www.engineering-japan.com
ODVA

CIP Securityがアップデート:ユーザーレベルの認証をサポート

ODVAは、EtherNet/IPのサイバーセキュリティ対応ネットワーク向け拡張であるCIP Securityに、ユーザーレベルの認証機能を加えました。これまでのCIP Security仕様書でも主要なセキュリティ属性として、デバイス・グループによる広義の信頼ドメイン、データの機密性、デバイス認証、デバイスの識別、デバイス完全性などを定めていました。これに対して今回、ユーザーと役割による狭義の信頼ドメインと、そのユーザー情報を含めて強化したデバイス識別機能、さらにはユーザー認証をCIP Securityに導入します。

 
産業オートメーションにおけるITとOTの融合が進むなか、制御系エンジニアでも、IT管理者や保守担当者でも、それぞれがデバイス・パラメータに安全にアクセスして修正できる環境が以前にも増して重要となっています。デバイスレベルでのセキュリティは、物理的な損害や、ますます増加する経済的な損失の可能性から、設備や人員を守るうえで極めて重要な基礎となる要件です。こうした要求に応えるため、堅牢なCIP Security User Authentication Profileは、確固としたユーザー・アクセス・ポリシーによるユーザーレベルの認証機能を提供します。このポリシーは、適切に定めた役割と、ローカルおよび集中管理のユーザー認証による基本的な認可に基づくものです。CIP Securityにおけるデバイス経由あるいは集中サーバーを介した認証機能は、小規模で単純なシステムに対してはさらなる容易性を、また大規模で複雑な設備に対しては効率の向上を可能にします。

CIP Securityには、すでにセキュリティ仕様が盛り込まれています。具体的にはTLS(Transport Layer Security)やDTLS(Datagram Transport Layer Security)などロバストで実績あるオープンなセキュリティ技術のほか、暗号プロトコルを使ってEtherNet/IPのトラフィックを安全に送信し、そのEtherNet/IPトラフィックに対するデータの完全性とメッセージ認証を実現する暗号化方法としてハッシュ関数やHMAC(keyed-Hash Message Authentication Code)を利用します。さらには不正な第三者によるEtherNet/IPデータの盗み見を防ぐようにメッセージや情報のエンコーディング手法に暗号化を採用しています。これに加えて、新しいCIP User Authentication Profileでは、アプリケーション層においてCIP通信に対するユーザーレベルの認証を提供します。将来的にCIP SecurityではCIP認可プロファイルの使用を見込んでいます。CIP認可プロファイルとは、汎用でフレキシブルな認可など、付加的なセキュリティ属性を提供できるようCIPを強化することになるプロファイルです。

新しいUser Authentication Profileではいくつかの広く一般に利用されているオープンな技術を利用します。たとえばOAuth 2.0とOpenID Connectを暗号化で保護されたトークン・ベースのユーザー認証に、JSON Web Token(JWT)を認証やユーザー名とパスワードの証明に、そして既存のX.509証明書をユーザーとデバイスのセキュアな識別に用います。とくに、暗号化で安全性を確保したユーザー認証セッションIDを有効なJWTを備えたターゲットによってユーザーごとに生成し、これを利用してCIP通信に対する認証イベントとユーザーの送信メッセージをマッピングします。このユーザー認証セッションIDは、TLS/DTLSに加えて、CIP SecurityのEtherNet/IP機密性プロファイルごとに秘匿可能な暗号スイートを用い、EtherNet/IPを介して送信します。

「CIP Securityは、EtherNet/IPによる産業通信のエコシステムの一翼を担う重要なネットワークの拡張ですが、そのCIP Securityの発展において、ユーザー認証のサポートは欠くことのできないステップです。CIP Securityは多層防御の一部として、工場の操業を阻害しようとターゲットを探す、悪意あるサイバー攻撃者の抑止に効果を発揮するように設計されています」と、EtherNet/IPシステム・アーキテクチャ技術部会の副委員長Jack Visoky氏は説明しています。一方、ODVA の 会長で常任理事の Dr. Al Beydounは次のように述べています。「インフラや自動化システムの接続において、CIP Securityはこれまで以上に重要となっています。世界中で高額な資本設備や必需品の生産を、悪意あるサイバー攻撃から守るためです。そこで、ODVAはCIP SecurityとEtherNet/IPの今後の発展に対する投資を続け、犯罪者による物理的・経済的な損害からエンドユーザーの皆様を確実にお守りします」。

今回のアップデートを通じて、CIP Securityは、ユーザーと役割による狭義の信頼ドメインのほか、そのユーザー情報を含めたデバイス識別機能の向上と確実なユーザー認証により、いっそう強固なデバイスレベルのセキュリティをご提供できるようになりました。ODVAでは、CIP Securityが重要な産業オートメーション設備を最適に保護できる最先端のデバイス保護技術であり続けることに努め、IIoTやインダストリー4.0の理念が完全に達成できるように取り組んでいきます。CIP Securityを含むEtherNet/IP Specificationの最新版のご利用については、odva.orgをご覧ください。

  さらに詳しく…

LinkedIn
Pinterest

フォロー(IMP 155 000フォロワー)