PakBus^® 暗号化 でデータを安全に保つ方法：パート2

このシリーズの2回目のブログ記事では、自動監視プラットフォームのセキュリティを維持するための実践的な追加手順をご紹介します。PakBus暗号化に関する最初の記事をまだ読んでいない方、またはもう一度読み返したい方は、 PakBus^® 暗号化でデータを安全に保つ方法：パート1をご覧ください。

プログラムと接続を保護する

すべてのアクセスポイントが重要です。システムを保護するには、次の手順に従ってください。

• ポート、端末アクセス、Telnet、PakBus、FTP、HTTP など、使用されていないすべてのインターフェイスをロックダウンします。
• 不正な変更を防ぐために、データロガー プログラムを暗号化または保護します。

ターミナルメニューをロックダウンする

ターミナル メニューではシステムの深い部分までアクセスできるため、次の手順を実行してロックダウンします。

1. 3 つのセキュリティ コードをすべて設定します (前の記事を参照)。
2. PakBus セキュリティを有効にします。
   
   1. 自動監視プラットフォーム上のPakBus暗号化キーを設定または変更するには、Device Configuration Utility（DevConfig）を使用します。UIDを持つモデルでは、暗号化が既に有効になっている場合があります。その場合、デフォルトのキーはUIDです。
   2. 通信ソフトウェア (LoggerNet など) で同じキーが設定されていることを確認します。
   3. （オプション）サポートされているモデル／ファームウェアバージョンでは、プログラムでキーを指定するか、CRBasicの命令または設定を使用してキーを指定できます。モデルのマニュアルをご確認ください。
   4. 暗号化を有効にすると、CRBasic の EncryptExempt() によって明示的に免除されない限り、暗号化されていない PakBus コマンドは拒否されます。
3. Telnet アクセスを無効にするか、厳しく制御します。

Telnetアクセスを制御する

チェックされていない Telnet は脆弱性を露呈させる可能性があります。

• 必要ない場合は Telnet を無効にします。
• 必要に応じて、信頼できるネットワークからのアクセスのみを許可します。
• 3 段階のセキュリティ保護を適用します。

Telnetを無効にする方法

1. DevConfig を開き、自動監視プラットフォームに接続します。
2. 構成ツールで、「Deployment」→「Network Services」(または同等のもの) に移動します。
3. Telnet のサービス (「Telnet 有効」というラベルが付いている場合があります) を見つけて、チェックを外す (無効にする) します。
4. 更新された設定をデータロガーに送信するには、[Apply] (または [Save/Send]) をクリックします。

Telnetが必要な場合

1. IP アドレスをフィルタリングして Telnet アクセスを制限します。
   
   1. DevConfig（またはネットワーク設定）で、IP フィルタリング セクション（たとえば、「IP Broadcast Filtered」または「IP Filter」）を見つけて、信頼できる IP アドレスまたはアドレス範囲（たとえば、192.168.1.0/24）のみを許可するように構成するか、データ ロガー外部のネットワーク ファイアウォール ルールを使用します。
   2. 設定を適用してデータロガーに送信します。
2. 通信 (Telnet を含む) が資格情報チェックの対象となるように、データ ロガーで 3 レベルのセキュリティ コードが設定されていることを確認します。
3. サポートされている場合は、Telnetではなく、より安全なリモートシェルプロトコル（SSHなど）の使用を検討してください。サポートについては、データロガーのOSドキュメントをご確認ください。

セキュアなBMPおよびPakBus/TCP接続

TCP/IP 経由で BMP または PakBus を使用する場合:

1. 利用可能なすべての PakBus 関連のセキュリティ機能を有効にします (上記のとおり)。
2. 信頼できるホストへの IP アクセスを制限します。
   1. DevConfig または設定エディターを使用して、[Network Services]/[Trusted Hosts]/[IP Filtering] セクションに移動します。(正確なメニュー ラベルは、自動監視プラットフォームのモデルによって異なります。)
   2. 可能な場合は、指定されたアドレス (または同等のアドレス) のみを許可するオプションを選択します。
   3. 信頼できるシステム（LoggerNetサーバー、承認済みアクセスポイントなど）のIPアドレスまたはIP範囲を追加します。ワイルドカードのサポート状況や制限事項にご注意ください。（モデルによっては、入力可能なエントリ数が制限されている場合があります。）
   4. 更新された構成を適用し、データロガーに送信します。
   5. セキュリティを強化するには、未指定/不明な IP アドレスがブロックまたはフィルタリングされていることを確認してください (データ ロガーの設定または外部ネットワーク/ファイアウォール ルール経由)。
3. PakBus/TCP ルーター モードの場合:
   
   1. データロガーがPakBus/TCPルーターとして機能している場合（またはクラウドベースの Konect PB Routerを使用するなど、PakBus/TCPクライアント構成を介して接続されている)は、ネットワーク制限を適用します。
      1. 外部ファイアウォールまたはネットワーク ゲートウェイ ルールを使用して、PakBus/TCP 通信ポートへのアクセスを制限します。
      2. ネットワークで許可されている場合は、使用する TCP ポートを制限して、必要なポートのみが開かれるようにします。
   2. 許可されたセッションのみが成功するように、データロガーの内部セキュリティ設定 (セキュリティ コード、PakBus アドレス、暗号化キー) が正しく構成されていることを確認します。
   3. 機能やメニュー名は異なる場合があるため、サポートされているフィルタリングおよびルーティング オプションについては、必ず特定のデータ ロガーのマニュアルを参照してください。

FTP転送を安全にする

FTPを誤って管理すると、よくあるリスクが発生します。これらのリスクを軽減するには、以下の対策を講じてください。

• 必要ない場合は FTP を無効にします。
• 有効にした場合は、安全な内部ネットワークに制限します。
• 常にユーザー名とパスワードを要求します。
• 暗号化された転送には FTPS (セキュア FTP) を使用します。

FTPを無効にする方法

1. 自動監視プラットフォーム用の DevConfig または同等の設定ツールを開きます。
2. ネットワーク サービスが構成されているタブに移動します (多くの場合、[Deployment] → [Network Services])。
3. FTP サービス (ま​​たは「FTP Server」オプション) を見つけて、チェックを外すか無効にします。
4. 更新された設定を自動監視プラットフォームに適用します。

FTPが必要な場合

注意:必要がない限り、これは推奨されません。

1. 認証を有効にし、アクセスを制限します。
   1. DevConfig で、FTP 設定セクション (存在する場合) を見つけて、認証を有効にします (ログイン資格情報が必要になるように)。
   2. 設定を適用します。
2. ユーザー アカウントを作成および管理します。
   1. お使いのモデルがFTPアクセス用のユーザーアカウントをサポートしている場合は、各アカウントに強力なユーザー名とパスワードを定義してください。 注：お使いのモデルのマニュアルを参照してください。
3. 信頼できるネットワークへのアクセスを制限します。
   
   1. DevConfig またはネットワーク設定で、信頼できるネットワークからの FTP アクセスのみが許可されるように、IP アドレス フィルタリング/ファイアウォール ルールを構成します。
   2. FTP サービスをパブリック インターネットに直接公開することは避けてください。
4. 通常の FTP の代わりに、安全な代替手段 (FTPS/SFTP) を使用します。
   1. 自動監視プラットフォームのモデルと OS バージョンでサポートされている場合は、FTPS (FTP over TLS) または SFTP (SSH ベース) を使用してアップロード/転送を構成します。
   2. 可能であれば、プレーンFTPを無効にするか、使用を避けてください。互換性のあるクライアント（FileZillaやWinSCPなど）を使用し、証明書またはキーベースの認証が適切に設定されていることを確認してください。
   3. 設定を適用してテストします。

WebおよびHTTPアクセスを保護する

デバイスが Web サービスを提供している場合:

• 必要でない限り、HTTP サーバーをオフにします。
• 信頼できる IP 範囲へのアクセスを制限します。
• .csipasswd を使用してアカウントを管理します。
• 暗号化された Web トラフィックには HTTPS を使用します。

HTTPサーバーを無効にする方法

1. 自動監視プラットフォームの DevConfig または設定エディターを開きます。
2. モデルに応じて、ネットワーク/Web サーバー設定 (たとえば、[ Settings] → [General] または [Network Services/Deployment] → [Web Serve]) に移動します。
3. HTTP Enabled (または同等の設定) を見つけて、0/Disabled に設定します (または、UI でその表現が使用されている場合は、Enable HTTP Server のチェックを外します)。
4. 設定をデータロガーに適用します。

Webアクセスが必要な場合

1. IP アクセスを制限します。
   1. IP フィルタリングまたはファイアウォール ルールを使用して、信頼できる IP 範囲 (内部ネットワーク) からの Web アクセスのみを許可し、パブリック インターネット アクセスをブロックします。
2. ユーザー アカウントを構成します。
   1. DevConfig（またはWebサーバー設定のアカウントマネージャーセクション）で、ユーザーアカウント、パスワード、アクセスレベルを定義します。自動監視プラットフォームは、HTTP/Web APIユーザー認証情報として.csipasswdファイルをサポートしています。
   2. 強力な資格情報を作成します (例: webadmin: AdminPass789、viewer: ReadOnlyPass321)。
   3. 変更をデータロガーに適用します。
3. HTTPS (セキュア Web サーバー) を有効にします。
   1. お使いのモデルがHTTPSをサポートしている場合は、「HTTPS Enabled」（または同様の設定）を見つけて有効にしてください。HTTPSPortの設定がある場合もあります。
   2. ファームウェア/モデルで必要な場合は、暗号化されたトラフィック用に SSL 証明書を構成またはロードします。
   3. プレーンHTTPサービスを無効にするか、使用を避けてください。HTTP Enabledを0に設定してください。
   4. https://[logger-IP-address]:[port] を使用して Web インターフェイスにアクセスします。
4. デフォルトのポートを変更します。(この手順はオプションですが、推奨されます。)
   1. セキュリティを強化するには、デフォルトの HTTP/HTTPS ポートを 80/443 から非標準ポート (モデルで許可されている場合) に変更することを検討してください。
   2. 承認されたユーザーのポートの変更を文書化し、それに応じてファイアウォール ルールを更新します。

注：メニュー名、機能、および可用性は、自動監視プラットフォームのモデルとファームウェアのバージョンによって異なる場合があります。必ずお使いのモデルのマニュアルを参照してください。

結論

この情報がお役に立てば幸いです。単一の対策ですべてのセキュリティリスクを排除することはできませんが、物理的な保護から暗号化された通信まで、複数の安全対策を組み合わせることで、多層防御を構築し、システムの耐障害性を大幅に向上させることができます。Campbell Scientificの自動監視プラットフォームを保護することで、データの保護だけでなく、監視ネットワーク全体の強化にもつながります。

詳細については、このシリーズの次のブログ記事をご覧ください。

設定に関してサポートが必要ですか？ 弊社の アプリケーションエンジニア または セールスエンジニアまでお気軽にお問い合わせください。喜んでお手伝いさせていただきます。