制御系ネットワークに最適な侵入検知システム「etherExtractor IDS-IN」

 

etherExtractor IDS-IN

多種多様な機器が混在し、「制御系」が一様ではない産業ネットワークのセキュリティに、これまでの汎用的なIDSでは難しかった攻撃か、異常か、という問題の切り分けを、本機搭載のDPI（Deep Packet Inspection）エンジン"Suricata"によってそれぞれの制御系に応じた検知ルールにカスタマイズすることで、より正確に行えるようになりました。

●etherExtractor IDS-INの詳細について　→　http://www.artiza.co.jp/industrial/ids/ids.html

操業停止が許されない、ミッションクリティカルな制御系ネットワークのセキュリティ
ネットワークで接続・制御されているシステムを稼働させながらセキュリティ対策を行うことは至難です。課題の一つは、制御システムは長期運用をされる傾向にあり、サポート切れのOSやアプリケーションが継続使用されているケースが多いこと。また情報系システムとの接続も増加する一方です。二つ目は、修正プログラムの更新や、未確定なマルウエア侵入の可能性だけで、たとえ一時的にでもネットワークから切り離して“システムを停止させる”対応が許されないことです。
システムを停止させずに有効なセキュリティ対策を行うには、正確にシステムのネットワーク状況を把握することが必須です。昨今、普及してきている汎用的なIPS(侵入防止システム）では誤検知などでネットワークを遮断する可能性があります。また汎用的なIDS(侵入検知システム）ではネットワーク遮断によるシステム停止のリスクはありませんが独自の通信プロトコルを持った制御システムにおいて「攻撃なのか、異常なのか」といった問題の切り分けを正しく行うことができません。独自プロトコルにも対応が可能なIDSがあれば、セキュリティ対策の初期段階としてネットワークの問題を把握でき大変有効なのです。

 

一般的な産業制御システムへのIDS導入例

​①オペレーション状況を監視したいなら
ネットワーク型だから、ホストの種類・数に依存せず、ホストに負担をかけずに制御系システム全体の監視を行うことができます。

②センサからの情報を監視したいなら
固有の制御プロトコルに合わせたルールの設定ができるので、各制御システム単 位での検知、パケットデータ保存条件が設定できます。

IDS製品比較

1. 侵入検知エンジンSuricata* 搭載

＊“Suricata”はIDSで業界標準となった“SNORT”が進化した、DPI(Deep Packet Inspection)エンジンです。

 

●独自セキュリティルール（＊オプションで搭載）

etherExtractor IDS-IN が搭載するDPIエンジン“Suricata” では、セキュリティルールを自由にカスタマイズする事が可能で、専用制御Protocol にも対応します。セキュリティの技術に関しましては、株式会社FFRI（代表取締役社長：鵜飼裕司、本社：東京都渋谷区）との協業により、お客様のアプリケーションに合わせた高いレベルのIDS セキュリティ対策を実施する事が可能となります。

　※「FFRI」は、株式会社FFRI の登録商標です。

●標準ルール
ご購入時に搭載されている標準的なルール（50個以上）です。

お客様のネットワークに合わせた「独自セキュリティルール」は別途作成が必要です。
・IPヘッダ／IPLength異常
・Telnet、SSH、ICMP、FTPなど特定プロトコル検出
・ポートスキャン検出
・MAC／IPアドレス検出（ブラックリスト、ホワイトリスト）など

2. GbEワイヤーレートパケットキャプチャ
アルチザのパケットキャプチャは、ワイヤーレート、ショートパケットでも“取りこぼしが無い“ことを保証しています。完全な状態で保存されたパケットにより、問題発生時の原因究明に大変有効な材料となります。

 3. シンプルで簡単な使い勝手の製品
異常、不正を検知した場合には、本体のLCDに“危険”“注意”等のメッセージを表示します。アプリケーション画面にも直感的にわかりやすい、ヒューマンエラー削減の工夫をしています。
また、“危険”“注意”のログをわかり易くPDFファイルで“一括レポート出力”を行う機能を備えています。緊急時にスピーディな報告が可能となります。
 

当社はCSSCの賛助会員です。

重要インフラの制御システムのセキュリティを確保するために
各システムのセキュリティ検証にいたるまで一貫した業務を行います。