目次 OPC 協議会について UA 仕様について UAセキュリティについて Interoperability Work Shop ユーザー意見交換会報告制御システムセキュリティ対策とOPC UA OPC UAは どのようなところに使われていくか 日本 OPC 協議会 2

OPC UA（IEC62541）のセキュリティ

ものづくり

_{NEXT２０１１}

トータル危機管理コーナー

日本OPC協議会

発表者：技術部会長 藤井 稔久

ユーザー交流部会長 大津

日本OPC協議会 2

目次

OPC協議会について

UA仕様について

UAセキュリティについて

Ｉｎｔｅｒｏｐｅｒａｂｉｌｉｔｙ Ｗｏｒｋ Ｓｈｏｐ

ユーザー意見交換会報告

制御システムセキュリティ対策と

OPC UA

OPC UAは、どのようなところに使われていくか

OPC Foundation / OPC協議会

国際業界標準化団体 加入会社435社(エンドユーザ 67社) ※2011/8/23現在 3,500を超えるOPC製品取り扱い会社 = 22,000を 超えるOPC製品 数百万規模のインストールベース OPCのビジョンは、マルチベンダー、マルチプラットフォームにおけるセキュアで高信頼な相互運用環境 を提供すること データソースから基幹業務系における情報の垂直統合 異なるベンダーの異なるネットワーク間における情報の水平統合 単なるデータとしてではなく、情報として……. 高信頼でセキュアな相互運用性は必須要件(オプションではない) 統合オープンプラットフォームアーキテクチャにより、各種のオープンな標準(国際標準、業界標準など) の連携を実現 全体会議（総会₎ 幹事会 企画部会 •将来ビジョン立案 •他団体連携 •総務事項 普及部会 •広報、展博 •製品普及 •協議会ｲﾝﾌﾗ整備 技術部会 •新仕様策定 •技術教育/セミナー •認証・インオペ推進 ﾕｰｻﾞ交流部会 •ﾕｰｻﾞ交流会運営 •ﾕｰｻﾞﾌｨｰﾄﾞﾊﾞｯｸまとめ •ﾕｰｻﾞﾒﾘｯﾄまとめ 監事 事務局 代表幹事 9社で幹事会を構成 日本_OPC協議会 会員数：41社 (2011年9月現在)

Classic OPC ： プロセスデータ交換 I/F

Application X

...

DCS Controller PLC Application Y 課題 多数のベンダー製品 カスタムメイドのソリューション プロプラエタリィな技術 1対1結合による統合 限られたリアルタイム情報 保守の悪夢 散逸した責任 解決策

OPC！ Application X_{OPCクライアント} Application Y

OPCサーバ OPCサーバ OPCサーバ OPCクライアント COM/DCOM

OPC

⇒ ベンダや機器に依存することなくデータ交換を行なう

Client / Server システム

のための標準インタフェースです。

日本OPC協議会 6

OPC UA（IEC62541） ： 製造情報データ連携 I/F

バッチ

OPC Unified Architecture

製造、生産、保守

(工場管理)

O

P

C

高度

制御

O

P

C

HMI

MES

SCADA

工業用ネットワーク データ収集

DCSPLC

DCS ??...??

ERP, SAP … 経営情報システム （本社・社外)

OPC Unified Architecture

PC ベース

制御

OPC

OPC

OPC UA ：

業界標準の相互運用性を提供

OPC スケーラビリティ

Mainframe Portables Desktop PC Server Server Cluste r Embedded Systems Controllers

OPC

Classic

OPC

.NET 3.0

OPC

UA

日本OPC協議会 8

特徴：

_{UA (Unified Architecture) とは？}

データ

モデル

SOA

モデル

OPC

UA

通信

モデル

プラットフォーム 非依存 プロトコル 非依存 Intranet/ Internet アクセス 既存OPC (DA, HDA, A&E,,) オブジェクト モデル 型定義 抽象化された_サービス

オブジェクトモデル

_{&アドレススペース}

OPC UA Object Variables ___ ___ ___ Methods ___() ___() ___()

OPC DA and HDA

_{OPC Commands}

Events

UA オブジェクトモデル

UA アドレススペース

OPC A&E

日本OPC協議会 10

スタック プロファイル

TCP/IP

UA Binary

HTTP/HTTPS

WS Secure Conversation

SOAP 1.2

UA TCP

UA Secure Conversation

UA XML

XML Web Services _{With SOAP/HTTP}Native Native _Binary

SecurityをBuilt-inした3種類のスタックプロファイル：

XML Web Service

: ITシステムとの親和性⇒ ERP / ビジネスApp

Native Binary

: 高速通信⇒組み込み / PCベース制御 / SCADA

インタフェース レイヤ

OPC UA Base Services

All Necessary Services

Vendor Information Model

Information Model Specifications

FDI, ADI, PLCopen

日本OPC協議会 12

活動中の協業プロジェクト

EDDL + FDT = FDI

ADI

PLCopen

検討中の協業プロジェクト

Building Automation

OpenO&M

Smart Grid

MTConnect

ISA-95

UA Security

UAセキュリティ：仕様書のコア仕様として定義

Part.1

:Concepts & Overview

//概要

----Part.2

:Security Model

//コア仕様

Part.3

:Address Space Model

// ..

Part.4

:Services

// ..

Part.5

:Information Model

// ..

Part.6

:Service Mappings

// ..

Part.7

:Profiles

// ..

----Part.8

:Data Access

//OPC独自情報モデル

Part.9

:Alarms and Conditions

// ..

Part.10 :Programs

// ..

Part.11 :Historical Access

// ..

日本OPC協議会 16

- UA Security :

目的・脅威・対策

Part.2：UAに求められるクライアント/サーバシステムのSecurityアセスメント結果

詳細は後述の参考情報を参照

Threat(s)

Objective(s)

・

Message Flooding

・

Eavesdropping (盗聴)

・

Message Spoofing(ﾒｯｾｰｼﾞ捏造)

・

Message Alteration(ﾒｯｾｰｼﾞ改竄)

・

Message Replay

・

Malformed Message

・

Server Profiling

・

Session Hijacking

・。。。

Auhtentication

Authorization

Confidentiality

Integrity

Auditability

Availability

- UA Security :

アプリケーション

Secure アプリケーション

安全なアーキテクチャを採用し、⇒安全メカニズムをビルトイン

アプリケーション層

_{アプリケーション層}

コミュニケーション層

コミュニケーション層

トランスポート層

Session Secure Channel • ユーザ 認証 • ユーザ 権限の付与 • アプリケーション認証 • メッセージの完全性 • メッセージの機密性

OPC UA Client

_{OPC UA Server}

• ユーザ 認証

• ユーザ 権限の付与

• アプリケーション認証

• メッセージの完全性 • メッセージの機密性

日本OPC協議会 18

- UA Security :

プロファイル（

_Part.7)

Security モード

None

– セキュリティなし

Sign

– メッセージに署名は付けるが、暗号化はしない。

SignAndEncrypt

–メッセージに署名は付けかつ暗号化する。

Security ポリシー

Basic128Rsa15

– 最低限のセキュリティ(⇔高速応答性が必要な場合)

Basic256

– 推奨セキュリティ

None

– 推奨できない

⇒

Security要件に応じて組合せをプロファイルに定義し、使い分けます。

- UA Security:

サービス（

_Part.4)

セッション

UAアプリケーション層で実装

Client/Server間のハイレベルな論理的接続機能を提供

ユーザの認証・認可

(アクセス制御)によりClientのServerアクセスを制限

セッションの確立には

Secureチャネルの開設が必要

Secureチャネルが切断しても、セッションは維持したままでの再接続が可能

Secureチャネル

UAコミュニケーション層(通信スタック)で実装

Client/Server間のローレベルな論理的接続機能を提供

アプリケーション認証のための証明書を提供

送信メッセージを暗号化するなど、

Sercureなメッセージ送信を可能に！

受信メッセージの署名による改ざん検査

(Verify)など、Sercureなメッセージ受

信を可能に！

Secureチャネルを維持したままでのトランスポート層の再接続が可能

日本OPC協議会 20

- UA Security:

監査

UA サーバー UA クライアント UA サーバー UA クライアント UA サーバー UA クライアント

A

B

C

D

イベント ID ： Ｙ クライアント名 : Ａ クライアント内 登録情報ID : Ｚ ＜ゲートウェイＢの処理を記録＞ イベント ID ： Ｘ クライアント名 : Ｂ クライアント内 登録情報ID : Ｙ ＜ゲートウェイCの処理を記録＞ イベント ID ： Ｗ クライアント名 : C クライアント内 登録情報ID : Ｘ ＜サーバーDの処理を記録＞ イベント ID ： Ｚ ＜クライアントＡの処理を記録＞

イ

ベ

ン

ト

が

登

録

さ

れ

る

順

番

- UA Security :

まとめ

①

UAセキュリティは特殊なものではありません。

⇒ITの世界で標準的に使用されているセキュリティ対策を使用します。

②

UAセキュリティのための特別な実装は不要です。

⇒スタックに実装されている機能を利用することにより

その恩恵を簡単に享受することができます。

2008/10/28

Ｉｎｔｅｒｏｐｅｒａｂｉｌｉｔｙ Ｗｏｒｋ Ｓｈｏｐ

OPC UA サーバー アドレス空間

OPC UA

OPC UA サーバー OPC UA クライアント アドレス空間

MES

OPC UAの適用例

DCS PLC

制御システム

製造実行システム

業務・計画システム

ｺｰﾋｰ製造 生産現場状況 OPC DA サーバー OPC DA サーバー 製造指示 製造実績 OPC UA クライアント

ERP/SCM/PLM

Object Object Object Object Object クライアントが必要とする オブジェクトを表現可能 オブジェクトに共通のインタ フェースでアクセス可能 国内外の標準化団体の 情報モデルを利用可能 CMMS LIMS PIMS SQC APC

日本OPC協議会 24

テストツール

OPCｻｰﾊﾞ

製品

A社

OPC-Foundation

適合性試験

結果出力

認定

Web公開

結果提出

テストツールを

ダウンロード

OPCｸﾗｲ

ｱﾝﾄ製品

B社

相互運用性試験

Inter-operability

_{Work Shop}

結果公開

1

2

3

4, 6

5

図１ 適合性認定の流れ

http://www.opcfoundation.org/

日本の結果は、現在の ところ日本OPC協議会 Webで公開

日本OPC協議会 26

図３

_{OPC Inter-operability Workshop}

クライアント製品 A社 製品A B社 製品B C社 製品C サーバ 製品 D社 製品D OK OK … E社 製品E NG OK … F社 製品F … … …

図４

_{Web公開表示例 (1/2)}

Product Vendor List

Product List

試験

結果

日本OPC協議会 28

事例紹介

イタリアのプラントで海外制御ベンダ製品と日本企業の

制御ベンダがユーザー指定でＯＰＣ接続をしたが、現

場立ち上げ時につながらなかった。その時に問題に

なったのは、

ＯＰＣの仕様バージョン

ＯＰＣ－ＦのＩｎｔｅｒｏｐｅｒａｂｉｌｉｔｙ Ｗｏｒｋ Ｓｈｏｐに参加して相互接

続試験認証を受けているか

の二点であった。

ＯＰＣ仕様バージョンが古くて、Ｉｎｔｅｒｏｐｅｒａｂｉｌｉｔｙ Ｗｏｒｋ

Ｓｈｏｐに参加していなかった海外制御ベンダは工事の

遅れによるユーザーの損害賠償を請求された。

日本OPC協議会 30

OPC UAの最新情報

OPC UA登録製品：１１５製品

ABB Inc.、Advosl Inc.、Allphaopen LLC、ascolab GmbH、Automsoft、Beckhoff Automation GmbH、Canary Labs Inc.、CAPSHER Technology Inc.、CAS、Certec EDV GmbH、Cogent Real-Time Systems Inc.、Cyberlogic、Embedded Labs Ltd.、 ETM professinal Control GmbH、HB-Softsolution e.U.、ICONICS Inc.、Inductive Automation、Indusoft Inc.、Ing.-Buero Allmendinger、Kepware Technologies、 MatrikonOPC、Mobform Software Inc.、MSIndustrie Software GmbH、Murata

Machine Ltd.、Oberon microsystems AG、OPC Labs、OPC R US、Progea SRL、

Prosys PMS Ltd.、SAE Automation s r o.、SAP AG、Siemens AG、Softing Industrial Automation GmbH、Software toolbox Inc.、TerxaSoft GmbH、Unified Automation GmbH、Wapice Ltd.

Interoperability Work Shop合格製品：５４製品

Embedded UA製品：6製品（4社）

FDIの新会社が設立された。

（２０１１年９月２７日ドイツにて）

統合化オートメーション機器管理技術の ための新会社（

FDI Cooperation, LLC）

が設立されました。

FDTグループ、フィールドバス協会、HART協会、プロフィバス協会、OPC協議会は、

統合化されたオートメーション機器管理ソリューション（

FDI）を管理する組織を確立

するために、新会社を設立しました。

http://www.automationworld.com/news-9428

FDI Cooperation, LLCは、FDIソリューションの展開を 加速するために_{EDDL Cooperation Team（ECT）の} 活動を母体として設立されました。 ECTは、2007年のハノーバー・フェアで結成されそれ以来、 プロジェクトは、統合されたFDIソリューションのために、 技術の方向性を慎重に形成してきました。 FDIは、最も先進的な機器から簡単な機器にまで対する 統一されたソリューションであり、機器設定、コミッショニング、 診断、校正などライフサイクルのすべての局面における さまざまな作業のためのものです。

FDI Cooperation, LLCのメンバーには、FDTグループ、フィールドバス協会、HART協会、プロフィバス協会、 OPC協議会のオートメーション主要5団体が含まれます。

2009年10月に、ECTはFDIプロジェクトのスコープを、各通信プロトコル用EDDLの統合化とEDDL用共通 インタプリターを含むFDI設計ツールとFDI試験ツールの提供をするよう拡張しました。 拡張されたスコープの 実装は、ABB、エマソンプロセスマネージメント、エンドレスハウザー、ハネウェル、インベンシス、シーメンス、

2008/10/28

ユーザー意見交換会報告

１．OPC UA適用方法、適用先の明確化（具体的になにができるか） ① OPCへの期待 ２．現場とビジネスネットワークとの情報統合 ① 信頼性とセキュリティ ② IBM、SAP、OracleなどERPベンダーとの関係性 ③ フィールドバスとOPC UAの関係性 ④ OPC UAを用いた場合の制御系システムへの負荷 ３．FAシステムへの適用 ① 高速／大容量データ(ms以下）への適用 ② NC装置、ロボットなど標準機器の設定レス／データ連携／標準化 ③ システム間の情報交換性 ⇒ 仮想／現実間のブリッジ役 ④ 信頼性、セキュリティ ⇒ 大容量、WorldWideなデータを取り扱える事 ⑤ 接続、構成 ⇒ 迅速な機器接続、システム構成構築 ⑥ OPC UAスループット ４．スマートグリッドへの適用 ① エネルギー管理、サービス管理 ５．モデル化検討 ① 対象 ② 有効性、可用性 ③ 必要に応じた、用途に応じたデータへの対応

ユーザー意見交換会報告

2008/10/28

標準化と認証との関係

・制御システムセキュリティの国際標準IEC62443に基づいた認証試験の実施で効果を出していくだろう。 ・OPC UA（IEC62541）は、制御装置間、制御製品間の通信ﾌﾟﾛﾄｺﾙ、外部ｲﾝﾀｰﾌｪｰｽの通信ﾌﾟﾛﾄｺﾙとしてセキュリ ティレベル対応ができることから、有効な制御ｼｽﾃﾑｾｷｭﾘﾃｨ対策になる。

標準化

認証・評価

IEC62443-1

IEC62443-2

IEC62443-3

IEC62443-4

コンポーネント・デバイス 技術・システム 管理・運用・プロセス 概要・コンセプト

WIB

ISCI:ISASecure

Wurldtec Achilles

Wurldtec Achilles

製造組織要件 セキュリティ機能要件 受入テスト要件 メンテ／保守要件

IEC27001

情報システム系 ﾌｨｰﾙﾄﾞﾊﾞｽ

LIMS

PIMS

装置 DCS SCADA エンジニアリングツール 生産管理 _品質管理 設備管理 オフィスネットワーク 制御情報系ネットワーク 制御ネットワーク 制御ネットワーク 現在、ｺﾝﾎﾟｰﾈﾝﾄ・ﾃﾞﾊﾞｲｽの

OPC UA

通信ﾌﾟﾛﾄｺﾙ

外部インターフェース

（_{OPC Classicは、} 装置内部でのみ使用） DCSコントローラ

2008/10/28

OPC UAは、

プラント・オートメーション例

P B

トランスミッター （検出端） バルブ （操作端） 通信ユニット コントローラ （冗長化） I/Oスレーブ モジュール 設備保全用サーバ 品質管理用サーバ 安全計装用 制御コンフィギュレーション ツール用PC リモート計器室も可能

OPC-UA

OPC-UA

日本OPC協議会 38 ルータ 情報系管理 サーバ 情報系端末 製造系監視ｻｰﾊﾞ 配送 ｾﾝﾀｰ ｻｰﾊﾞ 原料包材 自動供給 システム サーバ 配送 ｾﾝﾀｰ 操作端末 包材倉庫 入荷受付 ＆ 入出操作 端末 原料倉庫 入荷受付 ＆ 入出操作 端末 計量器 計量作業端末 調合PLC 缶 PET 包装設備PLC 調合ｵﾍﾟｺﾝ 液体原料 入荷処理 端末 調合監視制御サーバ 品質分析端末 分析器 ﾕｰﾃｨﾘﾃｨ 設備PLC／GLC 包装作業 支援 サーバ ﾕｰﾃｨﾘﾃｨ ﾓﾆﾀﾘﾝｸﾞ ｻｰﾊﾞ 製造系端末 製造計画作成 ﾏｽﾀｰ変更 進捗管理 ｻｰﾊﾞ ｱﾗｰﾑ通知用 PHSﾒｯｾｰｼﾞｻｰﾊﾞ 保全用 マルチメディア・ｻｰﾊﾞ ｽｹｼﾞｭｰﾗ 本社、開発ｾﾝﾀｰ 保守ｾﾝﾀｰ、SCMなど 生産管理 記録サーバ 携帯電話

Batch

電力監視モニタ 環境監視モニタ 当直交代 ミーティング用サーバ

PA・FA混在プラントシステム構成設計例

Ethernet Ethernet Ethernet Ethernet OPC-UA OPC-UA OPC-UA OPC-UA OPC-UA OPC-UA OPC-UA OPC-UA

制御情報系

制御系

情報系

PA

FA

ﾕｰﾃｨﾘﾃｨ

アセンブリ生産での

制御システム例

嬢囑断朴 憠攮囎 投入調合加工管理システム 充填殺菌管理システム Ethernet パソコン 製造現場データ収集システム 原料受入払出管理システム 問い合わせ受付画面 製品個別情報画面 出荷情報画面 ﾄﾚｰｻﾋﾞﾘﾃｨ DB DB メリット ・原料不具合トレース ・原料コスト削減 ・事故防止 DB メリット ・投入ミス(時間、順番)防止 ・機械加工情報収集 ・熟練工情報収集 DB メリット ・機械加工情報収集 ・充填情報トレンド監視 ・生産進捗管理 出荷ロット管理システム メリット ・生産実績管理 ・製造ロット出荷管理 DB 作業工程管理 作業マニュアル メンテナンスマニュアル トレーサビリティ対応アプリケーションや 工場内管理マニュアルＷｅｂｻｰﾊﾞとの組み合わせ

Ｗｅｂｻｰﾋﾞｽ

レシピ管理 ロットごとの進捗状況、製造履歴、品質情報など、 必要な情報をあらゆる部門に瞬時に開示 OPC-UA