トップ > テクノロジー > OTネットワーク向け国産IDS「OsecT」の台帳連携機能について

OTネットワーク向け国産IDS「OsecT」の台帳連携機能について

テクノロジー 製品紹介 ネットワーク セキュリティ

こんにちは、NTT Comの上田です。 普段は、NTT Com内製のOT(Operational Technology:制御・運用技術)ネットワーク向け国産IDS(Intrusion Detection System:不正侵入検知システム)である「OsecT(オーセクト)」の開発・保守運用業務などに取り組んでいます。

本記事では、「OsecT」の台帳連携機能を紹介します。

はじめに

近年、従来はインターネットや情報ネットワークから隔離されていたOTネットワークが、 IoTの活用やDXによる生産性向上などのためにこれらのネットワークに接続するケースが増えています。 これに伴い、OTネットワークのセキュリティリスクが高まっています。

OTネットワークは、工場や発電所などインフラを支える重要なネットワークです。 万が一セキュリティインシデントが発生した場合、社会にも大きな影響を及ぼす可能性があります。 このため、ネットワークの可視化や、脆弱な端末や重要度の高い端末の把握、脅威の検知など、セキュリティ対策が重要になります。

OsecTの台帳連携機能について

OsecTでは、下記の図のように、 可視化・検知対象となるネットワークのスイッチングハブなどのミラーポートを通じてトラフィックを収集・解析することで、 工場などの制御ネットワークの可視化・異常検知といったセキュリティ対策ができます。

今回は、OsecTに新たな機能として、台帳連携機能を追加しました。 なお、ここでの台帳は、IPアドレスやMACアドレスなどのネットワーク情報に加えて、 端末名や設置場所などの情報を持つ端末管理台帳を指します。

開発の背景

OsecTの「端末一覧」画面では、ネットワークに存在する端末情報を可視化でき、以下の情報を確認できます。

  • MACアドレス、IPv4アドレス、IPv6アドレス
  • 利用しているプロトコル
  • 種別・機種、ブラウザ、OS推定結果など

下記画像は、実際の「端末一覧」画面の例になります。 表示する列はユーザが自由に変更できます。

また、下記画像のように「ネットワークマップ」画面を利用することで、 端末間の通信状況やOT環境では必ずしも必要とされないインターネット宛ての通信などを可視化できます。

しかし、台帳連携機能の開発前は以下のような課題がありました。

  1. 設置場所などの情報が不足

    トラフィックから取得できる情報には限りがあり、端末の設置場所などの情報は取得できません。 このため、異常検知のアラートが発生しても、どの端末を確認すれば良いかすぐに分からない場合がありました。

  2. 未把握端末の確認が手間

    台帳連携機能がない場合、OsecTが可視化した端末と既存の台帳の突合に手間がかかり、未把握の端末が無いか確認するのが手間という問題がありました。

台帳連携機能

前述の課題を受けて開発した台帳連携機能を利用することで、次のことが可能になります。

  1. 台帳情報の登録と活用

    お手持ちの台帳をCSVファイルとしてOsecTへ登録することで、 トラフィックデータを利用して可視化・検知した情報に加え、設置場所などの情報を一括で確認できます。 これにより、インターネットに本来アクセスしないはずの端末がアクセスしている場合など、 不審な状況を見つけた場合に、台帳に登録した設置場所や担当者情報などをもとに素早く対処することが可能になります。

    以下の図は、「ネットワークマップ」画面で端末情報を確認した際の画面です。 画面右側に台帳情報が表示されています。

    なお、以下の図のように台帳を編集することも可能です。 ただし、本機能は、あくまでもお手持ちの台帳との連携を想定したものであり、 OsecTで台帳のマスターデータを管理することはあまり想定していません (お客さまのご要望が多い場合、台帳管理のための機能拡充を行う可能性はあります)。

  2. 未把握端末の確認

    台帳に登録されていない端末を「台帳」列で「無」と表示することで、台帳にない未把握の端末を確認できます。 これにより、不正端末や台帳の登録漏れを迅速に調査可能です。

    以下の図は、「端末一覧」画面で台帳の有無を確認するための列を表示した際の画像です。 右端の列が「無」と表示されている行が、通信としては観測されているが、 台帳には登録されていない未把握の端末になります。

  3. アラート対応の効率化

    「検知アラート」画面では、アドレス部分にカーソルを合わせることで、台帳情報やパケットを元に解析した情報を確認できます。 台帳に各機器の設置場所やデバイス名、管理者情報を登録しておくことで、 IPアドレスやMACアドレスといったネットワークの情報ではなくデバイス名や設置場所など、 より分かりやすく、実態に即した情報をもとにコミュニケーションをとることができます。 このため、アラート対応担当者と機器の管理者間の意思疎通がスムーズになります。

    以下の図は、あるIPアドレスの台帳情報やパケットを元に解析した情報を確認した際の画像です。

  4. メール通知機能との連携

    OsecTでは各種アラートをメールで通知する機能があります。 このうち、「接続端末」はOsecTの学習済みリストに無い端末を検知するとアラートとして通知します。 端末新設時の接続端末アラートを通知したくない場合、これまでは学習済みリストにIPアドレスとMACアドレスをあらかじめ設定する方法がありました。 台帳連携機能により、新設する端末をあらかじめ台帳に登録することでも、接続端末アラートを通知しないといった設定が可能になりました。

    以下の図は、実際に台帳に無い新規の接続端末のみを通知するように設定した際の画面です。 メールでは通知されませんが、「検知アラート」画面には表示されます。

おわりに

今回は、NTT Comが開発しているOTネットワーク向け国産IDS「OsecT」の台帳連携機能を紹介しました。 OsecTは、簡単に設置可能なOTネットワーク向けのIDSです。 セキュリティ対策ツールとしてだけでなく、工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインに記載されている保護対象等の整理などにも利用可能なツールとなっています。 OsecTにご興味がありましたら、こちらからお気軽にお問い合わせください。 また、OsecTに関するブログやニュースリリースなどはこちらにまとめています。

本記事が、OTセキュリティ対策のご検討の参考になりましたら幸いです。