本機能は、情報系LANから制御系情報LANへの不正侵入を防止することを主な目的と する。
以下に主な構成機能を示す。
パケットフィルタ機能
情報系LANと制御系情報LAN間を通過するパケットを監視し、フィルタリング・ル ールに基づいたアクセス制御を行う。
プロキシ機能
プロコンの代理クライアントとして、情報系 LAN 上のホストコンピュータへアクセ スを行う。情報系 LAN 上から識別できるのはフォイアウォールの存在のみであり、制 御系情報LAN上の実プロコン機器を外部から隠蔽することが可能である。
リバースプロキシ機能
Web サーバの代理サーバとして、情報系LAN上の監視端末(Web クライアント)へ コントローラデータを提供する。また、プロコンの代理サーバとして、ホストコンピュ ータからの生産管理情報送信要求を受付ける。情報系 LAN 上から識別できるのはファ イアウォールの存在のみであり、制御系情報 LAN 上の実サーバ機器を外部から隠蔽す ることが可能である。
なお、これら機能は市販ファイアウォール製品に標準的に実装されている機能であるた め、本仕様書においては各機能設計の掘り下げを目的とせず、各機能の設定方法およびフ レームワークとの連携に主眼をおいて記述するものである。
184184184 184
秘匿通信フレームワーク NIC (External)
パケットフィルタ機能
リバースプロキシ機能
NIC (Internal) イベント
通知
セキュリティ監視エージェント
認証フレームワーク ログ出力機能
http要求
プロキシ機能
データ要求
データ要求
フィルタ設定機能
フィルタリング ルール
セキュリティ・ポリシー エージェント フィルタ定義ファイル ログデータ
監視端末 (Webクライアント) ホストコンピュータ
Webサーバ プロコン
http要求 データ配信
データ配信 イベント通知
イベント通知
図69 制御系専用ファイアウォール機能関連図
185185185 185
(1) パケットフィルタ機能 パケットフィルタ機能 パケットフィルタ機能 パケットフィルタ機能
(i) 機能説明 機能説明 機能説明 機能説明
情報系LANと制御系情報LAN間を通過するパケットを監視し、あらかじめ登録された フィルタリング・ルールに基づいてアクセス制御(通過および遮断)を行う。
フィルタリング・ルールは、TCP/IP レベルで設定できるものを必要とし、あらかじめ 運用管理フレームワークにおいて定義されているものとする。
想定する定義条件を以下に挙げる。
表105 定義可能な条件
項目 内容
ホストコンピュータリスト アクセス可能なホストコンピュータのアドレスリスト 例)192.168.81.1
ホストコンピュータ プロトコル
ホストコンピュータとプロコン間で使用するプロトコル種別 特に限定しない
監視端末リスト アクセス可能な監視端末のアドレスリスト 例)192.168.82.1
監視端末プロトコル 監視端末とWebサーバ間で使用するプロトコル種別 例)https/https
また、本機能はフィルタリング・ルールに違反するパケットを検知(拒否)した場合、
ログ出力機能に対しイベント通知を行う。
186186186 186
拒否イベント
ログ出力機能 フィルタリング フィルタ設定機能
ルール NIC
(External)
NIC (Internal) パケットフィルタ機能
パケット
パケット
図70 パケットフィルタ機能 機能ブロック関連図
(ii) 入力データ 入力データ 入力データ 入力データ
フィルタリング・ルール
市販ファイアウォールのパケットフィルタ機能が入力できる形式の定義データ
(ファイル形式のものを期待)
(iii) 出力データ 出力データ 出力データ 出力データ
アクセス拒否イベントデータ
市販ファイアウォールが出力するアクセスログ
(日時/送信元アドレス/送信先アドレス/プロトコル種別等を期待)
187187187 187
(2) プロキシ機能 プロキシ機能 プロキシ機能 プロキシ機能
(i) 機能説明 機能説明 機能説明 機能説明
プロコンの代理クライアントとして、情報系 LAN 上のホストコンピュータへアクセス を行う。情報系 LAN 上から識別できるのはファイアウォールの存在(IP アドレス)のみで あり、結果的に制御系情報LAN上の実プロコンを外部から隠蔽することが可能である(脆 弱性探査の対象にならない)。
なお、プロコンとホストコンピュータの通信プロトコルを限定することが困難であるた め、本機能とプロコン間の通信に透過型プロキシ(SOCKS)を使用する。したがって、
制御系保護専用ファイアウォールに実装するプロキシ機能は SOCKS プロトコルを持って いる必要がある。また、プロコン上においてSOCKSソフトウェアを実装する必要がある。
制御系保護専用 ファイアウォール
ホストコンピュータ
プロコン
要求 応答
プロキシ機能
SOCKS SOCKS 要求
(代理送信)
応答
(代理受信)
図71 プロキシ機能 機能ブロック関連図
(ii) 入力データ 入力データ 入力データ 入力データ
要求メッセージ
プロコンがホストコンピュータに送信する要求メッセージ(プロコン、ホストコンピ ュータ間で使用するアプリケーション通信プロトコルに依存)
188188188 188
(iii) 出力データ 出力データ 出力データ 出力データ
応答メッセージ
ホストコンピュータが返信する応答メッセージ(プロコン、ホストコンピュータ間で 使用するアプリケーション通信プロトコルに依存)
189189189 189
(3) リバースプロキシ機能 リバースプロキシ機能 リバースプロキシ機能 リバースプロキシ機能
(i) 機能説明 機能説明 機能説明 機能説明
制御系情報LAN上Web サーバの代理サーバとして、情報系 LAN上の監視端末(Web クライアント)へコントローラ情報を提供する。また、プロコンの代理サーバとして、ホ ストコンピュータからの生産管理情報を受信する。情報系 LAN 上から識別できるのはフ ァイアウォールの存在(IP アドレス)のみであり、制御系情報 LAN 上の実サーバを外部 から隠蔽することが可能である(脆弱性探査の対象にならない)。
監視端末とWebサーバ間の秘匿通信には利便性を考慮し、秘匿通信フレームワークの持 ち出しはせず、情報系で標準的な SSL(Secure Sockets Layer)を使用し実現するものとす る。また、ホストコンピュータとファイアウォール間の秘匿通信については、ホストコン ピ ュ ー タ と プ ロ コ ン 間 の ア プ リ ケ ー シ ョ ン 通 信 プ ロ ト コ ル が 限 定 で き な い た め 、 VPN(Virtual Private Network)を使用するものとする。ホストコンピュータ上にVPNを実装 することが困難である場合は、ホストコンピュータの前段に VPN 機能を持ったルータを 設置するものとする。
制御系保護専用 ファイアウォール
ホストコンピュータ
プロコン
要求 応答
リバースプロキシ機能 要求
(代理受信)
応答
(代理送信)
監視端末
(Webクライアント)
Webサーバ http要求
(代理受信) http応答
(代理送信)
http要求 http応答
SSL SSL VPN
VPN
図72 リバースプロキシ機能 機能ブロック関連図
190190190 190
(ii) 入力データ 入力データ 入力データ 入力データ
監視端末監視端末 監視端末監視端末
https要求メッセージ
監視端末が送信するhttps要求メッセージおよびhttp要求メッセージ
ホストコンピュータ ホストコンピュータ ホストコンピュータ ホストコンピュータ
要求メッセージ
ホストコンピュータが送信する要求メッセージ(ホストコンピュータとプロコン間の アプリケーション通信プロトコルに依存)
(iii) 出力データ 出力データ 出力データ 出力データ
監視端末 監視端末 監視端末 監視端末
https応答メッセージ
Webサーバが返信するhttps応答メッセージおよびhttp応答メッセージ
ホストコンピュータ ホストコンピュータ ホストコンピュータ ホストコンピュータ
応答メッセージ
オペコンが返信する応答メッセージ(ホストコンピュータとプロコン間のアプリケー ション通信プロトコルに依存)
191191191 191
(4) フィルタ設定機能 フィルタ設定機能 フィルタ設定機能 フィルタ設定機能
(i) 機能説明 機能説明 機能説明 機能説明
フィルタリング・ルールをセキュリティ・ポリシーエージェントから取得し、パケット フィルタ機能に反映する。
フィルタリング・ルールは、定義ファイルとしてセキュリティ・ポリシーエージェント から取得し、パケットフィルタ機能が入力可能な形式に変換し、反映させるものとする。
パケットフィルタ機能は、市販ファイアウォールによる実装を想定しており、ファイアウ ォール製品の仕様によっては、マクロ作成、キーシミュレート等のファイル形式以外の方 法で反映させる必要がある。
フィルタ設定機能 フィルタリング
パケットフィルタ機能 ルール セキュリティ・ポリシー
エージェント 設定完了通知
フィルタ定義 ファイル
図73 フィルタ設定機能 機能ブロック関連図
(ii) 入力データ 入力データ 入力データ 入力データ
フィルタ定義ファイル
セキュリティ・ポリシーエージェントにおいて作成したフィルタリング・ルールが定 義されているファイル
(iii) 出力データ 出力データ 出力データ 出力データ
設定完了通知
セキュリティ・ポリシーエージェントに対し、フィルタ設定の完了情報として 日時/定義ファイル名/作定義ファイル成日時
を返す。