本文へジャンプ

成果報告書詳細
管理番号20190000000637
タイトル2017年度―2018年度成果報告書 IoT推進のための横断技術開発プロジェクト/次世代産業用ネットワークを守るIoTセキュリティ基盤技術の研究開発
公開日2019/6/28
報告書年度2017 - 2018
委託先名アラクサラネットワークス株式会社 国立研究開発法人産業技術総合研究所 株式会社IIJイノベーションインスティテュート
プロジェクト番号P16007
部署名IoT推進部
和文要約件名:2017年度―2018年度成果報告書 IoT推進のための横断技術開発プロジェクト/次世代産業用ネットワークを守るIoTセキュリティ基盤技術の研究開発

本研究では、工場や病院などにおける産業用IT/IoTネットワークのセキュリティを強化するため、サービス、管理ソフトウェア、ネットワーク機器を連携させることにより、セキュリティ統合システムの実現に関する研究開発を行なった。
背景として、病院、工場等におけるIoT機器が外部サービスとつながる時代であり、その多種多様な機器の接続は複雑化し、管理・運用が難しくなってきている。および、今までの運用は、ファイアウォールとエンドポイント対策ソフトウェアに頼るセキュリティであるが、内部感染拡大の防止が不可能、ほとんどの産業用・IoT機器はエンドポイント対策ソフトウェアに未対応、IoT機器数の増加によりファイアウォールに頼ったセキュリティには限界があるといった課題がある。
この課題解決に、新たなセキュリティ・コンセプトとして「ネットワークで守るセキュリティ」を提案し、その実証をおこなった。
「ネットワークで守るセキュリティ」は、既存のネットワーク構成や運用をできるたけ変えずに既存機器をそのまま利用可能とし、内部感染対策を可能とし、かつサービス情報をすべて把握して自動的に連携するセキュリティシステムという3つの特徴を持つ。
本研究開発は「正しい通信のリストを管理すること」と、「ネットワークで守ること」について、従来形式に対しどちらも優位性があるという結論を得ることができた。
最後に本研究開発の成果として、サービス情報の抽出(サービス情報管理のためのインタフェースの実装とサービス情報自動抽出のための基本アルゴリズム)、管理ソフトウェアの開発(サービス情報から通過制御情報を生成する管理ソフトウェアと連携インタフェースを実装)、および産業用セキュリティスイッチの開発(通過制御を実現するネットワーク機器のプロトタイプ開発)をおこない、各機能連携による「ネットワークで守るセキュリティ」の効果を確認できた。
英文要約Title: Project to develop cross-sectoral technologies for IoT promotion, Orchestrated Security Infrastructure for Industrial IoT Network (FY2017-FY2018) Final Report

In this project, we have developed integrated security protection system for industrial IT/IoT networks (such as networks within manufacturing plants, hospitals, and others).
In the past, networks in industrial environments were typically designed as closed network, mainly because of tight requirements on the security. However, emerging IoT technology requires devices in those networks to be connected to external services in the Internet, that makes management of network security quite difficult. Existing solutions are typically based on network firewalls and end-point monitoring of security (such as anti-virus software or intrusion detection/monitoring software). However, end-point solutions are not well applicable for embedded industrial IoT devices (especially for those not based on PC architectures), and firewalling is not enough for preventing activity of malwares within a closed network.
Our solution aims to "actively protecting security by network" and is providing tightened security by active and integrated/coordinated management on properties/assets, services, software, and network equipment altogether. The system is applicable for already-existing industrial network deployments; it does not require any changes to existing IT devices as well as existing network designs, still providing a strong protection against internal infections of malwares and other bad security incidents.
During the project period, we have materialized functionality for "managing an up-to-date list of existing network services within the network" and "controlling service communication traffics in the network equipment, based on the active service list", and tested its effectiveness and applicability on the demonstration system. Our technical results include methods for extracting service information, software to manage and calculate expected traffics in the network from service information, and prototype hardware implementation for industrial-quality security network switches.
ダウンロード成果報告書データベース(ユーザ登録必須)から、ダウンロードしてください。

▲トップに戻る