PakBus^® 暗号化 でデータを安全に保つ方法：パート3

このシリーズの 3 番目で最後のブログ記事では、自動監視プラットフォームを安全に保つために実行できる、より実践的な手順をいくつか紹介します。

• PakBus 暗号化に関する最初の記事を見逃した場合、またはもう一度確認したい場合は、How to Keep Your Data Safe with PakBus^® 暗号化を使用してデータを安全に保つ方法：パート1をお読みください。
• プログラムと通信リンクのセキュリティ保護に関する私の 2 番目の記事を読みたい場合は PakBus^® 暗号化を使用してデータを安全に保つ方法：パート2をお読みください。

メールでデータを安全に送信する

データロガーが電子メールでデータを送信する場合は、常に TLS 暗号化接続を使用してください。

安全な電子メールの設定方法

1. 自動監視プラットフォームが EmailSend() 命令をサポートしており、一般的な SMTP サーバー (企業のメール サーバーなど) を使用する場合は、それに応じて CRBasic を設定できます。
   

   Result = EmailSend("smtp.server.com:587", "recipient@domain.com", "from@domain.com",
   "Subject", "Message body", "", "username", "password", ServerResponse)Choose port 587 or 465 if your SMTP server supports STARTTLS or SSL.

1. SMTP サーバーが STARTTLS または SSL をサポートしている場合は、ポート 587 または 465 を選択します。
2. 可能な場合は、SMTPにTLS/SSL暗号化を使用してください。メールサーバーのポリシーで許可されている場合は、暗号化されていないポート25の使用は避けてください。
3. 送信をテストし、受信を確認し、ヘッダーをチェックして暗号化を確認します。
4. ServerResponse 変数またはデータロガーのステータス テーブルを監視して、成功/失敗を確認します。
2. あるいは、Campbell Scientific が管理するリレー サービスにメッセージを投稿する EmailRelay() 命令を使用することをお勧めします。
   

   Result = EmailRelay("recipient@domain.com", "Subject", "Message body", ServerResponse)

   この方法はSMTPの複雑さを軽減し、配信の問題を回避します。ただし、指示内で独自のSMTPサーバー、ポート、ユーザー名などを直接指定することはできません。

3. どちらの方法でも、次のようになります。:
   1. メインスキャンがブロックされないように、低速のシーケンス (例: SlowSequence) でテストします。
   2. 送信する前に、適切な DNS 解決とネットワーク接続を確認してください。
4. 中間リレーを使用している場合 (例: 独自のネットワークで LoggerNet サーバーまたはその他の SMTP リレーを使用している場合):
   
   1. リレーの SMTP 設定を TLS/SSL と強力な認証を要求するように構成します。
   2. 展開前にチェーン全体 (データロガー → リレー → 宛先) をテストします。

注:電子メールの手順、サポートされているポート、暗号化設定、配信制限などの違いについては、特定の自動監視プラットフォーム モデルのマニュアルを参照してください (例: EmailRelay() には、1 日あたり 100 件のメッセージと 1 メッセージあたり 1 MB の制限があります)。

産業用プロトコルを安全に保つ

産業用通信プロトコル (Modbus、DNP3 など) を使用する場合:

• 信頼できる、またはセキュリティで保護されたネットワーク インフラストラクチャ上で動作します。
• トラフィックを安全に保つには、VPN またはプライベート ネットワーク リンクを使用します。

産業/制御トラフィックのセキュリティを確保する方法

• 信頼できるネットワーク上で動作します。
  
  • 可能であれば、自動監視プラットフォーム（およびそれらが通信するネットワーク）を専用のネットワーク セグメント（VLAN など）に配置して、データ ロガーとセンサーのトラフィックが一般的な IT トラフィックから分離されるようにします。
  • スイッチ/ルーター/ファイアウォール レベルでネットワーク セグメンテーションを使用して、データ ロガー サービスおよび産業用プロトコル トラフィックへのアクセスを制限します。
  • セグメント化やアクセス制御を行わずに、広範な汎用ネットワーク上で制御/自動化トラフィックを実行することは避けてください。
• リモート アクセスには VPN を使用します。
  
  • リモートサイトの場合は、サイト間VPNを使用して、リモートデータロガーのサブネットを中央監視サイトに接続します。これはネットワーク/ルーターレベル（例：IPsec）で設定します。
  • 個々の技術者のアクセスには、安全な認証（理想的には証明書または二要素認証）を経た上でのみアクセスを許可するクライアントVPNを必須とします。このようなVPNアクセスは、明示的に信頼されたIPアドレス範囲とデータロガーのサブネットに制限します。
  • 露出を減らすために、VPN 構成が企業ネットワーク全体ではなく、必要なデータロガー/SCADA サブネットのみをルーティングすることを確認します。
• プライベート ネットワーク リンクを使用します。
  
  • リモート データ ロガーにセルラー リンクまたはその他のテレメトリ リンクを使用する場合は、完全なパブリック インターネット接続ではなく、プライベート APN またはプライベート ネットワーク構成を使用します。
  • 隔離されたサイトやリスクの高いサイトでは、システムをインターネットに広く公開するのではなく、専用の無線リンクやその他の隔離されたテレメトリの使用を検討してください。
  • 自動監視プラットフォーム ネットワークへのパブリック インターネットからの直接アクセスを最小限に抑え、階層化制御 (ファイアウォール、VPN、セグメンテーション) を使用します。
• プロトコル固有のセキュリティ上の考慮事項に注意してください。
  
  • データ ロガーがオートメーション/産業用プロトコル (イーサネットやシリアル ゲートウェイ経由など) と通信する場合は、プロトコルがサポートしている場合は認証、暗号化、および役割の分離を有効にします。
  • 監視のみのアプリケーションの場合は、読み取り専用または制限付き書き込みアクセスを使用し、認証された制御システムに対してのみ完全な制御または書き込み機能を予約します。
  • データロガーの内部通信（TCP/IP、PakBus/TCPなど）がデータロガーの設定で保護されていることを確認してください。PakBus暗号化を使用し、セキュリティコードを設定し、使用しないサービスを無効にしてください（例：「UIDロガーではPakBus暗号化キーがデフォルトで有効になっています。」）。

結論

この3部構成のシリーズでご紹介した情報がお役に立てば幸いです。念のためお伝えしますが、単一の対策ですべてのセキュリティリスクを排除することはできません。しかし、物理的な保護から暗号化通信まで、複数の安全対策を組み合わせることで、多層防御を構築し、システムの耐障害性を大幅に向上させることができます。Campbell Scientificの自動監視プラットフォームをセキュリティ保護することで、データの保護だけでなく、監視ネットワーク全体の強化にもつながります。

設定にサポートが必要ですか？ 弊社のアプリケーションエンジニアまたはセールスエンジニアまでお気軽にお問い合わせください。喜んでお手伝いさせていただきます。