特長
IPS※1/IDS※2機能 → 通信挙動監視によるDoS攻撃防止
ファイアウォール機能 → ルールに基づくマルウェア※3・ランサムウェア※4の侵入防止
セキュリティパッチ機能 → 端末機器にパッチを当てることが可能
- ネットワークセキュリティを一元管理し、OT※5の可視性を向上
セキュリティ管理プラットフォームである「Security Dashboard Console」に接続すると、すべての侵入防止システムを単一のスペースで、効果的に管理・監視可能。 - 悪意のあるサイバー脅威の活動をダイナミックに防止
ネットワークトラフィックを分析し、詳細な行動監視とサイバーアクティビティの制御を提供。監視モードでは、管理者はサイバー脅威の活動を完全に可視化。 - 産業用プロトコルのホワイトリストコントロール
制御システムトラフィックのきめ細かいコマンドを提供する、産業用プロトコル認識機能を装備。 - 仮想パッチ適用とインテリジェントな脅威保護
仮想パッチは、エージェントレスの緊急セキュリティツールとして機能。
- ※1: IPS(Intrusion Prevention System):不正侵入防止システム
- ※2: IDS(Intrusion Detection System):不正侵入検知システム
- ※3: ウイルスやワームといった悪意のあるコードやソフトウェアの総称
- ※4: パソコンに保存されていたファイルを暗号化し開けなくした上で、ファイルを元に戻すことと引き換えに身代金を要求するマルウェア
- ※5: OT(Operational Technology):工場などの製造現場で利用されている、設備やシステムを動かすための制御技術
仮想パッチ適用によるサイバー攻撃対策
パッチ管理ができないデバイスを“Virtual Patch”で守る
ポイント エンドポイントへのパッチが難しい場合に、ネットワークレベルで脆弱性の悪用を防止
- 新たな脅威が見つかった場合、ネットワーク機器のシグネチャを更新し、攻撃からエンドポイントを防御。
- シーケンサや古いWindows等、エンドポイントへのウイルス対策ソフトウェアの導入が難しい場合にも導入可能。
- ウイルス対策ソフトウェアのパッチは、システムへの影響を事前検証する前にも、ネットワーク上のパッチ適用は可能。
仕様
基本仕様
| 形名 | IEC-G102-BP-Pro-H-ME | |
|---|---|---|
| イーサネット インターフェース |
10/100/1000BaseT(X) Ports | 2 |
| 規格 | IEEE 802.3 for 10BaseT IEEE 802.3ab for 1000BaseT(X) IEEE 802.3u for 100BaseT(X) |
|
| LEDインターフェース | LED インジケーター | PWR1, PWR2, MANAGED, IPS/IDS, USB/F, BYPASS, 10/100/1000M |
| DoS and DDoS保護 | テクノロジー | ICMP Flood, IGMP Flood, UDP Flood, UDP port scan, TCP SYN Flood, TCP Port SYN Scan, TCP Port FIN Scan, TCP Port NULL Scan, TCP Port Xmas Scan |
| ファイアウォール | IPS スループット | > 200 Mbps |
| レイテンシ | < 500 microseconds | |
| 同時接続(TCP) | 30000 | |
| Deep Packet Inspection | Modbus TCP, Modbus UDP, EtherNet/IP, PROFINET-DCP, CIP, Omron FINS, Mitsubishi SLMP, Siemens S7 Comm., Siemens S7 Comm. Plus, With more available through firmware update |
|
| ポリシー登録数 | 512 rules | |
| ICS Protocol Filter Profiles | 32 profiles | |
| リアルタイム ファイアウォール/ VPN イベントログ |
イベントタイプ | Cybersecurity, Policy enforcement, Protocol Filter, Assets detection, System event |
| メディア | Local storage, Syslog server | |
| システム電源 | 入力電圧 | 12~48VDC |
| 入力電流 | 0.605A @ 12VDC 0.297A @ 24VDC 0.143A @ 48VDC |
|
| 筐体 | 寸法 | 40×70×83mm(DIN レール、電源コネクタ除く) |
| 固定方法 | DIN レールマウント、 ウォールマウント(オプションキット) |
|
| 環境要件 | 動作温度 | -10~60°C(14~140°F) |
| 保管温度 | -40~85°C(-40~185°F) | |
| 湿度 | 5~95%(結露なきこと) | |
| ソフトウェア | SDC (Security Dashboard Console) |
○ |
| バーチャルパッチ 自動アップデート |
○ | |
| バーチャルパッチ 手動アップデート |
○ | |
サイバー攻撃検知仕様比較
| 項目 | セキュリティ ボックス |
マネージドハブ | セキュリティ ソフトウェア |
||
|---|---|---|---|---|---|
| 対象 | サイバー攻撃監視方法 | ネットワーク (通信内容) |
ネットワーク (通信接続) |
エンドポイント (端末) |
|
| 機能 | 検知 | 攻撃パケット検知 「シグネチャ型攻撃検知」※ |
○ | - | ○ |
| 正常ではないパケット通信のふるまい検知 「アノーマリ型攻撃検知」※ |
○ | - | ○ | ||
| ネットワーク管理 | ポート管理機能(Port Disable、IP管理) | - | ○ | - | |
| VLAN機能(ネットワークの分離) | - | ○ | - | ||
| 攻撃検知状態 外部出力 | 専用管理 ソフトウェア |
接点出力 | - | ||
※
シグネチャ型攻撃検知:
シグネチャと呼ばれる検出ルールやパターンをあらかじめ登録しておき、通信パケットをシグネチャとマッチングさせることで、不正なアクセスや異常なトラフィックを検出します。
ネットワークのトラフィック量やプロトコルなど平常時の通信しきい値を定義しておき、その範囲から外れた通信を異常として検知します。
セキュリティ製品別の対応について
| No. | 攻撃 | 攻撃ルート | 攻撃対象 | システム への影響 |
攻撃種別 | セキュリティ ボックス |
マネージド ハブ |
セキュリティ ソフトウェア |
|
|---|---|---|---|---|---|---|---|---|---|
| パソ コン |
制御 機器 |
||||||||
| 1 | 不正な 無線LAN接続による ネットワーク侵入 |
不正端末 →Wi-Fi |
● | ● | 情報・制御 プログラムの 改変 ・生産品質低下 ・生産性の喪失 |
不正 アクセス |
◎ | ◎ | △ |
| 2 | 不正な端末への ネットワーク接続 |
不正端末 →Ethernet |
● | ● | DoS攻撃 | ◎ | ◎ | × | |
| 3 | スマートデバイス (スマホ等) のウィルス感染 |
スマート デバイス →Ethernet |
● | ● | |||||
| 4 | 他ネットワークから ウイルス感染 |
外部 ネットワーク →Ethernet |
● | - | ウイルス感染 ・生産性の喪失 |
なりすまし マルウェア 脆弱性攻撃 |
△ | △ | ◎ |
| 5 | 外部メディアから ウイルス感染 |
USBメモリ →パソコン接続 |
● | - | △ | △ | ◎ | ||
| 6 | 外部パソコンから ウイルス感染 |
不正端末 →Ethernet |
● | - | △ | △ | ◎ | ||
| 7 | 外部からのIoT機器の 直接操作 |
外部 ネットワーク →Ethernet |
- | ● | 制御機器 直接操作 ・生産性の喪失 ・生産設備破損 |
不正 アクセス |
◎ | ◎ | × |
◎:防止可能-攻撃による被害の未然防止が可能
△:検知可能-攻撃の検知が可能、早期対応により被害拡大を防止
×:検知不可-攻撃の検知不可能
性能および制限事項
(1)スループット/遅延
RFC2544双方向のUDPスループットのパケットロス0%
| フレームサイズ(byte) | 合計スループット(Mbps) | 平均遅延時間(μs) |
|---|---|---|
| 64 | 114.780 | 351.728 |
| 128 | 217.983 | 365.955 |
| 256 | 420.303 | 427.211 |
| 512 | 812.026 | 437.810 |
| 1024 | 1508.458 | 645.332 |
| 1518 | 1827.038 | 658.157 |
IPS(prevention)+DoS(prevention)+Policy Enforcement(64policies)設定時
(2)同時接続
最大:10,000セッション
超過時:DROP
(3)保護機能(IPS、IDS、ファイアウォール)
最大:50unique IP/MAC
超過時:ACCEPT
(4)ファイアウォール
最大:64ルール
最大:32object profiles/type
SDCライセンスについて
製品概要
Security Dashboard Console(SDC)ソフトウェアは、ネットワーク上のIEC-G102-BPシリーズ産業用次世代IPSを管理し、OTサイバー脅威を監視することで、継続的な生産ライン稼働を確保する一元化されたセキュリティプラットフォームです。
導入メリット
重要な資産の可視性、ネットワーク分析、および自動パターン更新を一元化することにより、より一層のネットワーク保護を提供します。
主な機能
①一元管理されたネットワークセキュリティ
単一のプラットフォームからすべてのIEC-G102-BPシリーズをより効率的で一元的に管理・監視
することができます。
②OTネットワークの可視性の強化
必要な情報を提供するようにカスタマイズでき、データを視覚化できます。
③利便性と相互接続性を向上する
さまざまな施設のセキュリティネットワークをリモートでトラブルシューティングし、メンテナンスコストを
削減します。
