- 業種:製造業
- 従業員数:600~700名程度
- 導入製品:エンコーダー(LAN-HD264E)、デコーダー(LAN-UHD265D-1)
課題・要望 | ・SCADAを用いた遠隔監視システムを構築したい |
・SCADAはセキュリティの観点からオフラインで運用したい。 | |
解決策 | ・エンコーダー・デコーダーとVPNを用いた、セキュリティ強度の高い遠隔監視システムのご提案・構築。 |
結果 | ・拠点型VPNの採用により、将来的なメンテナンス面も含めて安全性の高い遠隔監視システムの構築を実現。 |
セキュリティを重視したSCADAの制御状況遠隔監視システム
ある製造業のお客さまでは、製造設備の監視制御システム(SCADA)の状態監視画面の遠隔監視システム構築をご検討されておりました。
このお客さまの工場では、セキュリティを重視しSCADAをオフラインで運用しておりましたが、遠隔監視を行うためには何らかの形でSCADAのデータを転送する必要があります。
本事例では、お客さまより「SCADAの画面をエンコーダー経由で伝送することで、工場のシステムはオフライン運用を維持しつつ遠隔監視を実現できないか」と当社にお問い合わせを頂きました。
そこで当社では、セキュリティを担保しつつ遠隔監視を実現する方法として、VPNルーターを使った2拠点間VPNによる映像伝送システムをご提案。
パソコンの映像を弊社の映像用エンコーダー(LAN-HD264E)で取り込み、それを拠点間VPNを利用したインターネット経由で本社の中央監視ルームで確認できるシステムを構築しました。
システムは以下の通りです。
本システムは以下の流れでSCADAの制御監視データを本社に転送しています。
- 拠点1(工場)の監視制御モニターの映像を映像用エンコーダー(LAN-HD264E)にてデジタル化。インターネット経由で拠点2へ伝送。
- インターネット上での伝送は、セキュリティを担保するためにVPNで暗号化を実施。
- 拠点2(本社)にて映像用デコーダー(LAN-UHD265D-1)にてデジタル化した映像をHDMIに再変換しモニターに表示。
当社がご提供するエンコーダー(LAN-HD264E、LAN-UHD265E)やデコーダー(LAN-UHD265D-1)はVPN環境でも問題無く使用できます。
具体的な設定や構築に関しては
弊社オンラインマニュアル
「エンコーダー、デコーダーオンラインマニュアル:よくある質問 VPN で使用できますか?」
に詳しく記載しておりますのでこちらをご参照ください。
参考:VPNとは
VPNとは「Virtual Private Network」の略であり、
- ①トンネリングによって外部からデータが見えなくする。
- ②トンネル内のデータも暗号化
といった2重のセキュリティ対策でインターネット経由でのデータ転送時にデータが外部に流出しないようにセキュリティを高める事ができます。
なお、VPNには大きく分けて「リモートアクセスVPN」と「拠点間VPN」の2つの種類があります。
リモートアクセスVPNとは
拠点外のどこから(自宅や外出先)でも拠点にアクセスできるVPNです。
リモートアクセスVPNに接続する為には認証をパスする必要があり、認証パスワードなどが流出しない限り安全に使用できます。
拠点間VPNとは
拠点と拠点をつなぐVPNです。たとえば、工場と本社間をVPNでつなぐケースなどに利用されます。
拠点間VPN方式を提案した理由
本事例では、拠点間VPNを採用しております。その理由は以下の2つです。
- 遠隔監視場所が固定されていたため
本事例の目的は、工場の制御監視データを本社の中央監視ルームにて閲覧することです。利用場所が限定されていることから、どこからでもアクセスできるリモートアクセスVPNは不要でした。
- リモートアクセスVPNに比べセキュリティリスクを抑える事ができるため
セキュリティリスクを抑えやすい点も拠点間VPNを採用した理由です。
リモートアクセスVPNを採用している企業が不正アクセスの被害にあってしまった、というニュースを耳にした方もいらっしゃるのではないでしょうか。このような不正アクセスはVPN機器のサポート切れやファームウェアアップデートを怠ったことによる機器の脆弱性を狙われてしまうことで発生します。
例えば、2024年5月20日、岡山県精神科医医療センターにてシステム障害が発生した件では、VPN機器の脆弱性が悪用された事が原因と推定されています。
また2023年から2024年にかけて発生したJAXAへの不正アクセスも、2010年に導入し2018年にサポートの切れたVPN機器を使い続け、VPN機器の脆弱性が修正されずその脆弱性を悪用されアクセスされたことが原因と推定されています。
このようにリモートVPN方式の場合、セキュリティ性を保つために管理と定期的なメンテナンス、サポートが切れた際にVPN機器の更新と導入後の手入れが必要です。
対して拠点間VPNの場合、VPN機器の脆弱性を狙った不正アクセスのリスクはありません。
拠点間VPNに繋いでいるパソコンがインターネット接続でき、そのパソコンがランサムウェアなどに感染し踏み台とされるなどの場合に限り不正アクセスのリスクはありますが、VPN機器の設定で拠点以外の外部とのアクセスを制限すればセキュリティを保つ事ができます。
以上の理由から、当社では拠点間VPN方式を提案し、またシステムの構築までを実施致しました。結果として、将来的なメンテナンス面も踏まえ、安全性の高い遠隔監視システムの構築を実現できました。
本事例のように、アイゼック株式会社では各種映像機器の販売はもちろんのこと、お客さまの課題を踏まえた最適なソリューションをご提案しております。
ハードウェア・ソフトウェア・ネットワーク・セキュリティなど、各種領域のプロフェッショナルによる課題解決型のサービスをご提供。「映像共有システムを構築したい」「DX担当として遠隔監視による工場の省人化を進めたい」など、映像に関するお悩みがあればお気軽にお問い合わせください。
ご興味のある方は下記の資料をご覧ください。連絡先など入力不要で資料をダウンロードできます。
また、エンコーダー、デコーダーを利用した映像伝送システムの詳細や他の事例、構築の流れについては、以下の資料で詳しくご紹介しております。併せてご活用ください。
参考:リモートVPNを使用される際は証明書認証方式がおすすめ
以下余談ですが、リモートVPN接続の場合、証明書認証方式を利用することをおすすめします。
証明書認証方式は証明書と秘密鍵で認証する方法であり、IDとパスワードだけではなく、証明書を使って信頼性の高い認証が行われるため、リモートVPNのセキュリティを大幅に向上させることができます。
証明書ベースの認証の基本的な仕組みは以下の通りです。
- デジタル証明書の取得:
各ユーザーやデバイスには、公開鍵インフラストラクチャ(PKI)を通じてデジタル証明書が発行されます。証明書には公開鍵と、信頼された認証機関(CA)によって署名された情報が含まれています。
- 証明書の配布:
クライアント(ユーザーやデバイス)に発行された証明書がインストールされます。サーバー側にもCAのルート証明書がインストールされ、クライアントの証明書を検証できるようにします。
- 認証プロセス:
- ①接続要求:クライアントがVPNサーバーに接続を要求します。
- ②証明書提示:クライアントは自分のデジタル証明書をVPNサーバーに提示します。
- ③証明書検証:サーバーはクライアントの証明書が信頼できるCAによって署名されているかを確認します。また、証明書が失効していないか、期限が切れていないかなどもチェックします。
- ④公開鍵の使用:証明書内の公開鍵を使用して、クライアントが所有している秘密鍵を確認します。これにより、証明書が正当に発行されたものであることを確認します。
- セッションの確立:
証明書の検証が成功すると、VPNサーバーはクライアントと暗号化された通信セッションを確立します。このセッションはクライアントの証明書を使用して安全に維持されます。
- アクセスの許可:
認証が完了したクライアントにはVPNネットワークへのアクセスが許可されます。
また、もしID/パスワードの認証方式を使っている場合は、認証用のパスワードは推定されにくく英数字を含んだ長いパスワードを使い、定期的に更新などはしないようにしましょう。
※過去、定期的にパスワードを変更する事が推奨されていた時期もありますが、定期的なパスワード変更はパスワードを利用者が忘れないように推定されやすいパスワードを使うケースが多く、逆にセキュリティリスクが高まるため、現在は推奨されておりません。
拠点間VPNの構築にご興味ある方はこちら参考下さい。
リモートVPNではなく拠点間VPNの構築を考えているものの構築方法にイメージが沸かない方は、当社にてヤマハ RX830を使って拠点間VPNの環境を構築し映像伝送をした 事例 も是非ご参考下さい。
アイゼック株式会社には、ネットワークやセキュリティの資格を保有したプロフェッショナルが多数在籍しております。VPNを活用した安全で信頼性の高い映像遠隔伝送システムの構築をご検討されている方や、システムの構築方法について悩まれている方は、お気軽にご相談ください。