OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理...
Transcript of OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理...
![Page 1: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/1.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
日本OPC協議会技術部会
![Page 2: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/2.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
OPC UAセキュリティの目的
脅威と対策の具体例
セキュリティ要件
OPC UAの対象外
まとめ
証明書の運用方法
![Page 3: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/3.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
OPC UAセキュリティの目的
脅威と対策の具体例
セキュリティ要件
OPC UAの対象外
まとめ
証明書の運用方法
![Page 4: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/4.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
source: www.ascolab.com
![Page 5: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/5.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
産業オートメーションのエンタープライズネットワークへの統合
工業インフラへの攻撃の的
リモートアクセス
クラウド
OPC UA
- 設計によって安全 -
![Page 6: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/6.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
OPC UAセキュリティの目的
脅威と対策の具体例
セキュリティ要件
OPC UAの対象外
まとめ
証明書の運用方法
![Page 7: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/7.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
メッセージの盗聴
メッセージの内容を読み取られない。
値の読み取り: 変数 Y の値が75 OPC UA
情報と機能
メッセージの暗号化で、盗聴防止
![Page 8: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/8.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
メッセージの改ざん メッセージの内容を書き変えられない。
OPC UA
情報と機能
変数 X に値 10 を書き込む
変数 Xで 値 999を読み込む
値999
値10
デジタル署名で改ざん防止
![Page 9: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/9.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
システム稼働率を低下させるメッセージ攻撃攻撃によって使用されるリソースの最小化。
認証前の処理の最小化と処理数の制限により負荷を軽減
UAサーバUA クライアント
![Page 10: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/10.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
不正なアプリケーションからの接続
→アプリケーションの認証と認可
ソフトウエア証明書
アプリケーションインスタンス証明書
OPC UA
情報と機能(例. read, write)
![Page 11: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/11.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
権限のないユーザの接続
→ ユーザの認証と認可
OPC UA
情報と機能(例. read, write)
1. ユーザ認証(例 ユーザ名とパスワード)
2. 特定の操作と情報のための認可(例値の書き込み)
![Page 12: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/12.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
システムが安全に動作していることを証明したい。
重要な操作をログで追跡できる。太郎によって値が1から2に書き変えられた
監査ログ
太郎によって値が1から2に書き変えられた
太郎によって値が1から2に書き変えられた
重要な更新を誰が行ったか追跡
ネットワーク トラフィック
![Page 13: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/13.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
OPC UAセキュリティの目的
脅威と対策の具体例
セキュリティ要件
OPC UAの対象外
まとめ
証明書の運用方法
![Page 14: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/14.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
機密性 メッセージの暗号化
完全性 デジタル署名
可用性認証前の処理を最小化
防御は主にサイトに依存
例:
• メッセージ長を制限する。• セキュリティ関連のエラーコードを返さない。
I
情報セキュリティ
Availability
![Page 15: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/15.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
ユーザの認証◦ ユーザ名/パスワード, WS-Security トークン または X.509 証明書
◦ Active Directoryのような既存の基盤
アプリケーションの認証◦ アプリケーションインスタンス証明書
◦ 認証局
認可◦ 認可のやり方はサーバ実装依存
◦ アドレス空間におけるきめ細やかな情報のアクセス制御
AccessLevel と UserAccessLevel –値と履歴の読み書き
WriteMask と UserWriteMask – メタデータの書き込み
Executable と UserExecutable – メソッドの呼び出し
アクセスできない情報はクライアントから見えない (リファレンス、イベントなど)
監査◦ セキュリティ関連の操作の監査イベントの生成
情報セキュリティ
Auditability
![Page 16: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/16.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
OPC UAセキュリティの目的
脅威と対策の具体例
セキュリティ要件
OPC UAの対象外
まとめ
証明書の運用方法
![Page 17: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/17.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
ユーザ管理◦ ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は非標準。◦ ユーザの役割は非標準>これはサーバ独自またはコンパニオンスペックで定義
ユーザ権限の管理◦ アクセス権限の定義のやり方は非標準 >これはサーバ独自またはコンパニオンスペックで定義
ユーザ認証の管理◦ 生体認証のようなメカニズムは規定していないが、OPC UAのインフラストラクチャーでは利用できる。◦ パスワードのために規約はない
文字の規約(最小文字数、大文字、数字、特殊文字など)
パスワードの有効期間 パスワードの保管方法
組織的な課題◦ サイトに物理的なアクセス処理の仕方◦ ゾーン、セキュリティライフサイクルまたはセキュリティポリシー◦ 人材の育成
以上のことは次のスペックで説明されている◦ IEC 62443 (ISA 99)◦ NERC CIP◦ Regulations and Corporate Standards
![Page 18: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/18.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
OPC UAセキュリティの目的
脅威と対策の具体例
セキュリティ要件
OPC UAの対象外
まとめ
証明書の運用方法
![Page 19: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/19.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
資産ごとに適切なセキュリティ・コントロールの選択◦ 作業者の権限レベル
異なるレイヤーで、OPC UAセキュリティポリシーを選択◦ Basic256Sha256
◦ Basic128Rsa15
◦ Basic256
◦ None
OPC UAセキュリティモードを選択◦ SignAndEncrypt
◦ Sign
◦ None
OPC UAの統一的な監査履歴 OPC UAセキュリティのための特別な実装は不要。
![Page 20: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/20.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
OPC UAセキュリティの目的
脅威と対策の具体例
セキュリティ要件
OPC UAの対象外
まとめ
証明書の運用方法
![Page 21: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/21.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
PC 2: MyClient
OPC UA Client
Server Connection List
PC 1: MyServer
OPC UA Server
opc.tcp://MyServer:48001
• Basic128Rsa15• SignAndEncrypt• Username
opc.tcp://MyServer:48001
• Basic256• SignAndEncrypt• Username/Certificate
GetEndpoints
エンドポイントを取得するためのUA呼び出し
![Page 22: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/22.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
PC 2: MyClient
OPC UA Client
Server Connection List
PC 1: MyServer
OPC UA Server
opc.tcp://MyServer:48001
• Basic128Rsa15• SignAndEncrypt• Username
opc.tcp://MyServer:48001
• Basic256• SignAndEncrypt• Username/Certificate
クライアントにおける証明書の許可
![Page 23: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/23.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
PC 2: MyClient
OPC UA Client
Server Connection Listopc.tcp://MyServer:48001•Basic256•SignAndEncrypt•Username
PC 1: MyServer
OPC UA Server
opc.tcp://MyServer:48001
• Basic128Rsa15• SignAndEncrypt• Username
opc.tcp://MyServer:48001
• Basic256• SignAndEncrypt• Username/Certificate
クライアント設定完了
![Page 24: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/24.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
PC 2: MyClient
OPC UA Client
Server Connection Listopc.tcp://MyServer:48001•Basic256•SignAndEncrypt•Username
PC 1: MyServer
OPC UA Server
opc.tcp://MyServer:48001
• Basic128Rsa15• SignAndEncrypt• Username
opc.tcp://MyServer:48001
• Basic256• SignAndEncrypt• Username/Certificate
クライアントからの接続を拒否
CreateSecureChannel
![Page 25: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/25.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
PC 2: MyClient
OPC UA Client
Server Connection Listopc.tcp://MyServer:48001•Basic256•SignAndEncrypt•Username
PC 1: MyServer
OPC UA Server
opc.tcp://MyServer:48001
• Basic128Rsa15• SignAndEncrypt• Username
opc.tcp://MyServer:48001
• Basic256• SignAndEncrypt• Username/Certificate
サーバにおける証明書の信頼
![Page 26: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/26.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
PC 2: MyClient
OPC UA Client
Server Connection Listopc.tcp://MyServer:48001•Basic256•SignAndEncrypt•Username
PC 1: MyServer
OPC UA Server
opc.tcp://MyServer:48001
• Basic128Rsa15• SignAndEncrypt• Username
opc.tcp://MyServer:48001
• Basic256• SignAndEncrypt• Username/Certificate
安全な接続
Create Session
CreateSecureChannel
ActivateSession
User
PW
![Page 27: OPC協議会技術部会...Copyright © 2016, OPC Council Japan, All Rights Reserved ユーザ管理 ユーザの追加、削除、役割への配置のようなユーザ管理のやり方は](https://reader033.fdocuments.mx/reader033/viewer/2022051903/5ff351fb0d04ed26f568b4db/html5/thumbnails/27.jpg)
Copyright © 2016, OPC Council Japan, All Rights Reserved
日本OPC協議会URL: https://jp.opcfoundation.org