Defense in depth : 多層防御

総合的な階層化セキュリティストラテジー

セキュリティは HMS のコアコンピタンスとして、提供するソリューションのフレームワークのあらゆるレベルに取り入れられています。使いやすさを重視する一方で、HMS が変わらず最優先事項としているのは、eWON のクラウドインフラである Talk2M およびお客様のネットワークのセキュリティや整合性、信頼性です。HMS は ISO27002 や IEC 62443-2-4、NIST Cyber security Framework 1.0 で定められているガイドラインとその他の文献に基づいた多層防御アプローチ、指標、産業界のベストプラクティスを使用して、管理可能かつハイブリッドの階層型サイバーセキュリティを開発しました。

Defense in Depth - Security

eWON デバイス

ネットワークの分離、ローカルデバイスの認証、アクセスを有効/無効にするための物理的なスイッチ

eWON は一般的に、一方(LAN)は機械、もう一方(WAN)は工場のネットワークに接続した状態で機械の制御パネルに設置されます。接続の確立が必要なときは、eWON がすべてのトラフィックが通過するゲートウェイとして動作します。また、eWON に VPN アクセスが設定された時点で、デバイス上のセキュリティ設定によって 2 つのネットワークインターフェース間のトラフィックが制限されます。このようにネットワークが分離されるため、リモートアクセスは eWON の LAN に接続しているデバイスのみに限定され、ほかのネットワークへのアクセスは制限されます。

eWON には、Talk2M へのログインとは別のユーザーレベルのアクセス権があります。適切な認証情報とアクセス権を持つユーザーだけがセキュリティ設定の変更や eWON 上のデータの修正を行うことができます。すべてのデバイスにはデジタル入力が備わり、スイッチを接続することができます。そのスイッチの状態で WAN ポートの有効化または無効化の切り替えが可能です。この機能により、デバイスへのリモートアクセスを有効にするかどうかをエンドユーザーが現場で制御することができます。

eWON の設定は、同じネットワークに接続する PC と同様(IP アドレス、サブネットマスク、ゲートウェイ、任意のプロキシ設定)にする必要があります。eWON は DHCP クライアントとして動作できるため、それらの設定を自動的に受信するように設定することができます。また、IT 部門が割り当ておよび制御を行う静的 IP アドレスを使用するように eWON を設定することも可能です。

CD + Cosy + Flexy

ファイアウォール

IP、ポート、プロトコルによるフィルタリングやファイアウォールを実装。ユーザー、グループ、サイトに基づき、すべてまたは単独のデバイスへのアクセスを制限。

Talk2M アカウント管理者は、eWON に接続しているどのデバイスへのリモートアクセスを許可するのか、さらに、どのポートやプロトコルからのアクセスを可能とするのかというフィルタリングとファイアウォールのルールを eCatcher で設定することができます。Talk2M のユーザー権限の管理機能と組み合わせると、それぞれの組織構造に合ったリモートアクセス権限の定義が可能です。

Talk2M には、最も制限的でないルールから最もセキュアなルールまで 4 つ(Standard、High、Enforced、Ultra)のファイアウォール設定ルールがあります。

これら 4 つのファイアウォールのレベルは、指定されたデバイスの IP、ポート、ゲートウェイ、eWON サービス(FTP サーバー、HTTP サーバーなど)のアクセス権に基づいています。さらに、選択したユーザーグループにリクエストされた設定を適用することができます。

Zoom_Firewall_Cosy

トラフィック暗号化

VPN セッションは SSL/TLS プロトコルを使用したエンドツーエンド暗号化

リモートアクセスするユーザーと eWON の間の通信は、SSL/TLS プロトコルを使用した完全な暗号化により、データの信頼性、整合性、機密性が確立されています。すべてのユーザーと eWON 本体は x509 SSL 証明を使用して認証され、エンドツーエンドトラフィックは SSL/TLS プロトコル暗号スイートの一部である強力な対称アルゴリズムと非対称アルゴリズムを使用して暗号化されています。

Security - Encryption

ユーザーおよびアクセス管理

ユーザー個別のログイン情報、複数デバイスに対するユーザー権限の設定、2 段階認証、接続の追跡可能性

Talk2M アカウントのユーザー数には上限がありません。管理者は、機器へのリモートアクセスを必要とするすべてのユーザーに個別のログイン情報を作成することができます。ログイン情報を個別に作成できるため、アクセス権の付与と取り消しを必要に応じて簡単に行うことができます。Talk2M のアカウント管理者は、eWON にリモートアクセスできるユーザー、アクセス可能とする eWON のサービス、さらにはデバイスのポートや使用されている通信プロトコルさえも指定することができます。たとえば、デバイスの Web サービスに監視目的でアクセスすることをリモートユーザーに許可したり、特定のエンジニアだけにプログラミングの変更に使用するポートへのアクセスを許可することも可能です。

セキュリティ侵害は、その 76% がパスワードが弱いことや盗まれたことに起因することから、eCatcher には機器へのアクセス時のセキュリティを強固にするための堅牢な認証メカニズムが備わっています。また、パスワード入力の強制や(パスワードと携帯電話に送られる確認コードによる)2 段階認証を利用することができます。Talk2M Pro をご利用になると、セキュリティ設定の詳細オプション(次回からの自動ログインやパスワード失効ポリシー)を指定することも可能です。

リモート接続はすべて、Talk2M 接続レポートに記録されます。この Talk2M 接続レポートは、どのユーザーがいつ、どの eWON にどのくらいの時間接続したのかをアカウント管理者が監視することができる強力な IT 監査ツールです。

eCatcher - Powerful User Access Control

ネットワークインフラストラクチャー

グローバルレベルの冗長化を行う Tier 1 ホスティングパートナー、常時監視、SOC 1/SSAE 16/ISAE 3402 データセンター、ISO270001、CSA、SOC2

Talk2M インフラは、HMS のリモートアクセスソリューションと一体化している重要な要素です。分散型アクセスサーバーや VPN サーバー、そのほかのサービスから構成され、eWON とユーザーのための安全なスペースとして機能する完全な冗長ネットワークです。信頼性や冗長性を高め、待ち時間を短縮するため、eWON は世界中の複数の業界大手の Tier 1、2、3 のホスティングパートナーと連携し、クラス最高のサービスを確立しています。Talk2M のホスティングは、SOC 1、SOC 2/SSAE 16、ISO 27001:2013 の認可を受けたデータセンターで行われています。サーバーのネットワークは常時監視され、数々の警告メカニズムを使用して最大限の可用性とセキュリティを確立しています。

Talk2M - VPN Connection Cosy

ポリシー遵守

企業ごとの既存のセキュリティポリシーやファイヤーウォールルール、プロキシサーバーを強化するだけでなく、それらと共生できる eWON/Talk2M ソリューション

どの企業のセキュリティポリシーも、注意深く時間をかけて定められています。Talk2M リモートアクセスソリューションは、そのような既存のセキュリティポリシーにうまく対応できるように設計されています。eWON は一般に開かれたポート(443 と 1194)を通るアウトバウンドの接続を使用し、多くのプロキシサーバーに対応することで、ネットワーク上での干渉を最小限に抑え、既存のファイアウォールルールに従って動作するように設計されています。eCatcher では、社内のパスワードポリシーを順守させるため、Talk2M アカウント管理者がパスワードポリシーをカスタマイズしたり、ユーザーがリモートアクセスできるデバイスを限定することが可能です。Talk2M アカウント管理者は、どのユーザーがいつどのデバイスに接続したのかを確認できる Talk2M 接続レポートを表示することができます。このレポートは、社内で定められたリモートアクセスポリシーの順守を確実にするための重要なツールになります。 

eCatcher - audit

HMS のリモートソリューションが、これからのセキュリティを形成します

eWON リモートソリューションがビジネスをどのようにお手伝いできるのかをご紹介します。

 

HMS のソリューション

Cosy 131 + Flexy 205 + Netbiter