サイバーセキュリティー
サイバーセキュリティーガイドライン
本製品は、セキュアな産業制御システムの下で使用してください。サイバー攻撃の脅威からコンポーネント (装置/デバイス)、システム、組織、およびネットワークを総体的に保護するためには、多層的なサイバーリスク低減措置、インシデントの早期発見、インシデント発生時の適切な対処と復旧計画が必要です。サイバーセキュリティーの詳細については、Pro-face HMI/IPC サイバーセキュリティーガイドを参照してください。
https://www.proface.com/ja/download/manual/cybersecurity_guide
|
上記の指示に従わないと、死亡、重傷、または物的損害を負う可能性があります。 |
警告
サイバーセキュリティー機能
本製品は、以下のサイバーセキュリティー機能を提供します。これらの機能は、潜在的なセキュリティーの脅威から製品を保護するのに役立ちます。
- セキュリティー (ユーザー管理)
セキュリティー機能により、オブジェクトおよび画面を不正なアクセスから保護できます。保護されたオブジェクトおよび画面にアクセスするには、有効なユーザー名とパスワードでログインします。ログインしたユーザーのセキュリティーレベルがオブジェクトまたは画面に設定されているセキュリティーレベル以上である場合に、そのオブジェクトまたは画面にアクセスできます。
概要 - パスワードの管理 (複雑なパスワードポリシー、パスワードの有効期限)
複雑なユーザーパスワードポリシーの選択およびパスワードの有効期限が設定できます。 - 表示器の設定
ハードウェア設定画面の表示およびプロジェクトファイルの転送に必要なセキュリティーレベルを指定します。
表示器の設定 - 操作ログ
プロジェクトで実行した操作ログを残しておくと、エラーが検出される前に実行された操作の確認など、問題の原因分析に役立ちます。
概要 - プロジェクトファイルパスワード (開くおよび転送)
プロジェクトのセキュリティーを強化するために、プロジェクトを開くとき、またはプロジェクトを転送するときに必要なプロジェクトパスワードを追加します。
プロジェクトへの不正な変更の防止 - データベースの暗号化 (アラーム、ロギング、レシピ、操作ログ)
データベースに保存されたアラーム履歴、ロギングデータ、レシピデータ、および操作ログを暗号化できます。
プロパティ (すべてのアラーム)
プロパティ (操作ログ)
プロパティ (すべてのロギング)
プロパティ (レシピコントロール) - ハッシュコードによるエクスポートファイルの変更の検出
Export File Validation tool を使用してコードをチェックし、エクスポートファイルの変更を検出できます。
アラームのエクスポートとインポート
ロギング設定とロギングデータのエクスポートとインポート
操作ログをエクスポート - IPsec 転送
不正なアクセスを防止するために、IPsec によるイーサネット経由の暗号化転送を使用することができます。IPsec とは、インターネット技術特別調査委員会 (IETF) が提供する、インターネットでの IP 通信の安全性を高めるオープンプロトコルです。IP 通信を暗号で保護するには任意の鍵が必要です。暗号化された IP パケットで通信します。
IPsec を使用してイーサネット経由でプロジェクトを転送
安全なアプリケーションのために
このセクションでは、アプリケーションを安全に設定するためのポイントについて説明します。
セキュリティー関連のメッセージはフィードバックゾーンの [セキュリティー警告] タブに表示されます。メッセージを確認し、サイバーセキュリティーのリスクを軽減するための是正措置を実行してください。
不正アクセス防止のための安全なネットワークを構築する
- 暗号化された通信を使用した通信環境を構築してください。(例: VPN)Pro-face Connect を使用して暗号化された通信環境を構築することができます。
Pro-face Connect の設定 - イーサネット経由で通信を確立してデータを転送する前に、ネットワークの安全性を確認してください。
- イーサネット通信に基づいていない転送オプションを選択します。 (例: USB ケーブルまたはファイルシステム)
USB ケーブル経由によるプロジェクトの転送
ファイルシステムを使用したプロジェクトの転送
イーサネット通信に基づいた転送オプションが必要な場合は、IPsec の使用を推奨します。
IPsec を使用してイーサネット経由でプロジェクトを転送 - 通信サービスを使用する場合にのみ、データ通信用のポートを開いてください。
- パソコンはファイアウォールで保護し、信頼できる安全なネットワークでご使用ください。
- 表示器は信頼できる安全なネットワークに設置し、ファイアウォールで保護してください。
OPC UA サーバーに接続する場合、AES をベースにしたより安全なセキュリティーポリシーの使用を推奨します。
OPC/UA サーバーに接続FTP サーバーに接続する場合は、FTPS (FTP over SSL/TLS) を使用することを推奨します。
信頼できる FTP サーバーまたは IP アドレスを使用してください。
表示器上での権限外操作を防止する
- セキュリティー機能を使用してください。
- 自動ログアウト機能を使用してください。
- ロックを解除するための適切なセキュリティーレベルを、限定されたユーザーにのみ与えてください (管理者権限を持つユーザーのみにロック解除を許可する等)。
- 以下のオペレーションでは、パスワードが要求されません。
- 接続機器オペレーションブロック - Upload (USB Storage/SD Card)
- 接続機器オペレーションブロック - Download (USB Storage/SD Card)
- ハードウェア設定画面の表示
表示器への接続に Web Viewer を使用している場合、パスワードを表示させる [***] ボタンは押さないでください。表示させたパスワードは、接続されているすべての表示器および Web Viewer クライアントに表示されます。
上記のオペレーションで使用されるスイッチに、セキュリティーレベルの設定をしてください。
SP5000 シリーズオープンボックス (Windows 10 IoT Enterprise モデル)、IPC シリーズ、または PC/AT を使用する場合
- ランタイムは信頼のできるパソコンでのみ使用してください。
- プロジェクトファイルの転送、またはその他の管理者権限が必要な操作を実行する場合を除き、管理者権限をもつアカウントで Windows にログインしないでください。
- Windows のセキュリティー機能を使用してください (パスワードの設定、自動ログアウト機能の使用など)。
- プロジェクトの管理者アカウントに安全なパスワードとセキュリティーを設定してください。
情報の改ざんから保護する
- 次のガイドラインを使用し、サイバーセキュリティーのベストプラクティス (ウイルス対策、オペレーティングシステムの更新、強力なパスワードポリシー、アプリケーション許可リストソフトウェアなど) に従ってパソコンを強化します。
https://www.pro-face.com/trans/en/manual/1087.html - ご自身のデータを慎重に管理してください。
- プロジェクトパスワードを追加して、プロジェクトを保護してください。
プロジェクトへの不正な変更の防止 - USB ケーブルまたはイーサネットケーブルによる転送オプションを使用する場合は、[転送方法] の [セキュリティー設定] を有効にしてください。詳細手順については、以下を参照してください。
IPsec を使用してイーサネット経由でプロジェクトを転送
USB ケーブル経由によるプロジェクトの転送
イーサネット経由によるプロジェクトの転送 - Windows 管理者権限で画面編集ソフトウェアを実行しないでください。
画面編集ソフトウェアは信頼のできるパソコンでのみ使用してください。