Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
OPC UA(IEC62541)のセキュリティ
ものづくりNEXT2011トータル危機管理コーナー
日本OPC協議会
発表者:技術部会長 藤井 稔久
ユーザー交流部会長 大津
日本OPC協議会 2
目次
OPC協議会について
UA仕様について
UAセキュリティについて
Interoperability Work Shop
ユーザー意見交換会報告
制御システムセキュリティ対策とOPC UAOPC UAは、どのようなところに使われていくか
日本OPC協議会 3
OPC Foundation / OPC協議会
国際業界標準化団体
加入会社 435社(エンドユーザ 67社) ※2011/8/23現在
3,500を超えるOPC製品取り扱い会社 = 22,000を 超えるOPC製品
数百万規模のインストールベース
OPCのビジョンは、マルチベンダー、マルチプラットフォームにおけるセキュアで高信頼な相互運用環境を提供すること
データソースから基幹業務系における情報の垂直統合
異なるベンダーの異なるネットワーク間における情報の水平統合
単なるデータとしてではなく、情報として…….高信頼でセキュアな相互運用性は必須要件(オプションではない)統合オープンプラットフォームアーキテクチャにより、各種のオープンな標準(国際標準、業界標準など)の連携を実現
全体会議(総会)
幹事会
企画部会•将来ビジョン立案•他団体連携•総務事項
普及部会•広報、展博•製品普及•協議会インフラ整備
技術部会•新仕様策定•技術教育/セミナー•認証・インオペ推進
ユーザ交流部会•ユーザ交流会運営•ユーザフィードバックまとめ•ユーザメリットまとめ
監事
事務局代表幹事
9社で幹事会を構成
日本OPC協議会会員数:41社(2011年9月現在)
UA仕様について
日本OPC協議会 5
Classic OPC : プロセスデータ交換 I/F
Application X ...
DCS ControllerPLC
Application Y課題
多数のベンダー製品
カスタムメイドのソリューション
プロプラエタリィな技術
1対1結合による統合
限られたリアルタイム情報
保守の悪夢
散逸した責任
解決策
OPC!Application X Application YOPCクライアント
OPCサーバ
DCS ControllerPLC
OPCサーバ OPCサーバ
OPCクライアント
COM/DCOM
OPC⇒ ベンダや機器に依存することなくデータ交換を行なうClient / Server システム
のための標準インタフェースです。
日本OPC協議会 6
OPC UA(IEC62541) : 製造情報データ連携 I/F
バッチ
OPC Unified Architecture製造、生産、保守 (工場管理)
OPC
高度制御
OPC
HMI SCADAMES
工業用ネットワーク データ収集DCSPLCDCS ??.......??
ERP, SAP … 経営情報システム (本社・社外)
OPC Unified Architecture
PC ベース制御OPC
OPC
OPC UA : 業界標準の相互運用性を提供⇒ interOperability, Productivity & Collaboration
日本OPC協議会 7
OPC スケーラビリティ
Mainframe
Portables
DesktopPC
Server
ServerCluste
r
EmbeddedSystems
Controllers
OPC Classic
OPC .NET 3.0
OPC UA
日本OPC協議会 8
特徴:UA (Unified Architecture) とは?
データモデル
SOA モデル
OPC UA
通信モデル
プラットフォーム非依存
プロトコル非依存
Intranet/Internet アクセス
既存OPC(DA, HDA,
A&E,,)
オブジェクトモデル
型定義抽象化された
サービス
日本OPC協議会 9
オブジェクトモデル&アドレススペース
OPC UA Object
Variables_________
Methods___()___()___()
OPC DA and HDA OPC Commands
Events
UA オブジェクトモデル UA アドレススペース
OPC A&E
Reference
日本OPC協議会 10
スタック プロファイル
TCP/IP
UA Binary
HTTP/HTTPS
WS Secure Conversation
SOAP 1.2 UA TCP
UA Secure Conversation
UA XML
XML Web ServicesNative
With SOAP/HTTPNative Binary
SecurityをBuilt-inした3種類のスタックプロファイル:
XML Web Service : ITシステムとの親和性⇒ ERP / ビジネスAppNative Binary : 高速通信⇒組み込み / PCベース制御 / SCADANative with SOAP/HTTP : MES / ERP
日本OPC協議会 11
インタフェース レイヤ
OPC UA Base Services All Necessary Services
Vendor Information Model
Information Model Specifications FDI, ADI, PLCopen
DA A&E HDA CMDs OPC Information Model
日本OPC協議会 12
活動中の協業プロジェクト
EDDL + FDT = FDIADIPLCopen
Information Model Specifications
日本OPC協議会 13
検討中の協業プロジェクト
Building AutomationOpenO&MSmart GridMTConnectISA-95ISA-88 Information Model Specifications
UA Securityについて
日本OPC協議会 15
UA Security
UAセキュリティ:仕様書のコア仕様として定義Part.1 :Concepts & Overview //概要
----Part.2 :Security Model //コア仕様
Part.3 :Address Space Model // ..Part.4 :Services // ..Part.5 :Information Model // ..Part.6 :Service Mappings // ..Part.7 :Profiles // ..
----Part.8 :Data Access //OPC独自情報モデル
Part.9 :Alarms and Conditions // ..Part.10 :Programs // ..Part.11 :Historical Access // ..
日本OPC協議会 16
- UA Security : 目的・脅威・対策
Part.2:UAに求められるクライアント/サーバシステムのSecurityアセスメント結果
詳細は後述の参考情報を参照
Threat(s) Objective(s)
・Message Flooding・Eavesdropping (盗聴)・Message Spoofing(メッセージ捏造)・Message Alteration(メッセージ改竄)・Message Replay・Malformed Message・Server Profiling・Session Hijacking・。。。
AuhtenticationAuthorizationConfidentialityIntegrityAuditabilityAvailability
日本OPC協議会 17
- UA Security : アプリケーション
Secure アプリケーション
安全なアーキテクチャを採用し、⇒安全メカニズムをビルトイン
アプリケーション層 アプリケーション層
コミュニケーション層 コミュニケーション層
トランスポート層
Session
Secure Channel
• ユーザ 認証
• ユーザ 権限の付与
• アプリケーション認証
• メッセージの完全性
• メッセージの機密性
OPC UA Client OPC UA Server
• ユーザ 認証
• ユーザ 権限の付与
• アプリケーション認証
• メッセージの完全性
• メッセージの機密性
日本OPC協議会 18
- UA Security :プロファイル(Part.7)
Security モード
None – セキュリティなし
Sign – メッセージに署名は付けるが、暗号化はしない。
SignAndEncrypt –メッセージに署名は付けかつ暗号化する。
Security ポリシー
Basic128Rsa15 – 最低限のセキュリティ(⇔高速応答性が必要な場合)Basic256 – 推奨セキュリティ
None – 推奨できない
⇒ Security要件に応じて組合せをプロファイルに定義し、使い分けます。
日本OPC協議会 19
- UA Security: サービス(Part.4)
セッション
UAアプリケーション層で実装
Client/Server間のハイレベルな論理的接続機能を提供
ユーザの認証・認可(アクセス制御)によりClientのServerアクセスを制限
セッションの確立にはSecureチャネルの開設が必要
Secureチャネルが切断しても、セッションは維持したままでの再接続が可能
Secureチャネル
UAコミュニケーション層(通信スタック)で実装
Client/Server間のローレベルな論理的接続機能を提供
アプリケーション認証のための証明書を提供
送信メッセージを暗号化するなど、Sercureなメッセージ送信を可能に!
受信メッセージの署名による改ざん検査(Verify)など、Sercureなメッセージ受信を可能に!
Secureチャネルを維持したままでのトランスポート層の再接続が可能
日本OPC協議会 20
- UA Security: 監査
UAサーバー
UAクライアント
UAサーバー
UAクライアント
UAサーバー
UAクライアント A
B
C
D
イベント ID : Yクライアント名 : Aクライアント内 登録情報 ID : Z<ゲートウェイBの処理を記録>
イベント ID : Xクライアント名 : Bクライアント内 登録情報 ID : Y<ゲートウェイCの処理を記録>
イベント ID : Wクライアント名 : Cクライアント内 登録情報 ID : X<サーバーDの処理を記録>
イベント ID : Z<クライアントAの処理を記録> イ
ベントが登録される順番
日本OPC協議会 21
- UA Security : まとめ
①UAセキュリティは特殊なものではありません。
⇒ITの世界で標準的に使用されているセキュリティ対策を使用します。
②UAセキュリティのための特別な実装は不要です。
⇒スタックに実装されている機能を利用することにより
その恩恵を簡単に享受することができます。
2008/10/28
Interoperability Work Shop
日本OPC協議会 23
OPC UA サーバー
アドレス空間
OPC UA
OPC UA サーバー
OPC UA クライアント
アドレス空間
MES
OPC UAの適用例
DCS PLC
制御システム
製造実行システム
業務・計画システム
コーヒー製造
生産現場状況
OPC DA サーバーOPC DA サーバー
製造指示
製造実績
OPC UA クライアント
ERP/SCM/PLM
Object
Object
ObjectObject
Object
クライアントが必要とするオブジェクトを表現可能オブジェクトに共通のインタ
フェースでアクセス可能
国内外の標準化団体の情報モデルを利用可能
CMMS LIMS
PIMSSQC APC
日本OPC協議会 24
テストツール
OPCサーバ製品A社
OPC-Foundation
適合性試験
結果出力
認定Web公開
結果提出
テストツールをダウンロード
OPCクライアント製品B社
相互運用性試験Inter-operability
Work Shop
結果公開
1
2
3
4, 6
5
図1 適合性認定の流れ
http://www.opcfoundation.org/
日本の結果は、現在のところ日本OPC協議会Webで公開
日本OPC協議会 25
図2OPC Data Access用テストツール例
日本OPC協議会 26
図3 OPC Inter-operability Workshop
クライアント製品
A社 製品A B社 製品B C社 製品C
サーバ
製品
D社 製品D OK OK …
E社 製品E NG OK …
F社 製品F … … …
日本OPC協議会 27
図4 Web公開表示例 (1/2)Product Vendor List
Product List
試験結果
日本OPC協議会 28
事例紹介
イタリアのプラントで海外制御ベンダ製品と日本企業の制御ベンダがユーザー指定でOPC接続をしたが、現場立ち上げ時につながらなかった。その時に問題になったのは、
OPCの仕様バージョン
OPC-FのInteroperability Work Shopに参加して相互接続試験認証を受けているか
の二点であった。OPC仕様バージョンが古くて、Interoperability WorkShopに参加していなかった海外制御ベンダは工事の遅れによるユーザーの損害賠償を請求された。
日本OPC協議会 29
2011年度 OPC Interoperability Work Shop In Asia (Japan)
日本OPC協議会 30
OPC UAの最新情報
OPC UA登録製品:115製品ABB Inc.、Advosl Inc.、Allphaopen LLC、ascolab GmbH、Automsoft、Beckhoff Automation GmbH、Canary Labs Inc.、CAPSHER Technology Inc.、CAS、Certec EDV GmbH、Cogent Real-Time Systems Inc.、Cyberlogic、Embedded Labs Ltd.、ETM professinal Control GmbH、HB-Softsolution e.U.、ICONICS Inc.、Inductive Automation、Indusoft Inc.、Ing.-Buero Allmendinger、Kepware Technologies、MatrikonOPC、Mobform Software Inc.、MSIndustrie Software GmbH、Murata Machine Ltd.、Oberon microsystems AG、OPC Labs、OPC R US、Progea SRL、Prosys PMS Ltd.、SAE Automation s r o.、SAP AG、Siemens AG、Softing Industrial Automation GmbH、Software toolbox Inc.、TerxaSoft GmbH、Unified Automation GmbH、Wapice Ltd.
Interoperability Work Shop合格製品:54製品
Embedded UA製品:6製品(4社)Embedded Labs、Inductive Automation、Softing、Unified Automation
日本OPC協議会 31
FDIの新会社が設立された。(2011年9月27日ドイツにて)
統合化オートメーション機器管理技術の ための新会社(FDI Cooperation, LLC)
が設立されました。FDTグループ、フィールドバス協会、HART協会、プロフィバス協会、OPC協議会は、
統合化されたオートメーション機器管理ソリューション(FDI)を管理する組織を確立
するために、新会社を設立しました。
http://www.automationworld.com/news-9428
FDI Cooperation, LLCは、FDIソリューションの展開を加速するためにEDDL Cooperation Team(ECT)の活動を母体として設立されました。ECTは、2007年のハノーバー・フェアで結成されそれ以来、プロジェクトは、統合されたFDIソリューションのために、技術の方向性を慎重に形成してきました。FDIは、最も先進的な機器から簡単な機器にまで対する統一されたソリューションであり、機器設定、コミッショニング、診断、校正などライフサイクルのすべての局面におけるさまざまな作業のためのものです。
FDI Cooperation, LLCのメンバーには、FDTグループ、フィールドバス協会、HART協会、プロフィバス協会、OPC協議会のオートメーション主要5団体が含まれます。2009年10月に、ECTはFDIプロジェクトのスコープを、各通信プロトコル用EDDLの統合化とEDDL用共通インタプリターを含むFDI設計ツールとFDI試験ツールの提供をするよう拡張しました。 拡張されたスコープの実装は、ABB、エマソンプロセスマネージメント、エンドレスハウザー、ハネウェル、インベンシス、シーメンス、横河電機㈱の7社の主要オートメーションサプライヤーによって支持されました。
2008/10/28
ユーザー意見交換会報告
日本OPC協議会 33
1.OPC UA適用方法、適用先の明確化(具体的になにができるか)
① OPCへの期待
2.現場とビジネスネットワークとの情報統合
① 信頼性とセキュリティ
② IBM、SAP、OracleなどERPベンダーとの関係性
③ フィールドバスとOPC UAの関係性
④ OPC UAを用いた場合の制御系システムへの負荷
3.FAシステムへの適用
① 高速/大容量データ(ms以下)への適用
② NC装置、ロボットなど標準機器の設定レス/データ連携/標準化
③ システム間の情報交換性 ⇒ 仮想/現実間のブリッジ役
④ 信頼性、セキュリティ ⇒ 大容量、WorldWideなデータを取り扱える事
⑤ 接続、構成 ⇒ 迅速な機器接続、システム構成構築
⑥ OPC UAスループット
4.スマートグリッドへの適用
① エネルギー管理、サービス管理
5.モデル化検討
① 対象
② 有効性、可用性
③ 必要に応じた、用途に応じたデータへの対応
6.OPC UAの日本でのリリース、日本でのユーザ要求
ユーザー意見交換会報告
2008/10/28
制御システムセキュリティ対策とOPC UA
日本OPC協議会 35
標準化と認証との関係・制御システムセキュリティの国際標準IEC62443に基づいた認証試験の実施で効果を出していくだろう。
・OPC UA(IEC62541)は、制御装置間、制御製品間の通信プロトコル、外部インターフェースの通信プロトコルとしてセキュリティレベル対応ができることから、有効な制御システムセキュリティ対策になる。
標準化 認証・評価
IEC62443-1
IEC62443-2
IEC62443-3
IEC62443-4コンポーネント・デバイス
技術・システム
管理・運用・プロセス
概要・コンセプト
WIB
ISCI:ISASecureWurldtec Achilles
Wurldtec Achilles
製造組織要件セキュリティ機能要件受入テスト要件メンテ/保守要件
IEC27001情報システム系
フィールドバス
I/O
LIMSPIMS
装置
PLC
DCS SCADA
エンジニアリングツール
生産管理 品質管理
設備管理
オフィスネットワーク
制御情報系ネットワーク
制御ネットワーク 制御ネットワーク
現在、コンポーネント・デバイスの単体認証評価ツールとしてグローバルに使われている
OPC UA通信プロトコル外部インターフェース
(OPC Classicは、装置内部でのみ使用)
DCSコントローラ
2008/10/28
OPC UAは、
どのようなところに使われていくか
日本OPC協議会 37
プラント・オートメーション例
P B
トランスミッター(検出端)
バルブ(操作端)
通信ユニット
コントローラ(冗長化)
I/Oスレーブモジュール
設備保全用サーバ 品質管理用サーバ
安全計装用
制御コンフィギュレーションツール用PC
リモート計器室も可能
OPC-UA
OPC-UA
日本OPC協議会 38
ルータ
情報系管理サーバ 情報系端末
製造系監視サーバ
配送センターサーバ
原料包材自動供給システムサーバ
配送センター操作端末
包材倉庫入荷受付
&入出操作端末
原料倉庫入荷受付
&入出操作端末
計量器
計量作業端末
調合PLC 缶 PET包装設備PLC
調合オペコン
液体原料入荷処理端末
調合監視制御サーバ
品質分析端末
分析器
ユーティリティ設備PLC/GLC
包装作業支援サーバ
ユーティリティモニタリングサーバ
製造系端末製造計画作成マスター変更
進捗管理サーバ
アラーム通知用PHSメッセージサーバ
保全用マルチメディア・サーバ
スケジューラ
本社、開発センター保守センター、SCMなど 生産管理
記録サーバ
携帯電話
Batch
電力監視モニタ環境監視モニタ
当直交代ミーティング用サーバ
PA・FA混在プラントシステム構成設計例
Ethernet
Ethernet
Ethernet EthernetOPC-UAOPC-UA
OPC-UAOPC-UA
OPC-UA
OPC-UA OPC-UA
OPC-UA
制御情報系
制御系
情報系
PA FAユーティリティ
日本OPC協議会 39
アセンブリ生産での制御システム例
嬢囑断朴
憠攮囎
投入調合加工管理システム 充填殺菌管理システム
Ethernet
パソコン
製造現場データ収集システム
原料受入払出管理システム
問い合わせ受付画面
製品個別情報画面
出荷情報画面
トレーサビリティDB
DB
メリット・原料不具合トレース・原料コスト削減・事故防止・納期短縮
DB
メリット・投入ミス(時間、順番)防止・機械加工情報収集・熟練工情報収集・殺菌・洗浄・点検管理・作業履歴管理
DB
メリット・機械加工情報収集・充填情報トレンド監視・生産進捗管理・機械稼働管理
出荷ロット管理システム
メリット・生産実績管理・製造ロット出荷管理
DB
作業工程管理作業マニュアル
メンテナンスマニュアルトレーサビリティ対応アプリケーションや工場内管理マニュアルWebサーバとの組み合わせ
Webサービス
レシピ管理
ロットごとの進捗状況、製造履歴、品質情報など、必要な情報をあらゆる部門に瞬時に開示
OPC-UA
OPC-UA OPC-UA OPC-UA OPC-UA