ニュースとイベント

 

著者：Jonas Gesch
役職：フィールドアプリケーションエンジニア（Field Application Engineer）

 

はじめに

OT（Operational Technology）ネットワーク内の通信は、通常、正しい運用を確保し、ダウンタイムを回避するために高い信頼性とセキュリティが求められます。そのため、特に安全性が重要なネットワークでは、接続性を妨げる可能性のある外部からの影響からイーサネット通信を保護し、信頼されたネットワーク外のデバイスから機密データにアクセスされないようにすることが極めて重要です。

 

近年、インダストリー4.0の進展により、システムをリアルタイムで監視・分析するためのデータ可用性に対する需要がますます高まっています。この需要に対応するため、産業用途ではITネットワークとOTネットワークの融合が進んでいます。これまで分離されていた両ネットワークを接続することで、ITソフトウェアは工場内の機械などのエンドデバイスから直接データを取得できるようになります。しかしその一方で、これらのデバイスは従来想定されていなかった新たなサイバー脅威にさらされることになります。 さらに、OTネットワーク内部にも潜在的なリスクがあります。たとえば、故障したデバイスを誤って接続すると通信障害を引き起こす可能性があります。また、悪意ある第三者が保護されていないスイッチポートへアクセスした場合、機密データを傍受するための標的型攻撃を実行できる可能性があります。

 

図1：重要デバイスに対する潜在的リスク

では、ネットワーク内の最も重要なデバイスへのリスクを最小化するにはどうすればよいでしょうか。最も効果的な方法は、重要デバイスへの接続を制限することです。 レイヤー2ネットワークでは、同一ブロードキャストドメイン内のすべてのデバイス間でデータ交換がデフォルトで可能です。どのデバイスが重要デバイスへデータ送信または受信できるかを制限し、信頼されたネットワーク部分のみにデータフローを制御することで、在攻撃対象範囲（Attack Surface）を大幅に削減できます。 これはVLANでもある程度実現可能です。VLANはネットワークを複数のVLANドメインに分割し、同一VLAN内のデバイス間のみ通信可能にします。しかし、VLAN設定は複雑化しやすく、ネットワーク内のすべてのデバイスに対して慎重な計画、文書化、および保守が必要になります。

 

ポートアイソレーションの利点

VLANと比較して、ポートアイソレーション はイーサネットスイッチの個別ポート間のIngress/Egressデータフローを制限するための、よりシンプルな方法を提供します。また、ポートアイソレーションはVLANと併用することも可能であり、同一VLAN内のデバイス間通信をさらに制限できます。設定の容易さと高い有効性により、ポートアイソレーションは信頼された接続のみに通信を限定し、ネットワークセキュリティを強化する有効な手段となります。

 

OTネットワークでは、ポートアイソレーションによって不要なデバイス間通信を制限し、横方向移動（Lateral Movement）やマルウェア拡散のリスクを低減できます。これにより、HMI、エンジニアリングステーション、ベンダーデバイスが指定されたコントローラーにのみアクセスできるようになり、セキュリティ機能が限定されたレガシーシステムを保護し、意図しないトラフィックやリアルタイム制御の妨害を防ぐことで、安全性と可用性を維持できます。

 

ポートアイソレーションの主な目的は、データパケットを必要なポートのみに転送することです。これは主にセキュリティ面で大きな利点を提供しますが、その他の利点もあります。主な利点は以下の通りです：

• 最小限の設定と運用負荷
• イーサネットスイッチ内で直接実装可能
• 通信制限によるセキュリティ強化
• 信頼された接続を維持しながら重要デバイスを保護
• デバイス間の直接通信を防止
• 追加のVLAN設定不要
• アンマネージド機器、レガシーデバイス、サードパーティ機器にも有効
• IPアドレスやプロトコルに依存しない

 

ポートアイソレーションの仕組み

ポートアイソレーションはイーサネットスイッチ上で実装される機能であり、OSIモデルのレイヤー2（データリンク層）で動作します。基本的な仕組みは、スイッチの各ポート間通信を許可または遮断することです。2つのポート間の通信が遮断された場合、それらのポートは互いに「アイソレート（隔離）」された状態とみなされます。一部のベンダーでは、すべてのダウンリンクポートと通信可能なアップリンクポートのみ設定可能です。この場合、ダウンリンクポート間通信はすべて遮断され、アップリンク経由でのみ通信できます。この水平分離はPrivate VLANとも呼ばれ、ホテルのゲストネットワークなど、顧客デバイス同士の直接通信を防ぐ用途に有効です。

 

Volktekでは、より高度なポートアイソレーション機能を提供しています。スイッチ上の任意の2ポート間接続を個別にアイソレートできるため、より柔軟な設定と用途別のネットワーク設計が可能です。このため、本記事の以降の説明では、この高度なポートアイソレーション機能を前提とします。図2の例では：

• ポート1～3は相互通信可能
• ポート4はポート1とのみ通信可能
• ポート5はポート3への送信のみ可能
• ポート6はポート3からの受信のみ可能
• ポート7～10は完全に隔離され未使用

図2：イーサネットスイッチにおけるポートアイソレーション例

設定方法

Web GUIでのポートアイソレーション設定は非常に簡単で、僅か数ステップで完了します。Volktek Web GUIを例に説明します。設定は個別ポートまたは複数ポート範囲に対して同時適用可能です。これらのポートで受信したパケットは、選択されたEgress Portにのみ転送されます。Port 0を選択すると、パケットはスイッチCPUにも転送されます。これはスイッチ管理アクセスやSNMPなどの機能に必要です。つまり、管理VLAN設定を変更せずに、ポートアイソレーションによって管理アクセスを特定ポートのみに制限することも可能です。

注意：少なくとも1ポートではPort 0をEgress Portとして有効化しておく必要があります。そうしない場合、イーサネット経由での管理アクセスが失われます。

 

図3：ポートアイソレーション設定画面

設定結果は図4のマトリックス形式で表示されます。図1の例を参照すると：

• ポート1～3は相互転送可能
• スイッチCPUへ転送可能
• ポート3はポート6へ追加転送
• ポート4はポート1と双方向通信
• • ポート5はポート3への送信のみ

 

図4：ポートアイソレーション設定

 

FAQ

Q1. ポートアイソレーションとは何ですか？

A：ポートアイソレーションは、ポート間のデータ転送を制限し、明示的に許可されたポートへのみ通信を許可するレイヤー2 イーサネットスイッチ機能です。

Q2. 産業ネットワークにおいてどのような課題を解決しますか？

A：重要デバイスへの意図しない通信や不正アクセスを防止し、侵害・故障・誤接続されたデバイスによる影響を最小化します。

Q3. VLANとの違いは何ですか？

A：VLANは異なるブロードキャストドメインに分離しますが、同一VLAN内通信は制限しません。ポートアイソレーションは同一VLAN内でも個別ポート間通信を制限できます。

Q4. VLANと併用できますか？

A: はい。VLAN内でさらに通信制限を追加できます。

Q5. 主な用途は？

A: 安全重要機器保護、工場現場機器隔離、一時接続保護、IT/OT融合ネットワーク内の横方向移動防止などです。

Q6. スイッチ管理アクセスも制限できますか？

A: はい。Port 0（CPU転送）制御により制限可能です。

Q7. マルウェアやランサムウェア対策になりますか？

A: 検知はしませんが、横方向拡散を防止できます。

Q8. 性能や遅延へ影響しますか？

A: ありません。ハードウェアレベルで処理されるため追加遅延は発生しません。

 

Volktekについて

Volktek Corporationは台湾に拠点を置く産業用イーサネットネットワークソリューションメーカーであり、30年以上にわたり産業オートメーション、ビル管理システム、海事、交通、エネルギー、重要インフラ分野を支援してきました。

 

Volktekは、過酷な産業環境でも安定動作する、信頼性・セキュリティ・導入容易性に優れたネットワーク製品の提供に注力しています。設計、製造、品質管理を自社内で行い、システム設計、導入、長期運用、技術サポートまで製品ライフサイクル全体を通じて世界中の顧客を支援しています。製品ポートフォリオは、高い堅牢性、長期供給性、実用的なセキュリティ機能を重視し、顧客が強靭で将来対応可能なOTネットワークを構築できるよう支援しています。