こちらはPhoenix ContactのSecurity Router FL MGUARD 1105を利用した新しい記事シリーズです！サイバーセキュリティは現在我々のFA業界にも欠かせない課題の一つであり、自分も勉強しないといけないと思いました。

第2話はPort forwardingの説明や設定方法をお話しします。

さ、FAを楽しもう。

Reference Link

PhoenixContact#FL MGUARD 1105_Part1_セキュリティルーターを立ち上げよう!

Reference Video

Cybersecurity…

前回の記事では、デバイスやソリューションに関するセキュリティ対策を簡単にリストアップしましたが、今回はPCペースのソフトウェアに関するセキュリティについて話しましょう。PCベースのソフトウェアは、デバイス、ネットワーク、ソリューションのセットアップ、設定、プログラム、モニターなどに使用されます。また、エンジニアリング・ソフトウェアは、デバイスやソリューションを操作することができます。それらの不正操作のリスクを減らすため、定期的にセキュリティ評価を行いましょう。

Recommendation

✓PCによるハードニングと組織対策

オートメーション・ソリューション環境で使用されるすべての PC を、セキュリティー関連の操作から保護するようにしましょう。

定期的にPCを起動し、不正操作から保護されたデータキャリアからのみ起動する
絶対に権限が必要な人員のみに制限付きのアクセス権を設定する
強固なパスワードと、その強固さを維持するためのルールで、不正アクセスからシステムを保護する
未使用のサービスを停止する
使用していないソフトウェアをアンインストールする
ファイアウォールを使ってアクセスを制限する
許可リストツールを使用して、重要なディレクトリとデータを不正な変更から保護する
セキュリティ指令およびデータ保護に関する法的要件に従って、セキュリティ関連のイベントロギングを有効にする。
セキュリティ指令に従ってアップデート機能を有効にする
自動画面ロック機能と指定時間後の自動ログアウトを有効にする
定期的にバックアップを行う
承認されたソースからのデータおよびソフトウェアのみを使用する
電子メールなど、不明なソースからのハイパーリンクは使用しない

✓最新のソフトウェアを使用すること

チームのエンジニアリング・ソフトウェア、オペレーティング・システムなど）常に最新のソフトウェア・バージョンを使用しましょう。

各製品ページで、ソフトウェアのアップデートがないか確認してください
各ソフトウェアバージョンの変更ノートを参照してください
各製品ページで公表されているセキュリティ脆弱性に関するセキュリティ勧告を確認しましょう。Phoenix Contact製品はこちらのページになります。
https://www.phoenixcontact.com/de-de/service-und-support/psirt?cpn=murl_psirt&murl=psirt

✓最新のセキュリティ・ソフトウェアを使用すること

システムで常に最新のセキュリティ・ソフトウェアを使用してるかを意識しましょう。

すべてのPCにセキュリティソフトウェアをインストールし、ウイルス、トロイの木馬、その他のマルウェアなどのセキュリティリスクを検出して排除する
セキュリティ・ソフトウェアが常に最新で、最新のデータベースを使用していることを確認する

Routes?

デバイスがルーター・モードで動作している場合、異なるサブネット間のゲートウェイとして機能します。

Routesに静的設定を使用すると、デバイスはデフォルトゲートウェイが知らないネットワーク宛先に到達することができます。これらの宛先は、デバイスをデフォルトゲートウェイとして使用する接続ネットワーククライアントからもアクセスできます。

Routerはデータはデバイスの2つのネットワーク・インターフェイス（ネットゾーン）間でルーティングすることが可能ですが、工場出荷時の設定では、ネットゾーン1からネットゾーン2へのデータトラフィックはファイアウォールによってブロックされています。

しかし、以下の設定で異なるゾーンでデータトラフィックを実現できます。

ファイアウォール機能により、個別または複数のネットワーククライアントへのネットワークアクセスを特別に許可またはブロックすることができます。
NAT機能を使えば、ネットゾーン間のデータ交換が可能になります。

Port forwarding..

ポート転送では、IPアドレスと特定のデバイスポートに送信されたデータパケットは、ネットワーク内の別の宛先IPアドレスと別の宛先ポートに転送されることができる技術です。

受信データパケットのヘッダーにある元の宛先IPアドレスと元の宛先ポートは、ポート転送ルールに従って変換されます。

ヘッダー変換は、デバイスのConnection Tracking tableに入力されます。レスポンスパケットはこれらのエントリーと比較され、ヘッダーデータは元の値に変換される。

注意するのはファイアウォールは、ポート転送ルールで定義されたIPアドレスとポートからのデータトラフィックを自動的に許可します。

Detailed Usage?

✓ 遠隔監視と制御

産業作業では多くの場合、装置、機械、プロセスの継続的な監視が必要であり、 Port Forwardingは、これらのシステムへのリモートアクセスを可能にし、オペレータが遠隔地からパラメータを監視し、調整を行うことを可能にします。

例えば、技術者は、安全な接続を介して製造機械の制御システムにリモートアクセスし、パフォーマンスを監視して問題を診断することができます。

✓IoTデバイスの統合

多くの産業環境では、データ収集と自動化のためにIoTデバイスが活用されています。 Port Forwardingは、これらのデバイスがインターネットを介して中央サーバーやコントロールセンターと通信することを可能にします。

例えば、生産ラインのセンサーは、サービス・アクセシビリティのためにポート転送を使用して、分析のために中央ダッシュボードにデータを送り返すことができます。

✓SCADAシステム

監視制御およびデータ収集（SCADA）システムは、産業プロセスの監視および制御のためにリモートアクセスを必要とすることが多く、ポート転送は、このアクセスを安全に行うことができます。

例えば、エンジニアはSCADAシステムにリモートアクセスし、ポンプ、バルブ、アラームを制御し、運転効率を確保することができます。

✓メンテナンスとサポート

産業用機器は、定期的なメンテナンスやトラブルシューティングを必要とすることが多く、ポートフォワーディングは、サポート担当者やメーカーが診断や修理のためにシステムにリモート接続することを可能にします。

例えば、サービス・プロバイダーは、実際に訪問することなく、機械の制御システムにアクセスして問題を診断できるため、ダウンタイムが短縮できます。

✓データの共有と統合

ポート転送は、産業エコシステム内の異なるシステムやデータベースの統合を可能にし、アプリケーション間でデータがシームレスに送信することを可能にする。

例えば、製造実行システム(MES)と倉庫管理システム(WMS)を統合し、オペレーションの可視性と在庫管理の改善に活用できます。

✓遠隔トレーニング

機器やソフトウェアに関するスタッフのトレーニングは、ポート転送を使用してリモートで行うことができるため、トレーナーは現場にいなくてもアクセスを共有し、機能のデモンストレーションを行うことができます。

例えば、新しい機械やソフトウェアアプリケーションの使用方法について、システムにリモートアクセスして従業員向けのオンライントレーニングセッションを実施することに活用できます。

セキュリティへの配慮

産業用アプリケーションにポートフォワーディングを組み込むことで、効率を高め、プロアクティブなメンテナンスを可能にし、運用の柔軟性を向上させることができますが、セキュリティ上のリスクもありますので、色々なセキュリティ対策の対応も必要です。例えば…

強力な認証と安全なパスワードを導入する
安全なリモート接続には仮想プライベートネットワーク（VPN）を使用する
接続されているシステムやデバイスを定期的に更新する
ネットワーク・トラフィックを監視し、不正アクセスの試みを監視する

Start it!

それではPhoenix ContactのSecurity Router FL MGUARD 1105でPort Forwaringのネットワーク構成を設定しましょう。下図ではNetwork Zone1(OFFICEエリア)には自分のPCがあり、 FL MGUARD 1105のXF1に接続しています。そしてNetwork Zone2(OTエリア)にはBerghof社のRaspberry Controllerが配置されます。

これから自分のPCでBerghof社のRaspberry ControllerのWeb ServerとCodesys Runtimeにアクセスしていきます。