WEBVTT 1 00:00:08.240 --> 00:00:10.519 世界中の製造メーカが、 [画面上のテキスト:CIP Security] 2 00:00:10.519 --> 00:00:12.669 将来に備えて、 [画面上のテキスト:CIP Security] 3 00:00:12.669 --> 00:00:15.400 デジタルトランスフォーメーションを導入しようとしています。 [画面上のテキスト:多層防御] 4 00:00:16.289 --> 00:00:18.379 その戦略の重要なコンポーネントは、 [画面上のテキスト:多層防御 デバイス、アプリケーション、コンピュータ、ネットワーク、物理、ポリシー、手順、および認識] 5 00:00:18.379 --> 00:00:20.440 多層防御の原則に基づく [画面上のテキスト:多層防御 デバイス、アプリケーション、コンピュータ、ネットワーク、物理、ポリシー、手順、および認識] 6 00:00:20.440 --> 00:00:21.789 サイバーセキュリティです。 [画面上のテキスト:多層防御 デバイス、アプリケーション、コンピュータ、ネットワーク、物理、ポリシー、手順、および認識] 7 00:00:22.250 --> 00:00:23.280 これはどういう意味でしょうか。 [画面上のテキスト:多層防御 デバイス、アプリケーション、コンピュータ、ネットワーク、物理、ポリシー、手順、および認識] 8 00:00:23.850 --> 00:00:26.059 これには、強力なポリシー、物理的な保護、 [画面上のテキスト:多層防御 デバイス、アプリケーション、コンピュータ、ネットワーク、物理、ポリシー、手順、および認識] 9 00:00:26.059 --> 00:00:28.649 ネットワークインフラ、および [画面上のテキスト:多層防御 デバイス、アプリケーション、コンピュータ、ネットワーク、物理、ポリシー、手順、および認識] 10 00:00:28.750 --> 00:00:30.449 機器の保護が含まれます。 [画面上のテキスト:多層防御 デバイス、アプリケーション、コンピュータ、ネットワーク、物理、ポリシー、手順、および認識] 11 00:00:31.260 --> 00:00:33.369 機器を保護するにはまず、 [画面上のテキスト:セキュリティで構築された機器が必要] 12 00:00:33.369 --> 00:00:35.420 IEC 62443-3-3を利用して、使用しているマシンが [画面上のテキスト:「安全」をどのように評価するか] 13 00:00:35.420 --> 00:00:37.929 どの程度安全であるかを定義することです。 [画面上のテキスト:IEC 62443-3-3でセキュリティレベルを定義] 14 00:00:40.829 --> 00:00:42.880 これは、最も堅牢な業界標準です。 [画面上のテキスト:セキュリティで構築された機器が必要 「安全」をどのように評価するか IEC 62443-3-3でセキュリティレベルを定義] 15 00:00:43.429 --> 00:00:45.780 産業用オートメーションおよび制御システムの [画面上のテキスト:ベストプラクティスとサイバーセキュリティ規格 IEC 62443] 16 00:00:45.789 --> 00:00:47.789 サイバーセキュリティを定量化するための [画面上のテキスト:ベストプラクティスとサイバーセキュリティ規格 IEC 62443] 17 00:00:47.799 --> 00:00:50.219 共通の定義と測定基準が [画面上のテキスト:ベストプラクティスとサイバーセキュリティ規格 IEC 62443] 18 00:00:50.219 --> 00:00:50.929 あります。 [画面上のテキスト:ベストプラクティスとサイバーセキュリティ規格 IEC 62443] 19 00:00:51.840 --> 00:00:54.560 この基格は、識別、整合性、 [画面上のテキスト:ベストプラクティスとサイバーセキュリティ規格 IEC 62443-3-3要件の例] 20 00:00:54.619 --> 00:00:57.490 機密性などの重要な要件に [画面上のテキスト:ベストプラクティスとサイバーセキュリティ規格 IEC 62443-3-3要件の例 SR 1.2 – ソフトウェアプロセスとデバイスの識別および認識 SR 3.1 – 通信の整合性と真正性 SR 4.1 – 信頼できないネットワークを介した転送時の機密性の保護 システムのセキュリティ要件とセキュリティレベル] 21 00:00:57.890 --> 00:01:00.600 焦点を当てています。 [画面上のテキスト:ベストプラクティスとサイバーセキュリティ規格 IEC 62443-3-3要件の例 SR 1.2 – ソフトウェアプロセスとデバイスの識別および認識 SR 3.1 – 通信の整合性と真正性 SR 4.1 – 信頼できないネットワークを介した転送時の機密性の保護 システムセキュリティとセキュリティレベル] 22 00:01:01.700 --> 00:01:03.759 デバイスベンダー間の [画面上のテキスト:ベストプラクティスとサイバーセキュリティ規格 IEC 62443-3-3要件の例 SR 1.2 – ソフトウェアプロセスとデバイスの識別および認識 SR 3.1 – 通信の整合性と真正性 SR 4.1 – 信頼できないネットワークを介した転送時の機密性の保護 その他多くの関連要件... システムセキュリティとセキュリティレベル] 23 00:01:03.759 --> 00:01:05.769 デバイスベンダー間の [画面上のテキスト:ベストプラクティスとサイバーセキュリティ規格 IEC 62443-3-3要件の例 SR 1.2 – ソフトウェアプロセスとデバイスの識別および認識 SR 3.1 – 通信の整合性と真正性 SR 4.1 – 信頼できないネットワークを介した転送時の機密性の保護 その他多くの関連要件... システムセキュリティとセキュリティレベル] 24 00:01:05.769 --> 00:01:07.189 産業用通信規格が必要です。 [画面上のテキスト:ベストプラクティスとサイバーセキュリティ規格 IEC 62443-3-3要件の例 SR 1.2 – ソフトウェアプロセスとデバイスの識別および認識 SR 3.1 – 通信の整合性と真正性 SR 4.1 – 信頼できないネットワークを介した転送時の機密性の保護 その他多くの関連要件... システムセキュリティとセキュリティレベル] 25 00:01:07.750 --> 00:01:10.000 制御システム設計者が [画面上のテキスト:困難な要件 これらの課題をどう解決するか?] 26 00:01:10.000 --> 00:01:11.549 オートメーション・デバイス・ベンダーの協力なしに、 [画面上のテキスト:困難な要件 これらの課題をどう解決するか?] 27 00:01:11.980 --> 00:01:14.359 セキュアな通信を実装することは [画面上のテキスト:困難な要件 これらの課題をどう解決するか?] 28 00:01:14.370 --> 00:01:16.750 ほぼ不可能です。 [画面上のテキスト:困難な要件 これらの課題をどう解決するか?] 29 00:01:17.340 --> 00:01:18.849 ODVAを見ていきましょう。 [画面上のテキスト:困難な要件 ODVA] 30 00:01:19.739 --> 00:01:22.030 ODVAは、世界をリードする [画面上のテキスト:困難な要件 ODVA] 31 00:01:22.049 --> 00:01:24.120 オートメーション企業で構成される [画面上のテキスト:困難な要件 ODVA] 32 00:01:24.120 --> 00:01:24.799 グローバルな団体です。 [画面上のテキスト:困難な要件 ODVA] 33 00:01:25.340 --> 00:01:27.780 サイバーセキュリティのメカニズムを [画面上のテキスト:困難な要件 ODVA] 34 00:01:27.780 --> 00:01:29.980 オートメーションネットワークに統合して [画面上のテキスト:困難な要件 ODVA] 35 00:01:29.980 --> 00:01:32.480 機器を保護できるようにする [画面上のテキスト:困難な要件 ODVA] 36 00:01:32.480 --> 00:01:33.180 規格開発組織の [画面上のテキスト:困難な要件 ODVA] 37 00:01:33.549 --> 00:01:35.579 最前線に立っています。 [画面上のテキスト:困難な要件 ODVA] 38 00:01:36.290 --> 00:01:38.480 そのメンバーのコミュニティとともに、 [画面上のテキスト:困難な要件 ODVA] 39 00:01:38.480 --> 00:01:40.549 ODVAはCIP Securityを開発しました。 [画面上のテキスト:困難な要件 CIP Security] 40 00:01:41.459 --> 00:01:43.870 エンドユーザが、サイバーセキュリティ対策を [画面上のテキスト:困難な要件 CIP Security] 41 00:01:43.870 --> 00:01:45.879 より徹底的かつ迅速に実装できるように、 [画面上のテキスト:困難な要件 CIP Security] 42 00:01:46.230 --> 00:01:48.560 ODVAとそのメンバーは、EtherNet/IPの [画面上のテキスト:困難な要件 CIP Security] 43 00:01:48.560 --> 00:01:51.159 CIP Security仕様を作成し [画面上のテキスト:困難な要件 CIP Security] 44 00:01:51.250 --> 00:01:52.579 リリースしました。 [画面上のテキスト:困難な要件 CIP Security、EtherNet/IP ODVA] 45 00:01:53.010 --> 00:01:55.480 これは、世界最大の産業用オートメーションの [画面上のテキスト:困難な要件 CIP Security、EtherNet/IP ODVA] 46 00:01:55.480 --> 00:01:56.200 1つです。 [画面上のテキスト:困難な要件 CIP Security、EtherNet/IP ODVA] 47 00:01:57.140 --> 00:01:59.530 このビデオでは、EtherNet/IP機密性プロファイルの [画面上のテキスト:困難な要件 CIP Security、EtherNet/IP ODVA] 48 00:01:59.530 --> 00:02:01.650 機能に焦点を当てています。 [画面上のテキスト:困難な要件 CIP Security、EtherNet/IP ODVA] 49 00:02:02.640 --> 00:02:05.269 バンキングシステムや電子メールシステムには、暗号化して [画面上のテキスト:デバイスの識別 業界標準の信頼メカニズム] 50 00:02:05.280 --> 00:02:07.409 信頼を構築する長年の実績に基づいた [画面上のテキスト:デバイスの識別 業界標準の信頼メカニズム] 51 00:02:07.409 --> 00:02:08.469 方法があります。 [画面上のテキスト:デバイスの識別 業界標準の信頼メカニズム] 52 00:02:09.039 --> 00:02:11.169 産業用制御システムでは、 [画面上のテキスト:デバイスの識別 業界標準の信頼メカニズム] 53 00:02:11.169 --> 00:02:12.349 同じ方法を使用しています。 [画面上のテキスト:デバイスの識別 業界標準の信頼メカニズム] 54 00:02:13.069 --> 00:02:15.409 CIP Securityを使用するほとんどのベンダーは、 [画面上のテキスト:デバイスの識別 ほとんどのデバイスに、製造時に業界標準のX.509v3証明書がインストールされています] 55 00:02:15.419 --> 00:02:17.490 デバイスに証明書を組み込んで、 [画面上のテキスト:デバイスの識別 ほとんどのデバイスに、製造時に業界標準のX.509v3証明書がインストールされています] 56 00:02:17.490 --> 00:02:18.439 それを識別します。 [画面上のテキスト:デバイスの識別 ほとんどのデバイスに、製造時に業界標準のX.509v3証明書がインストールされています] 57 00:02:18.789 --> 00:02:21.099 証明書は、検証可能な信頼のルートを [画面上のテキスト:デバイスの識別 ほとんどのデバイスに、製造時に業界標準のX.509v3証明書がインストールされています] 58 00:02:21.099 --> 00:02:22.050 提供できます。 [画面上のテキスト:デバイスの識別 ほとんどのデバイスに、製造時に業界標準のX.509v3証明書がインストールされています] 59 00:02:22.969 --> 00:02:25.030 システムを構成する場合、 [画面上のテキスト:デバイスの識別 デバイス、ゾーン、ベンダー間の信頼を確立する多くの方法] 60 00:02:25.030 --> 00:02:27.129 別の単一デバイスまたはエンタープライズレベルのシステムの [画面上のテキスト:デバイスの識別 デバイス、ゾーン、ベンダー間の信頼を確立する多くの方法 ベンダーA ベンダーB ベンダーC] 61 00:02:27.129 --> 00:02:27.840 公開鍵基盤や各デバイス間のあらゆるものなど、 [画面上のテキスト:デバイスの識別 デバイス、ゾーン、ベンダー間の信頼を確立する多くの方法 ベンダーA ベンダーB ベンダーC] 62 00:02:28.460 --> 00:02:30.599 どのマシン [画面上のテキスト:デバイスの識別 デバイス、ゾーン、ベンダー間の信頼を確立する多くの方法 ベンダーA ベンダーB ベンダーC] 63 00:02:30.599 --> 00:02:33.110 またはシステムを [画面上のテキスト:デバイスの識別 デバイス、ゾーン、ベンダー間の信頼を確立する多くの方法 ベンダーA ベンダーB ベンダーC] 64 00:02:33.180 --> 00:02:34.800 信頼するかを制御できます。 [画面上のテキスト:デバイスの識別 デバイス、ゾーン、ベンダー間の信頼を確立する多くの方法 ベンダーA ベンダーB ベンダーC] 65 00:02:35.400 --> 00:02:37.550 接続が開始されると、 [画面上のテキスト:デバイスの識別 方法1. 証明書ベースの識別] 66 00:02:37.550 --> 00:02:39.900 「TLSハンドシェイク」を使用して、 [画面上のテキスト:デバイスの識別 方法1. 証明書ベースの識別] 67 00:02:39.900 --> 00:02:40.750 証明書が交換されます。 [画面上のテキスト:デバイスの識別 方法1. 証明書ベースの識別] 68 00:02:41.330 --> 00:02:43.650 これは、Webブラウザの動作に似ています。 [画面上のテキスト:デバイスの識別 方法1. 証明書ベースの識別] 69 00:02:44.340 --> 00:02:46.389 これらの証明書は、デバイスを識別し、 [画面上のテキスト:デバイスの識別 方法1. 証明書ベースの識別] 70 00:02:46.389 --> 00:02:48.629 デバイス間に信頼関係が存在するかどうかを [画面上のテキスト:デバイスの識別 方法1. 証明書ベースの識別] 71 00:02:48.639 --> 00:02:49.819 判断するために使用されます。 [画面上のテキスト:デバイスの識別 方法1. 証明書ベースの識別] 72 00:02:50.539 --> 00:02:52.849 プロセスの最後に、デバイスは [画面上のテキスト:デバイスの識別 方法1. 証明書ベースの識別] 73 00:02:52.849 --> 00:02:55.060 セキュアな通信に使用できる [画面上のテキスト:デバイスの識別 方法1. 証明書ベースの識別] 74 00:02:55.060 --> 00:02:56.699 秘密鍵を共有します。 [画面上のテキスト:デバイスの識別 方法1. 証明書ベースの識別] 75 00:02:57.759 --> 00:02:59.990 メンテナンス中に、システムに委任したり、 [画面上のテキスト:デバイスの識別 方法2. 手動による信頼の確立] 76 00:02:59.990 --> 00:03:01.620 デバイスを交換したりする場合は、 [画面上のテキスト:デバイスの識別 方法2. 手動による信頼の確立] 77 00:03:01.909 --> 00:03:03.889 その識別を確立する必要があります。 [画面上のテキスト:デバイスの識別 方法2. 手動による信頼の確立] 78 00:03:04.669 --> 00:03:07.000 識別を確立するには、 [画面上のテキスト:デバイスの識別 方法2. 手動による信頼の確立] 79 00:03:07.000 --> 00:03:08.449 デバイスの証明書を使用するか、 [画面上のテキスト:デバイスの識別 方法2. 手動による信頼の確立] 80 00:03:08.840 --> 00:03:10.259 手動による方法を使用できます。 [画面上のテキスト:デバイスの識別 方法2. 手動による信頼の確立] 81 00:03:10.539 --> 00:03:12.860 これにより、事前共有鍵を使用して、 [画面上のテキスト:デバイスの識別 方法2. 手動による信頼の確立] 82 00:03:12.870 --> 00:03:13.479 信頼を確立します。 [画面上のテキスト:デバイスの識別 方法2. 手動による信頼の確立] 83 00:03:14.460 --> 00:03:16.810 この手動による方法は、非常に小規模なシステムに [画面上のテキスト:デバイスの識別 方法2. 手動による信頼の確立] 84 00:03:16.810 --> 00:03:19.009 実装する方が簡単な場合がありますが、 [画面上のテキスト:デバイスの識別 方法2. 手動による信頼の確立] 85 00:03:19.009 --> 00:03:20.949 事前に計画を立てる必要があります。 [画面上のテキスト:デバイスの識別 方法2. 手動による信頼の確立] 86 00:03:21.710 --> 00:03:23.759 どちらの方法でも、 [画面上のテキスト:デバイス認証とデータの整合性] 87 00:03:23.759 --> 00:03:26.199 秘密鍵を使用して、各メッセージが [画面上のテキスト:デバイス認証とデータの整合性 EtherNet/IP ODVA 秘密鍵によるハッシュアルゴリズム] 88 00:03:26.199 --> 00:03:28.030 正しいデバイスから送信されており、 [画面上のテキスト:デバイス認証とデータの整合性 EtherNet/IP ODVA 秘密鍵によるハッシュアルゴリズム] 89 00:03:28.400 --> 00:03:30.400 データが変更されていないことを認証できます。 [画面上のテキスト:デバイス認証とデータの整合性 EtherNet/IP ODVA 秘密鍵によるハッシュアルゴリズム CIP Security] 90 00:03:31.050 --> 00:03:33.050 CIP Security規格は、 [画面上のテキスト:デバイス認証とデータの整合性 EtherNet/IP ODVA 秘密鍵によるハッシュアルゴリズム CIP Security] 91 00:03:33.050 --> 00:03:35.319 ハッシュメッセージ認証コード [画面上のテキスト:デバイス認証とデータの整合性 EtherNet/IP ODVA 秘密鍵によるハッシュアルゴリズム CIP Security] 92 00:03:35.409 --> 00:03:36.409 (HMAC)を使用します。 [画面上のテキスト:デバイス認証とデータの整合性 EtherNet/IP ODVA 秘密鍵によるハッシュアルゴリズム CIP Security] 93 00:03:36.689 --> 00:03:38.849 これは、TLSおよびDTLS通信で一般的に [画面上のテキスト:デバイス認証とデータの整合性 EtherNet/IP ODVA 秘密鍵によるハッシュアルゴリズム CIP Security] 94 00:03:38.860 --> 00:03:40.860 使用されるものです。 [画面上のテキスト:デバイス認証とデータの整合性 EtherNet/IP ODVA 秘密鍵によるハッシュアルゴリズム CIP Security] 95 00:03:42.039 --> 00:03:44.150 なりすましデバイスが [画面上のテキスト:デバイス認証とデータの整合性 EtherNet/IP ODVA 秘密鍵によるハッシュアルゴリズム CIP Security] 96 00:03:44.150 --> 00:03:46.169 データを送信しようとしたり、 [画面上のテキスト:デバイス認証とデータの整合性 EtherNet/IP ODVA 秘密鍵によるハッシュアルゴリズム CIP Security] 97 00:03:46.169 --> 00:03:47.689 中間者がデータを変更しようとしたりすると、 [画面上のテキスト:デバイス認証とデータの整合性 EtherNet/IP ODVA 秘密鍵によるハッシュアルゴリズム CIP Security] 98 00:03:47.979 --> 00:03:49.669 HMACは無効になります。 [画面上のテキスト:デバイス認証とデータの整合性 EtherNet/IP ODVA 秘密鍵によるハッシュアルゴリズム CIP Security] 99 00:03:50.520 --> 00:03:52.659 ネットワーク上のすべてのオートメーションデータを暗号化する [画面上のテキスト:データ機密性 ネットワークスイッチ] 100 00:03:52.659 --> 00:03:53.919 必要があるわけではありません。 [画面上のテキスト:データ機密性 ネットワークスイッチ] 101 00:03:54.250 --> 00:03:56.629 したがって、通信プロセスのオーバーヘッドを回避するために、 [画面上のテキスト:データ機密性 ネットワークスイッチ CIP Security] 102 00:03:56.629 --> 00:03:58.750 暗号化はオプションです。 [画面上のテキスト:データ機密性 HMACによるCIP Securityで認証を提供 CIP Security ネットワークスイッチ] 103 00:03:59.639 --> 00:04:02.039 機密のプロセス情報や [画面上のテキスト:データ機密性 機密データ CIP Security HMACによるCIP Securityで認証を提供 CIP Security ネットワークスイッチ] 104 00:04:02.039 --> 00:04:03.280 秘密のレシピがある場合は、 [画面上のテキスト:データ機密性、機密データ、CIP Security] 105 00:04:03.599 --> 00:04:05.680 TLSおよびDTLS暗号化で [画面上のテキスト:データ機密性 機密データ CIP Security HMACによるCIP Securityで認証を提供 CIP Security ネットワークスイッチ] 106 00:04:05.680 --> 00:04:07.750 すべてのパケットを保護できます。 [画面上のテキスト:データ機密性 CIP Security HMACによるCIPセキュリティが認証を提供 CIP Security ネットワークスイッチ] 107 00:04:08.759 --> 00:04:10.800 CIP Security対応デバイスは、 [画面上のテキスト:データ機密性 機密データ] 108 00:04:10.800 --> 00:04:13.039 多層防御において重要な [画面上のテキスト:データ機密性 CIP Security HMACによるCIPセキュリティが認証を提供 CIP Security ネットワークスイッチ 機密データ] 109 00:04:13.039 --> 00:04:14.159 役割を果たし、 [画面上のテキスト:データ機密性 CIP Security HMACによるCIPセキュリティが認証を提供 暗号化によるCIP Securityで認証に機密性を追加 CIP Security ネットワークスイッチ CIP Security] 110 00:04:14.530 --> 00:04:16.610 制御システムの最終レベルの強化に [画面上のテキスト:データ機密性 CIP Security HMACによるIPセキュリティが認証を提供 暗号化によるCIP Securityで認証に機密性を追加 CIP Security ネットワークスイッチ CIP Security] 111 00:04:16.610 --> 00:04:17.750 役立ちます。 [画面上のテキスト:データ機密性 CIP Security HMACによるCIP Securityで認証を提供 暗号化によるCIP Securityで認証に機密性を追加 CIP Security ネットワークスイッチ CIP Security] 112 00:04:19.329 --> 00:04:21.410 製品またはシステムを [画面上のテキスト:詳細は] 113 00:04:21.410 --> 00:04:23.490 よりセキュアにする方法については、 [画面上のテキスト:ODVAに問い合わせるか] 114 00:04:23.490 --> 00:04:25.990 ODVAに問い合わせるか、 [画面上のテキスト:www.ODVA.orgにアクセスしてください] 115 00:04:25.990 --> 00:04:28.089 www.odva.orgにアクセスしてください。 [画面上のテキスト:www.ODVA.orgにアクセスしてください]