OT と 産業サイバーセキュリティソリューション

セキュアなファイル、デバイス、および単一方向データの転送プロセスの作成

IT、OT、ICS ネットワーク コンバージェンスにセキュリティと信頼を提供

情報技術(IT)、運用技術(OT)、および産業用制御システム(ICS)ネットワークのかつての明確な区別は、接続性に対する需要の高まりにより、曖昧になりつつあります。このコンバージェンスにより、 IT ドメインから運用環境に伝播する可能性があるサイバー攻撃に、 OT や ICS 資産がさらされます。具体的には、セキュリティで保護された環境と、ファイルやデバイスを転送・移動することが、セキュリティインシデントの主な経路です。

リムーバブル(USB)メディアと一時的なデバイスには、感染したファイル、隠しパーティションに潜むマルウェア、悪意のあるハードウェア/ファームウェアが含まれている可能性があるため、リスクがあります。また、ビジネスの利害関係者は、産業の運用データへのアクセスが必要な時がありますが、アクセスすることで、ネットワークのセグメンテーション、ネットワーク分離環境が中断し、 OT / ICS 環境が脆弱性にさらされます。

OPSWAT ソリューションは、安全で、コンプライアンスに対応したリムーバブルメディア、一時的なデバイスの利用を可能にし、単一方向のデータ転送を実現します。

OPSWAT の包括的 OT サイバーセキュリティ プラットフォームのご紹介

* ビデオ再生時に “CC”で日本語字幕を表示することができます。

OT, 産業用サイバーセキュリティソリューションの利点

マルチスキャンによる侵害防止

高度化・巧妙化するマルウェアが既存のセキュリティ防御を回避し続けています。OPSWAT は、 30 種類以上のマルウェア対策エンジンとファイルの脆弱性評価を活用し安全でないファイルやバイナリの組織への侵入を防ぐことでセキュリティを確保し、サプライチェーンのリスクを最小限に抑えます。

悪意のあるデバイスから保護

リムーバブルメディアや、不正なファームウェアを含む一時的なデバイスの、ファイルや隠しパーティションに潜むマルウェアは、 OT エンドポイントを侵害する可能性があります。OPSWAT は、メディアとファイルベースの攻撃を防御し、信頼できるデバイスの利用を強化し、すべてのメディアとファイルがスキャンされ、承認されていることを検証します。

コンテンツとデバイスの複数の配信ルートを保護

OPSWAT は、インバウンド(入力)とアウトバウンド(出力)の両方の配信ルートを保護するセキュアチャネルを提供します。ファイルは、インターネット経由のアップロードや、ネットワークセグメント間の配信、そして、リムーバブルメディアを介した配信があります。転送・移動するすべてのファイルとデバイスは、安全性を確保するためにスキャンし、機密情報の損失を防ぐために検査されます。

中断のない産業データへのアクセス

セキュリティで保護されたネットワークを攻撃の伝播から分離している環境において、 OT / ICS データへのリアルタイムアクセスと、 IT / OT 間のセキュアなデータとファイル転送を実現します。 OPSWAT の Unidirectional と Bilateral Security Gateway は、高信
頼性でデータを損失することなく、幅広い産業用 OT と企業 IT プロトコルをサポートします。

世界の1,200 を超える重要インフラ組織が
サイバーセキュリティとコンプライアンスで
OPSWAT を信頼しています

OT と産業用サイバーセキュリティの管理を支援

OPSWAT のソリューションは、OT と 産業用サイバーセキュリティ、そしてコンプライアンスにおいて、複数のユースケースをサポートします。また、全システムにおける複数のデプロイメント、ポリシー、設定、およびヘルスモニタリングを、包括的なインタフェースで管理する、OPSWAT Central Management を利用することができます。

MetaDefender Kiosk

MetaDefender Kiosk は、デジタルセキュリティガードとして、様々なメディアのマルウェア、脆弱性、機密データを検査します。 Kiosk は、重要施設の物理的な出入口に設置するように設計されています。 MetaDefender Kiosk の詳細

MetaDefender Vault

セキュアなファイル保管・取得ソリューションの MetaDefender Vault は、ネットワークセグメント間のファイルのリモートアップロードと安全な転送を実現します。 MetaDefender Vault の詳細

MetaDefender Drive

MetaDefender Drive は、一時的なデバイスに潜むマルウェア、脆弱性、機密データを、デバイスが組織に出入りする前に検査する、ポータブルな USB ベースのソリューションです。 Drive は、セキュリティソリューションを直接インストールできないデバイスや、ネットワーク接続が利用できない環境、またはサプライチェーンリスクの軽減に使用できるように設計されています。 MetaDefender Drive の詳細

OPSWAT Client

OPSWAT Client は、すべてのエンドポイントで、許可されていないリムーバブルメディアの使用をすべてブロックし、ファイルが組織内のシステムにコピーされる前にマルウェアをスキャンします。Client は、組織の入口で MetaDefender Kiosk によって処理・承認されたメディアのみの使用を許可することもできます。 OPSWAT Client の詳細

MetaDefender USB Firewall

MetaDefender USB Firewall は、プラグアンドプレイのハードウェアで、 MetaDefender Kiosk によって処理されたリムーバブルメディアのみの使用を許可します。本デバイスは、ソフトウェアをインストールする必要がないため、エンジニアリングステーション、HMI、PLC などの ICS / SCADA エンドポイントに容易に接続し、メディアのブートセクターとファイルが事前に承認されていることを確認することができます。 MetaDefender USB Firewall の詳細

NetWall Security Gateway

OPSWAT NetWall は、リアルタイムな OT データへのアクセスを提供し、産業用システムのセキュリティと完全性を損なうことなく、セキュアなデータ転送を可能にします。 NetWall USG (Unidirectional Security Gateway)は、確実な配信メカニズムを使用して、一方向の IT/OT データ転送を実現します。 NetWall BSG(Bilateral Security Gateway)は、セキュアなデータ応答が求められるアプリケーションをサポートします。

OT と産業用サイバーセキュリティのユースケース

MetaDefender Kiosk – スタンドアロン

一般的なポータブル、リムーバブルメディアの保護に関するNIST、NEI、NERC CIP、ISO / IEC、および ISA / IEC 要件への対応以上の緩和策は、 OPSWAT MetaDefender Kiosk を重要施設への入り口のチェックポイントや、 SCADA ネットワーク、研究施設に配置し、全てのメディアを使用する前に検証することです。

Kiosk は、ユーザー、ソース、ファイルタイプを確認します。悪意のあるパーティションやマルウェアを探し、デバイスが安全か、さらなる検査が必要かどうかを判断します。

  • ホワイトリスト:管理者は、施設へのアクセスが許可されている特定メディアデバイスを"ホワイトリスト"として追加することもできます。 Kiosk は、メディアの使用を,事前に選別された特定ベンダーとタイプに制限できます。
  • クライアント認定メディア:無害化/検証済みのすべてのファイルのコピー先に、組織が認定したメディアを利用することもできます。この場合、これらのメディアのみが、従業員/請負業者と、または警備下で施設に持ち込むことが許可されます。

MetaDefender Kiosk – スタンドアロン(クローズドループのメディアコントロール)

コンプライアンスをさらに強化するユースケースです。具体的には、 Kiosk が、 OPSWAT ソフトウェアクライアントまたは OPSWAT USB Firewall を介してクローズドループのメディアコントロール環境を実現します。クローズドループシステムでは、 Kiosk から宛先のシステムに転送する際に、悪意のあるコンテンツの侵入や、コンテンツが変更されるのを防止します。

既存システムに、新たなソフトウェアをインストールすることが、ベンダー保証に影響を与えるクリティカルな環境では、 USB Firewall により、ソフトウェアをインストールしないオプションをクローズドループに提供します。

MetaDefender Kiosk は、ターンキーシステムとして入手するか、クライアントが選択するハードウェアまたは VM ベースのシステムにインストールすることができます。

MetaDefender Kiosk から Vault への単一方向のファイル転送

MetaDefender Kiosk の3番目のクローズドループオプションは、保存データと転送中のデータのセキュリティの確保です。このユースケースでは、 Kiosk は、ターゲットネットワークでホストされている MetaDefender Vault に、 NetWall USG で単一方向に送信するワークフローコントロールを提供します。

MetaDefender Vault は、保護されたネットワークセグメントとの間でファイルを転送、保存、取得するときに、階層承認、認証、監査レポートを提供します。

  • ユーザーはすべてのメディアを Kiosk に入力し、宛先として MetaDefender Vault を選択します。
  • ユーザーの施設入場手続きに並行して、Vault がすぐにファイル処理を開始するため、手元のファイル処理を待つことなく、施設内に進むことができます。
  • Kiosk のチケットシステムは、一時的な一意の印刷コードをユーザーに提供します。それにより、ユーザーは、施設内の MetaDefender Vault に保存されている検証済み/無害化ファイルへ指定時間内にネットワークアクセスします。
  • 単一方向セキュリティゲートウェイオプション:高いセキュリティの「転送中のセキュリティ( Security-in-Transit )」環境では、NetWall USG とデータダイオードを追加して、 MetaDefender Kiosk から Vault へのネットワーク転送をさらに安全にすることができます。このネットワークデバイスを追加して、トラフィックを一方向のみで保護し、ファイアウォールの潜在的な設定ミス(意図的または悪意のあるもの)から保護することができます。

MetaDefender Vault 内のすべてのファイルは、AES 暗号化で保護され、監視されます。また、30種類以上のマルウェア対策エンジンによるスキャン、無害化を行い、設定内容とワークフローポリシーに基づいて隔離されます。

MetaDefender Vault から Kiosk (情報損失防止)

ベンダーや請負業者は、デバッグや分析の目的で施設からファイルの抽出が必要になることがあります。このユースケースでは、データフローは MetaDefender Vault から始まり、Kiosk に流れます。 Kiosk では、認証および承認されたユーザーが、承認されたメディアを使用してファイルを抽出できます。データセキュリティとデータプライバシーには、ワークフローに設定された事前定義のデータ秘匿化ルールが適用されます。

これらのデータ秘匿化およびワークフロールールは、GDPR、NIST、HIPAA、HITRUST、ISO / IEC、およびISA / IEC のデータセキュリティとデータプライバシーの遵守を強化するように設計されています。詳細な監査レポートのために、すべてのデータ転送とワークフロー構成の変更がログに記録されます。

    MetaDefender Vault から Vault (転送中のデータ保護)

    NIST、NERC CIP、AWIA、ISO / IEC、ISA / IECのいずれを取り組んでいる場合でも、サイバーセキュリティ標準では、一般に、リスク(脅威、脆弱性、および侵害の結果)に応じたシステムのプロファイルとグループ化を推奨しています。これらのグループ化されたシステムは同様のセキュリティプロファイルを共有するため、より効率的かつ効果的に保護することができます。

    システムのグループ化は、各業界で様々な命名法で参照されています。より一般的な用語は、「セキュリティドメイン」または「セキュリティゾーン」です。これらのドメインまたはゾーン間で転送中のデータは、それぞれ「クロスドメイン」または「セキュリティゾーン」転送と呼ばれます。

    ファイルは、セキュリティゾーン間で、制御、監視、およびログ化プロセスで、安全に転送される必要があります。

    OPSWAT MetaDefender Vault を各セキュリティゾーンにインストールすることで、ゾーン間のファイル移動の階層承認と転送中の保護、そして、監査と格納時の保護を実現することができます。

    MetaDefender Drive

    MetaDefender Drive を使用して、ノートブック、ワークステーション、およびサーバーをスキャンし、マルウェア、機密データの損失、脆弱なバイナリ、および外国製のソフトウェアに関連するリスクを識別できます。これには、リモートで使用するノートブック、従業員の資産、請負業者の機器などが含まれます。

    • OPSWAT Central Management: 詳細な監査レポートの提供、複数インスタンスの一元管理
    • MetaDefender Vault: Drive は転送先としてMetaDefender Vault を指定することが可能
    • Forensics: Drive はすべての正常なファイルを他のUSBにコピー可能
    • 重要インフラ: MetaDefender Drive は、リソースに制約のある古いシステム(1G RAM)も処理

    ユースケース

    • 検査:組織のセキュリティ境界外から持ち込まれ、セキュリティで保護された組織システムとネットワークに再接続する、すべての一時的な資産を検査
    • サプライチェーンの最終チェック:他のエンティティに出荷される専用のターンキーシステムの最終検査

    OPSWAT を選択する理由

    「検知」に依存しないサイバー脅威の防止

    Deep CDR(コンテンツの非武装化と再構築)

    検知に依存しないサイバー脅威防止 - OPSWAT Deep CDRは、検知に依存しない高度な脅威防止テクノロジーです。 Deep CDRは、すべてのファイルが悪意あるものであると想定し、各ファイルを無害化しユーザビリティを維持したまま安全な要素で再構築します。100 種類以上のファイル形式に対応している Deep CDR は、対象ファイルを再帰的に処理し、すべてのファイルを完全に再構築するため "Deep" と付けています。.

    Cdr2

    マルチスキャン

    複数同時のマルウェア対策エンジンによる高度な脅威防止 - OPSWAT マルチスキャンは、最大30種類以上のマルウェア対策エンジンを同時に活用することで検知率を高め、アウトブレイク検出時間を短縮し、マルウェア対策ベンダー固有の問題に対する対応力を提供する、高度な脅威検知・防御テクノロジーです。検知率は、単一エンジンの多くが40〜80%に対して、最大99%まで向上します。(当社調査)

    Multiscanning2

    Proactive DLP (データ損失防止)

    ファイルやメールの機密データ検出とブロック - OPSWAT Proactive DLP(データ損失防止)は、ファイルやメールに含まれている クレジットカード番号や社会保障番号などの機密データを検出してブロックすることにより、潜在的なデータ侵害や規制コンプライアンス違反防止に役立ちます。 OPSWAT Proactive DLP は、 Microsoft Office、PDF、CSV、HTML、画像ファイルなど、30 を超えるファイル形式をサポートしています。

    Dlp2

    ファイルベースの脆弱性評価

    インストール前にアプリケーションの脆弱性を検出 - ファイルベースの脆弱性アセスメント技術は、インストール前にアプリケーションとファイルベースの脆弱性を検出します。特許技術(米国9749349 B1)により、脆弱性をユーザーや企業顧客の広大なコミュニティから収集されたソフトウェアコンポーネント、製品インストーラー、ファームウェアパッケージ、その他の多くの種類のバイナリファイルに関連付けます。

    Vulnerabilities 3

    原産国

    サプライチェーンリスクの検出 - MetaDefender Drive の機能の1つは、ターゲットシステム上のバイナリをスキャンし、発行元の国を特定することです。多くの組織では、システムで実行しているソフトウェアのサプライチェーンセキュリティ、特に敵対国調査の要件が高まっています。この原産国機能を使用すると、以前は時間と手間がかかっていたプロセスを自動化できます。

    Filebased Slide
    「MetaDefender Kiosks により、マルウェアのないネットワーク環境の維持に自信を深めることができました。」

    Ed Koeller 氏

    Security Analyst, Ameren

    詳細な内容をご希望の方