network(仮想上の専用線ネットワーク)の略語で、専用線を構築しなくても、専用線を用いて通信を行っているかのような、セキュアな通信を行える技術のことを総称して使われています。
・専用回線(特定の個人や法人で専用回線を構築。主に、会社の拠点間通信に用いられる。)
・IP-VPN(プロバイダが提供する閉ネットワークを利用する通信。主に、会社の拠点間通信に用いられる)
・インターネットVPN(汎用インターネット回線を活用:専用ハード+ソフトウェアにて実装)
・インターネットVPN(汎用インターネット回線を活用:ソフトウェアのみで実装)
2. 通信データの暗号化方法を検討
前項とは異なる手法を用いてセキュア通信を確立するアプローチで、通信を行う機器の間を飛び交うデータを暗号化し、認証を受けた特別な相手だけが、秘密鍵という暗号化されたデータを復元することができるというものです。たとえ、悪意を持った第三者がデータを入手できても、証明書を持ち、公開鍵暗号を受け取らなければ、情報の中まで見ることはできないという仕組みとなっています。VPNソリューションの中にはセキュア通信路の確立のために、暗号化の技術が実装されているものもあります。
・SSL(Secure Socket Layer)
・TLS (Transport Layer Security)
3. 通信安全性に関する監査実施有無
無実の証明が悪魔の証明と言われるように、通信の安全性を完全に証明することはできません。(一方で、一度でも安全網が破られてしまうと、その破られたという事実により、安全ではないことが証明されます。)しかし、産業用途での使用を想定するリモートアクセスソリューションは、その安全性を適切な方法で確認し、どの程度の安全性であるかを開示する必要があります。現在、リモートアクセスソリューションを提供するサプライヤは、国際標準に則って実施する厳しい安全性確認テストを実施し、そのプロセスを信頼の高い第三者機関から、監査を受け、認証を取得することが世界的にスタンダードになっています。この認証はリモートアクセスソリューションの安全性そのものを担保するものではありませんが、最低限の安全性テストを実施した証拠として、一部の産業では公共工事の受注のために取得が義務付けられているという事例もあります。
・認証機関: PROTECTM社, ISECOM社
・監査工程: NIST SP900-115(米国商務省傘下/米国標準技術研究所)
・監査標準: BSI(ドイツ連邦情報セキュリティ局)、IEC62443-3-3、IEC62443-4-2
B&Rは世界でも唯一、NIST800-115による監査をクリアした、Secomeaのテクノロジーを採用
B&Rのセキュア・リモートメンテナンスソリューションは、米国商務省傘下/米国標準技術研究所が発行している、NIST800-115規格の定めるプロセスに則って、制御システム分野に関連する標準規格であるIEC62443-3-3、IEC62443-4-2の要求事項が満たされているかについて、独ProtectM社により監査を受け、2014年より世界に先駆けて認証を取得し、更新を続けています。多数のベンダーのPLCと接続の動作確認が取れているため、で既存の設備への機能、サービス追加として、また新設装置への機能、サービス内容拡充のための一手として、セキュア・リモートメンテナンスをご検討ください。※セキュア・リモートメンテナンスの、カタログダウンロードはこちら
 |
この連載について
本連載では、ウィズコロナ・アフターコロナの世界で必要不可欠なリモートメンテナンスと題し、リモートメンテナンス導入に伴って理解すべきサイバーセキュリティに関する情報をお届けします。具体的には、リモートメンテナンスソリューションを実現するハードウェア上、ソフトウェア上のシステム構成について、また、その中で通信の安全性を確保する仕組み、サイバーセキュリティに関するコンセプトやルールを策定するにあたって最低限必要な知識について、用語解説や全体像の情報を交えながら解説する予定です。B&Rではセキュア・リモートメンテナンスを用いたリモートアクセスを試みる際の技術的なサポートに留まらず、本ソリューションを用いて、リモートメンテナンスサービス体制を考案し、構築、リリースする際のコンサルテーションも実施致しております。
本連載で取り上げてほしいトピックや、個別のお問い合わせに関するご相談は、
B&R営業担当、もしくは、office.jp@br-automation.comまでご連絡ください。