Microsoft PowerPoint - 3_PI System最新セキュリティについて

Presented by

PI System

最新セキュリティについて

Customer Support Engineer

Mitsuaki Hayakawa

項目

• PI Systemのセキュリティモデル

• セキュリティモデルの移行

• 移行作業テストケース

PI Systemの

PI Systemで実現するセキュリティモデル

• Server製品群でセキュリティモデルに違いがあります

PI Data Archive

PI Data Archive

PI AF

PI AF

PI Coresight (Web)

PI Coresight (Web)

三種類の認証システムを

組み合わせ

PI Data Archive

デフォルト ユーザー デフォルト ユーザー PI System独自 の認証システム

Trust

Trust

IPアドレス・ホスト 名に対して認証 を設定 Windows 認証 Windows 認証 Windowsの認証 システム

AF Server

AF Server

データベース

データベース

アセット

アセット

PI AF

Windows認証を使用した

ユーザー

Mapping

各レイヤーでセキュリティ設定

IIS

アクセス権設定

PI AF

アクセス権

設定

PI Data

Archive

アクセス権

設定

PI Coresight (Web)

IISによる認証と

PI Data Archive、PI AF

それぞれのアクセス認証

従来型セキュリティ設定の問題点

IISのアクセス権限 チェック （PI Coresight） エレメントのアクセス権限チェック （PI AF） PI Pointのアクセス権限チェック （PI Data Archive）

適切なアクセス権限

チェックができない

?

個別のセキュリティ

モデルでユーザー

認証を管理

それぞれに認証が

必要となり、認証を

引き継げない事も

Windows認証への移行

IISのアクセス権限 チェック （PI Coresight） エレメントのアクセス権限チェック （PI AF） PI Pointのアクセス権限チェック （PI Data Archive）

アクセス権限チェック

OK

Active Directoryで

ユーザー認証を

一括管理

一度、Active Directory

で認証すればすべての

Server製品でアクセス

権限のチェックが可能

IIS

AF

DA

Kerberos認証

チケット発行

Active Directory

Kerberos認証

（ダブルホップ可能）

NTLM認証

移行モデル

Before

企業ネットワーク

（

Active Directory環境）

制御ネットワーク

（

Workgroup環境）

ユーザー設定

デフォルトユーザーログオンで

データアクセス

移行モデル

After

企業ネットワーク

（

Active Directory環境）

Mapping

_{Windows認証でデータアクセス}

ユーザー設定

DMZにPI Serverを展開する場合

企業ネットワーク

（

Active Directory環境）

DMZ

Read Only Domain Controller

移行の流れ

設計

• Identities • 管理区分

設計

• Identities • 管理区分

AD登録

• PI Server • 新規 グループ

AD登録

• PI Server • 新規 グループ

設定変更

• Identities • Mapping • PI Point

設定変更

• Identities • Mapping • PI Point

動作確認

• データ参照 • セキュリティ レベル変更

動作確認

• データ参照 • セキュリティ レベル変更

移行の流れ

– 設計

PI

System

PI

System

Directory

Directory

Active

Active

PI System管理部門

情報システム管理部門

「追加・変更は全社 単位で影響が 発生する場合も」 「既存のグループ等 を活用するのか、 または新規に 作成するのか」 「影響範囲はPI Systemへアクセス している部署のみ」 「人事異動時の 変更ワークフロー 構築」

移行の流れ

– Active Directory登録

AD登録

• IPアドレス変更

• Active Directoryへの登録

外部NW

• DNSへの反映

• Interface間ファイアウォールへの設定変更

AP設定

• SQL Server

• 管理者アカウント

移行の流れ

– 設定変更

ID

• PI Data ArchiveへPI Identityの登録

• PI AFへIdentityの登録

Data

• PI Pointへのアクセス権設定

• PI AF Server、DB、エレメントへのアクセス権設定

AD

• ユーザー、グループ、OUの設定

※必要に応じて

Mapping

• PI Data ArchiveへMappingの設定

• PI AFへMappingの設定

移行の流れ

– 動作確認

接続

• About PI-SDK

• Network Manager Statistics

データ

• PI Pointの変更・データアクセス

• AF エレメントの変更・データアクセス

強靭化

• 全体セキュリティの強化

• 管理者アカウント

セキュリティセッション

- 最後に

• 「情報セキュリティ管理基準」策定

– 平成28年改正版

セキュリティガバナンス強化

セキュリティ対策のスケジュール作成からスタート！

セキュリティ対策のスケジュール作成からスタート！

PI Client バージョンアップ PI Client バージョンアップ PI Server ハードウェア更新 PI Server ハードウェア更新 ネットワーク環境 更新 ネットワーク環境 更新

OSIsoft Japan

PI Square(pisquare.osisoft.com)の紹介

PI SquareはOSIsoftの

オンラインコミュニティーです

日本語での質問も可能です

トレーニング、技術情報の記事があります

世界のお客様、パートナー及び弊社開発者

とのコミュニケーションが可能です！

パートナー からの質問： 弊社の開発 者の返事：

テクニカルサポートの紹介

遠藤

橋本

千葉

早川

竹崎

鈴木

栗山

玉根

チョ

ルフェーブル

渡辺

世界中のお客様を

24時間365日サポート

国内の状況

サポートユーザ数

約１５０社２３０サイト

問合せ件数

月に１１０件、年間で１３００件以上

テクニカルサポート（日本語対応）

２０１６年１１月

１１名

ユーザアンケートにおける評価

• テクニカルサポートにお問合せいただいたユーザ様に弊社か

らアンケートのお願いをお送りしております。

• 評価項目（１：全くそう思わない ～ ５：強くそう思う）

– 提供されたサポートに

満足

している

– テクニカルサポートへの問合せは

簡単

にできた

– テクニカルサポートエンジニアは、問合せの内容をきちんと

理解

してい

た

– テクニカルサポートエンジニアには、問合せに対応できるだけの十分な

テクニカルスキル

があった

– 問合せ対応の

スピード

は問題はなかった

– 提案された内容で、問題を

解決または回避

することができた

ユーザアンケートにおける評価

全体

問合せ

の容易さ

内容把

握

技術ス

キル

応答の

速さ

問題の

解決度

4.4

4.6

4.6

4.5

4.5

4.4

※アンケート母数 ２４４件