CIP Security™ | Common Industrial Protocal

CIP Security™は、CIP™デバイス、特にEtherNet/IP™デバイスのセキュリティ関連の要件と機能が含まれています。

多層防御のセキュリティ・アーキテクチャは、制御システムのセキュリティで重要な役割を果たします。このアーキテクチャの基本的な考え方は、セキュリティを多層化して、攻撃への耐性を高めるということです。多層化により、いくつかの層が破られたとしても、残りの層で保護を保てると期待されます。また複数の防御層を設けることで、悪意ある攻撃者が攻撃に時間がかかることで阻止できるようになったり、。侵入を放棄して、もっと簡単なターゲットを選択したりするかもしれません。

『CIP Security at a Glance white paper』（Pub 319）を参照

IT/OTの融合が加速し、攻撃者がより巧妙になるにつれて、最終的な防御層であるCIP接続のデバイス自体を守ることが以前にも増して重要だと言えます。たとえば、USBデバイスを介して、制御システムの担当者が知らないマルウェアでPCが感染したという状況を考えてみましょう。このマルウェアには、悪意あるCIPサービスをデバイスに対して発行するコードが含まれている可能性があります。しかし、そうした信頼できないソースからのサービスをデバイス側で拒否できれば、攻撃の脅威は軽減されます。このようなデバイスレベルのセキュリティは、重要な資産と人員を物理的損害、そしてますます可能性の高い経済的損失から守るためのIIoTの構成要素要件です。

CIP Securityの狙いは、CIPに接続されたデバイス自体を悪意あるCIP通信から守れるようにすることです。CIP Securityを実装したデバイスは、以下のことが可能になります。

改変されたデータの拒否（完全性
信頼できない人、信頼できないデバイスから送信されたメッセージの拒否（信頼性）
許可されていないアクションを求めるメッセージの拒否（認証）

すべてのCIPデバイスが、必ずしもすべてのセキュリティ機能を同じレベルでサポートする必要はありません。そこで、CIP SecurityはSecurity Profile（セキュリティ・プロファイル）という概念を規定しています。このSecurity Profileは機能を定めた定義セットであり、デバイスの相互運用性の実現に加え、適切なセキュリティを備えたデバイスをエンドユーザーが容易に選定できるようにします：

EtherNet/IP Confidentiality Profile（機密性プロファイル）は、EtherNet/IPエンドポイント間でのセキュア通信を規定し、データの完全性と機密性を保証します。
CIP User Authentication Profile（ユーザー認証プロファイル）は、CIP通信に対するユーザーレベルの認証を規定します。
Resource-Constrained CIP Security Profile（リソース制約のあるプロファイル）は、他のCIP Security Profileが提供する保護の軽量版として、リソースに制約のあるデバイス用に特別に構成されています。
Pull Model Profile（プル・モデル・プロファイル）により、デバイスに対する証明書ベースの認証を自動的かつセキュアにプロビジョニング*できます。
*プロビジョニング：システムやサービスの需要に応じて、サーバーやネットワークなどのITインフラ設備を調達・設定すること

『White Paper: Learn about how CIP Security can help with CRA Compliance』（Pub 356）を参照

CIP SecurityはEtherNet/IPデバイスに対して、IETF 標準 TLS (RFC 5246) および DTLS (RFC 6347) プロトコルを利用して、EtherNet/IP トラフィックに安全な転送を提供します。TLSはTCPベースの通信（カプセル化、UCMM通信、トランスポートClass 3通信など）に、DTLSはUDPベースのトランスポートClass 0/1通信に使用します。このアプローチは、HTTPがHTTPS においてTLSを用いる方法と同様です。EtherNet/IPのセキュアな転送には以下のようなセキュリティ上の特長があります：

エンドポイント（デバイス）の認証―ターゲットとオリジネータの両方が信頼できるエンティティであることを保証します。エンドポイント認証は、X.509証明書あるいは事前共有キーを用いて実施します。証明書の登録は、デバイスによって直接行えるため、コミッショニングも容易になります。
メッセージの完全性と認証―メッセージが信頼できるエンドポイントから送信されたものであり、かつ経路で改変されていないことを保証します。メッセージの完全性と認証は、TLSメッセージ認証コード（HMAC）によって実現されます。
メッセージの暗号化による機密性―オプション機能として通信を暗号化できます。これは、TLSハンドシェイクによって成立する暗号化アルゴリズムに基づくものです。
信頼ドメインの選択―デバイスのグループによる広義の信頼ドメイン、あるいはユーザーと役割による狭義の信頼ドメインを設定できます。

CIP Securityにおけるユーザー認証はOpenID Connectを利用しています。このOpenID Connectは、多くのITシステムやインターネット環境が採用するユーザー認証に共通のロバストな技術です。そのOpenID Connect Identity Providerとの統合に加えて、集中管理IDプロバイダと統合する必要のない小規模システムでは、デバイス内でユーザー認証を完全に管理することもできます。User Authentication Profileは以下の機能を提供します：

ユーザーレベルの認証―明確な役割に基づくユーザーのアクセス・ポリシーを定めておき、ローカルなユーザー認証と集中管理ユーザー認証の両方を行って基本的な承認を与えます。デバイスでの認証と中央サーバを介した認証というCIP Securityの機能によって、シンプルな小規模システムでは簡素化が図れる一方、複雑な大規模設備では効率を高めることができます。

CIP Securityは、工場の操業を妨害しようとターゲットを探す悪意あるサイバー攻撃者に対し、効果的な抑止力となるよう設計されています。IIoTやインダストリー4.0の一環として、いっそう多くのインフラやオートメーション・システムがインターネットに接続されるようになっており、世界中の重要な製品や貴重な資本を悪意ある第三者から守るため、かつてないほどCIP Securityの重要性が増しています。

CIP Security開発の最終目標は、EtherNet/IPデバイスが自律的になり、自身のセキュリティに責任を負い、攻撃から効果的に保護できるようにすることです。

もっと詳しく

ODVAは、無料CIP Securityトレーニングを開催しています。本サイトの“イベント・カレンダー”にアクセスして、次回のトレーニング講習に登録ください。