現場のIoTネットワークの安全運用を実現
富士通研究所(神奈川県川崎市)は、現場に設置されているIoTデバイスを安全に運用することができるネットワーク制御技術を開発しました。
工場などの現場におけるIoT環境では、認証やウイルスチェックの機能を持たないセンサーや製造装置などのIoTデバイスを接続するケースが多いため、マルウェアに攻撃されることにより、工場の操業が停止するなどの事故が世界中で発生しています。
従来のウイルス対策ソフトウェアによる対処では、IoTデバイスのCPUやメモリ容量の制約によりインストールができない場合があり、サイバー攻撃の脅威にさらされている機器が存在しています。
今回、ゲートウェイで収集したIoTデバイスやネットワーク機器の運用情報に基づいて、それらの接続関係をネットワーク構成の変化に応じて逐次、把握・管理し、不審なふるまいをするIoTデバイスの通信を発見する技術、および効率的に通信遮断を制御する技術を開発しました。
これにより、例えばマルウェアに感染したIoTデバイスがほかのデバイスを攻撃しようとした場合に、ゲートウェイが管理する接続関係に基づく正常な通信経路と、実際の通信経路を比較することで、その通信を発見できます。また、ゲートウェイは管理している最も適切なネットワーク機器を制御することにより、サイバー攻撃による影響を最小化することができます。
本技術は、富士通が提供する、ネットワーク製品「FUJITSU Network Virtuora」シリーズのゲートウェイ機能として、2018年度内の実用化を目指します。
開発の背景
近年、様々な産業分野へのIoT導入が進み、センサーや製造装置などのIoTデバイスがネットワークに接続されるようになり、これらのIoTデバイスがマルウェアにより攻撃されることにより被害を受ける事例が世界中で発生しており、IoTデバイスへのセキュリティ対策が急務となっています。
しかし、IoTデバイスでは、CPUやメモリ、OSの制約でウイルス対策ソフトウェアの適用ができない場合が多く、ウイルス対策ソフトを導入しても稼働中のIoTデバイスを停止できないために再起動を伴うソフトウェア更新が実行されないままになっている場合もあります。
このように、現状では、IoTデバイスのセキュリティ対策が不十分なまま運用されていることが多くなっています。
課題
この問題に対し、IoTデバイスが接続されるネットワークと通常のパソコンやサーバなどが接続されるネットワークをゲートウェイで分離する対策が、コンソーシアムやネットワーク機器ベンダーによって提案されています。
これにより、外部ネットワークからのサイバー攻撃はゲートウェイで保護されますが、IoTデバイスが接続されるネットワーク内においてマルウェアに感染した機器が接続された場合は、ゲートウェイを経由せずにサイバー攻撃が実行されるため、感染デバイスからのサイバー攻撃に対して保護することができませんでした。
▲従来技術:ゲートウェイによるネットワークの分離
開発した技術
今回、IoTデバイスやネットワーク機器の運用情報をゲートウェイ機器が収集して、IoTデバイスが接続されるネットワークのトポロジーを推定し、この情報に基づいて適切なネットワーク機器を制御する技術を開発しました。
この技術により、トポロジーから想定されない経路で通信するIoTデバイスを不審なデバイスとし、このIoTデバイスがほかのIoTデバイスと通信できないようにすることでサイバー攻撃の影響を最小化することができます。
▲今回開発した方式
開発技術の特徴
1. 多様なインターフェースをもつ機器に対応したトポロジー管理技術
IoTデバイスやネットワーク機器から得られる様々な形式の隣接機器の情報を集約し、リアルタイムに変化するIoTネットワーク全体のトポロジーを推定します。
機器の通信方式やデータ形式といったインターフェースはそれぞれ異なるため、ゲートウェイで標準的なインターフェースに変換することで、トポロジー推定を可能にしました。
これによりIoTデバイスが許可される通信経路を求め、ネットワーク機器から実際の通信経路を収集し、それらを比較することで、サイバー攻撃などで発生する不正通信と、それを行う不審IoTデバイスの発見が可能になります。
2. 不審デバイスの通信を遮断するネットワーク制御技術
ゲートウェイはトポロジー情報を利用して経路上のネットワーク機器を制御することで、不審デバイスとほかのデバイスとの通信を遮断します。
デバイス接続には有線以外に、無線も利用されるために、接続経路が時々刻々と変化し、時には通信が途絶える状況の中で、適切なネットワーク機器の制御が必要になります。
本技術では、変化するトポロジーやデバイス状況の変化を考慮してネットワーク機器を選択し、接続デバイス単位、グループ単位で制御することで、不審デバイスの通信を遮断し、正常デバイスへの通信への影響を最小化することができます。
効果
擬似マルウェアを使用したシミュレーションにより、本技術を実装したゲートウェイが既存のネットワーク機器と連携動作し、不審デバイスの通信を遮断可能なことを確認しました。この結果、サイバー攻撃の影響の最小化をゲートウェイで実現できるめどが得られました。
これにより、工場などの耐用年数の長い生産設備や設備を稼働し続ける必要がある現場で、セキュリティ対策済みのIoTデバイスを導入・交換することなく、従来の構成のままでセキュアな運用を実現することができます。
今後
ネットワーク製品「FUJITSU Network Virtuora」シリーズのゲートウェイ機能として、2018年度内の実用化を目指します。また、工場など製造業だけでなく、安心安全なIoTシステムの運用管理が求められる様々な産業領域への展開を視野に技術開発していきます。
商標について
記載されている製品名などの固有名詞は、各社の商標または登録商標です。