現場PCの資産管理の
自動化とセキュリティ
対策
IoTおよびデジタル化の浸透により、工場内に置かれる産業用PC機器が加速度的に増えています。且つ、それらの産業用PCにインストールされたソフトウェアを安全な状態に維持するためのレビジョン管理の工数も増加の一途をたどっています。
ケーススタディ 4
資産管理
現場PCの資産管理の
JP1/ITDM2の活用
ネットワーク経由で工場内の産業用PCの資産管理を一括して行い、管理のための作業工数を削減します。加えて、各PCの状態を把握することでインストールされているソフトのレビジョン確認およびセキュリティパッチの適用状態の確認が容易に行えることから、セキュアな工場の環境を維持する事ができます。
資産管理ソリューション
導入の目的
- 工場内の複数の産業用PCの把握と管理、棚卸の手間を削減(棚卸の自動化)
- 現場PCにインストールされたソフトウェアのレビジョン管理(ライセンス管理)
- 許可されていないUSBメモリやPCの接続を禁止(セキュリティ対策)
一元管理されたPC,
セキュリティが
確保されたPC
管理イメージ
管理対象の機器にはJP1/ITDM2のエージェントのインストールが必要です。エージェントは以下のOSをサポートしています。
| Windows | Windows Server 2008 R2 Standard/Enterprise/Datacenter Windows 7 Home Premium/Professional/Enterprise/Ultimate Windows Server 2012 Standard/Datacenter Windows 8/Pro/Enterprise Windows Server 2012 R2 Standard/Datacenter Windows 8.1/Pro/Enterprise Windows 10 Pro/Pro for Workstations/Enterprise* Windows Server 2016 Standard/Datacenter Windows Server 2019 Standard/Datacenter |
|---|---|
| Linux | Red Hat Enterprise Linux Server 5/6/7/8 CentOS 6/7/8 Oracle Linux 6/7/8 |
| UNIX | AIX V6.1/V7.1/V7.2 HP-UX 11i V3 (IPF) Oracle Solaris 10 (SPARC)/11 (SPARC) |
| MacOS | OS X 10.10/10.11 macOS 10.12/10.13/10.14 |
* 産業用PCに搭載されている Windows10 IoT 2016,2019も含まれます。
セキュリティ規格
IEC 62443の要求事項
実現に貢献
制御システムの汎用セキュリティ規格として注目されているIEC62443 *1 では、機器(62443-4)だけでなく、システム(62443-3)、運用保守(62443-2)も対象となっています。JP1/ITDM2は62443-2の範疇である現場資産の脆弱性アセスメントをサポートします。
- ネットワーク接続していない機器も台帳管理でき、資産の脆弱性を継続的に一元管理できます。(手動によるインベントリ情報取得)
- エージェントがインストールできない機器に対しても、エージェントレス資産管理ソフト *2 を追加、連携させることで機器のネットワーク接続状態 *3 の確認や、未知の機器接続検出が可能です。
*1. IEC62443はEUのセキュリティ統一規格として提案されています。
*2. 今後拡張サービス提供予定です。
*3. IPネットワーク接続機器が対象です。非IP通信機器は接続検知対象外です。
| 制御システム | |||
|---|---|---|---|
| 組織 | ISO 31000(リスクマネジメント)、ISO 22320(危機管理)、ISO 22301(事業継続) |
||
| システム | NIST SP 800-82 |
IEC 62443 |
|
| 装置 | ISA Secure、SSA・EDSA |
||
| 要素技術 | ISO/IEC 29192(軽量暗号) |
||
導入事例:製造業
| 要件 | お客さまの課題 | 導入メリット |
|---|---|---|
| 配布 | 業務ソフトウェアを導入・更新する度に、PCに対し、手作業で配布することが大変だった。利用者ごとに業務ソフトウェアのバージョンが異なる場合があり、PCトラブル時にヘルプデスク対応が長時間となる。 | リモートインストール(配布)できるようになったため、社内全ての必須ソフトウェアの導入やバージョンの統一が可能となり、トラブルの発生低減に繋がった。 |
| ライセンス管理 | PCにインストールされているソフトウェアを正確に把握できておらず、利用状況の調査に時間がかかっていた。 ソフトウェアメーカーからのライセンス調査依頼に対して、迅速に対応できなかった。 |
インストールしているソフトウェアの情報を自動収集して集計できるため、ライセンス利用実態の調査結果資料が容易に作成できるようになった。 |
| 操作ログの取得 | 情報漏えい対策として、PCの利用者によるファイル操作などの記録を取得したいが、できていなかった。 | PCの利用者によるファイル操作ログを取得し、外部媒体へのコピーなど情報漏えいにつながる恐れのある操作を把握できるようになった。 |
| USBメモリーの使用抑止 | USBデバイスの利用が恒常化しており、情報漏えい事故が懸念されていた。 | 特定のUSBデバイスのみ利用できるように制限することができた。これにより情報漏えい対策が強化できた。 |
| 機器管理 | 全社(複数拠点)のPCの管理が煩雑になっており、トラブルが発生した時の状況確認や原因の特定に時間がかかっている。 トラブル対応にかかるコストが深刻な問題となっていた。 |
PCトラブル時の発生前後の変更を変更履歴で確認できるため、トラブル対応時の調査が効率化し時間短縮とコスト削減を実現できた。 |
| 利用者情報の収集 | PCの利用者が把握できておらず、棚卸し作業の効率が悪かった。PCの利用者情報は、人事異動などの度に変更され、最新の情報を保持することが困難だった。 | PCと利用者を関連付ける情報の入力をPCの利用者自身で行えるため、正確な 情報を維持しやすくなり棚卸作業を効率的に行えるようになった。 |
| ヘルプデスク (リモート操作) |
海外拠点にあるPCが不調の場合、ヘルプデスクは電話でのみの対応となるため、状況を把握し解決するまでに時間がかかる。 | 離れた場所の不調のPCの画面を管理者が直接見ながら対応できるため、解決までの対応時間を短縮できた。 |
