Amazon Web Services ブログ

クラウドベースの SCADA システムによる産業分野の運用改善

本稿は、2024 年 6 月 14 日に公開された “Improve your industrial operations with cloud-based SCADA systems” を翻訳したものです。

導入

現代の産業現場では、毎分数千から数百万のデータポイントが生成されるのが一般的です。産業分野やエネルギー分野で IIoT (Industrial Internet of Things) の利用が増加するにつれ、生成されるデータ量はさらに増加すると予想されています。

エネルギーおよび公共事業分野では、SCADA (監視制御およびデータ収集) システムが、地理的に広く分散したシステムを中央拠点からほぼリアルタイムで監視するのに有用です。産業用制御システムやその他の運用技術 (ICS/OT) は現場に設置され、データ通信ネットワークを介して SCADA システムに接続されています。SCADA は効率性と生産性を向上させ、コストと無駄を削減し、分散したシステムに対するより広範な制御を提供します。

SCADA システムは重要な運用をほぼリアルタイムで行うため、24 時間 365 日利用可能で稼働していることが期待されます。従来、SCADA システムはオンプレミスシステムとして設計され、外部ネットワークとの接続なしに産業およびエネルギープロセスを安全かつ確実に運用するためのものでした。しかし、ビジネスの俊敏性を高め、運用を改善し、コストを削減するために、SCADA などの OT システムはビジネスネットワークやクラウドインフラストラクチャにより統合されるようになってきています。

クラウドベースの SCADA システムには、高価なサーバーハードウェアやソフトウェアをオンプレミスで設置・維持する必要性を減らし、産業データをいつでもどこでも利用可能にするなど、いくつかの利点があります。クラウドベースの SCADA システムは、IIoT やインダストリー 4.0 において、プロセスや運用を改善するために必要な自動化、データ収集、分析、アナリティクス、機械学習、接続性を提供するため、ますます重要になっています。クラウドベースの SCADA システムにより、顧客はデータにより簡単にアクセスでき、クラウドサービスを使用して大規模にデータを管理・分析することができます。

クラウドベースの SCADA システムは多くの利点を提供する一方で、外部ネットワークやクラウドサービスへの依存度が高まることによる可用性、安全性、セキュリティ、およびパフォーマンスに関する新たな課題も生じます。このブログでは、クラウドベースの SCADA システムの一般的なユースケースとアーキテクチャ、そして Amazon Web Services (AWS) 上でのクラウドベース SCADA システムのベストプラクティスについて議論します。

エネルギーおよび公共事業分野では、クラウドベースの SCADA システムが特に注目されています。これは、エネルギーおよび公共事業の運用が地理的に分散しており、時には遠隔地に位置しているためです。これらの産業の事業者は、自社のサイトを全体的に把握する必要がありますが、通常、遠隔地に SCADA システムを運用するための専門の OT チームは配置されていません。クラウドベースの SCADA システムを導入することで、中央拠点にいる少人数のチームで大規模かつ分散した運用を行うことが可能になります。
 

クラウドベースの SCADA システムのためのアーキテクチャーパターン

1. クラウドデータ統合と複合サイトビュー

クラウドベース SCADA システムの導入を始める最適な方法の一つは、クラウド上でのマルチサイトデータの可視化と分析です。このシナリオでは、各サイトで主要な SCADA システムをオンプレミスで運用し続けながら、クラウドを使用して複数サイトにわたるデータの統合、民主化、分析、可視化を行います。このアプローチにより、クラウドサービスやアプリケーションとの統合が容易になり、通常オンプレミスでは利用できない他のユースケースを安全かつスケーラブルな方法で実現することができます。このプロセスは「オープンループ」操作と呼ばれることが多く、オンプレミスの SCADA からクラウドへの一方向の通信が行われます。多くの場合、エッジゲートウェイを介して行われ、クラウドから産業用オートメーションおよび制御システム (IACS) へコマンドを送り返すことはありません。すべての制御機能はローカルのオンプレミス SCADA システムによって実行されます。(以下の図 1 を参照)
図1. クラウドデータの統合と複数サイトビューのアーキテクチャ

図 1. クラウドデータの統合と複数サイトビューのアーキテクチャ

このソリューションでは、エッジで AWS サービスを使用します。例えば、AWS IoT SiteWise Edge (オンプレミスで産業機器データを収集、処理、監視するためのサービス) や、CirrusLink MQTT module などのサードパーティソリューションを利用して、データを AWS IoT Core (デバイスをクラウドに簡単かつ安全に接続するサービス) や AWS IoT SiteWise (産業機器データを大規模に収集、保存、整理、監視するマネージドサービス) に送信します。データが取り込まれると、AWS IoT Rules Engine (デバイスが AWS サービスと対話する能力を提供) を使用して、ペイロードを他の AWS サービスにルーティングし、データレイクに保存できます。最終的に、ユーザーは他の AWS サービスを組み込んで、ダッシュボードの作成、機械学習 (ML) モデルの実行、監視と可観測性の提供を行うことができます。

2. AWS 上のIgnition® by Inductive Automation SCADA

Ignition は Inductive Automation が提供する SCADA システム向けの統合ソフトウェアプラットフォームです。Inductive Automation パートナーソリューションは、AWS パートナーである Inductive Automation のソリューションである Ignition を AWS クラウドにデプロイします。このパートナーソリューションは、SCADA アプリケーションの可用性、パフォーマンス、可観測性、および回復力を向上させます。Amazon EC2 Linux インスタンス上で Ignition のスタンドアロンおよびクラスターデプロイメントオプションを提供します。両オプションとも、セキュリティ、ネットワークゲートウェイ接続、データベース接続のベストプラクティスに基づいて設計され、安全で高可用性を備えています。

このデプロイメントアプローチでは、AWS が基盤となるインフラストラクチャを管理し、顧客がローカル環境と AWS クラウド環境の両方で SCADA システムとアプリケーションを構築、運用、保護、維持するための安全で信頼性の高いプラットフォームを提供します。顧客は Inductive Automation の永続ライセンスを使用でき、消費した AWS サービスに対してのみ支払いを行います。

これは、Ignition を実行するために必要な AWS リソース (データベース、ネットワーキング、Amazon EC2 インスタンスなど) のセットアップ、設定、管理が、利用者の責任であることを意味します。Amazon EC2 は、クラウド内の安全で拡張性の高いコンピューティング能力を提供し、事実上あらゆるワークロードに対応します。パートナーソリューションはより多くの制御と柔軟性を提供しますが、より多くの IT 専門知識も必要とします。

スタンドアロンデプロイメントは少数のクライアントに適していますが、クラスターアーキテクチャは Application Load Balancer (高度なリクエストルーティングを備えた HTTP および HTTPS トラフィックのロードバランサー) を含み、バックエンドとフロントエンドのゲートウェイを分離することで、パフォーマンスを向上させる層を追加し、クライアントトラフィックをより効率的に管理できます。

スタンドアロンアーキテクチャでは、パートナーソリューションは以下のコンポーネントをデプロイします (以下の図 2 を参照):

  • 2 つのアベイラビリティーゾーンにまたがる高可用性アーキテクチャ
  • AWS のセキュリティベストプラクティスに従って、パブリックサブネットとプライベートサブネットで構成された仮想プライベートクラウド (VPC)
  • AWS およびオンプレミスのリソースとアプリケーションを監視・観察するための Amazon CloudWatch、および CloudWatch アラームがトリガーされたときに通知するための完全マネージドメッセージングサービスである Amazon Simple Notification Service (Amazon SNS)

パブリックサブネットには以下が配置されます:

  • プライベートサブネット内のリソースがアウトバウンドインターネットアクセスを可能にするマネージドネットワークアドレス変換 (NAT) ゲートウェイ
  • プライベートサブネット内の Amazon EC2 インスタンスとクラウド向けに構築されたリレーショナルデータベース管理システム (RDBMS) であるAmazon Aurora へのセキュアシェルアクセス (SSH) を可能にする Linux 踏み台サーバー 
  • 2 つの別々のアベイラビリティーゾーンにある一次および二次 Ignition ゲートウェイ

プライベートサブネットには以下が配置されます:

  • 書き込み操作をサポートするプライマリ Amazon Aurora データベース
  • 読み取り操作をサポートするレプリカデータベース

図2. Ignitionのスタンドアロンデプロイメントアーキテクチャ

図 2. Ignition のスタンドアロンデプロイメントアーキテクチャ

クラスターアーキテクチャでは、パートナーソリューションは同様のコンポーネントをデプロイしますが、バックエンドとフロントエンドのゲートウェイを分離してクライアントワークロードをフロントエンドサーバーに振り分けることで、Ignition ゲートウェイのパフォーマンスを向上させます。これをサポートするために、クラスターデプロイメントでは Amazon SSL 証明書で構成された Application Load Balancer も作成され、プライベートサブネット内の Ignition のフロントエンドサーバーにトラフィックをルーティングします。(図 3 を参照)
図3. Ignitionのクラスターデプロイメントアーキテクチャ

図 3. Ignitionのクラスターデプロイメントアーキテクチャ

Ignition のデプロイメントガイドの詳細については、Ignition のデプロイメントガイドを参照してください。

3. AWS Outposts 上のIgnition

Inductive Automation の Ignition® は、AWS Outposts 上にデプロイすることができます。AWS Outposts は、ローカルデバイスと SCADA システム間で超低レイテンシーと高帯域幅を必要とする顧客向けに、AWS インフラストラクチャとサービスを事実上あらゆるオンプレミスまたはエッジロケーションに提供する、完全管理型ソリューションのファミリーです。AWS Outposts 上の Ignition を使用することで、顧客はネイティブ AWS API を持つ完全管理型インフラストラクチャの利点を得ることができます。AWS Outposts を使用しない顧客は、SCADA ソリューションを実行するためのハードウェアとソフトウェアスタックを調達、管理、サポート、セキュア化、維持する必要があります。

AWS Outposts は、オンプレミス環境と AWS クラウドを橋渡ししたい組織にとって価値ある解決策を提供し、クラウドコンピューティングの利点を活用しながら、ローカルリソースへの制御と低レイテンシーアクセスを維持することを支援します。特に、オンプレミスとクラウドベースのリソースの組み合わせが必要なハイブリッドクラウドシナリオで有用です。

AWS Outposts は、コンピューティング、ストレージ、ネットワーキングコンポーネントを含む AWS インフラストラクチャハードウェアで構成され、物理的にお客様のサイトに配置されます。AWS Outposts は、専用の高速接続を通じて最寄りの AWS リージョンに接続されます。この接続は、AWS への専用ネットワーク接続を作成するために使用される AWS Direct Connect か、オンプレミスネットワークとリモートワーカーをクラウドに接続するために使用される AWS Virtual Private Network (AWS VPN) を使用して確立されます。どちらのサービスを使用するかは、要件とネットワーク設定によって異なります:

  • AWS Direct Connect は、AWS Outposts と AWS リージョン間の専用かつプライベートなネットワーク接続を提供します。低レイテンシー、高スループットの接続を提供し、AWS サービスへの一貫性のある信頼性の高いアクセスが必要なシナリオに適しています。 
  • AWS VPN は、パブリックインターネット経由で安全な VPN 接続を確立するのに役立ちます。AWS Outposts と AWS リージョン間の暗号化された通信を提供します。AWS Direct Connect と比較してわずかに高いレイテンシーがある可能性がありますが、より柔軟でコスト効率の高いオプションです。

AWS Outposts 上の Ignition には、多くのアーキテクチャオプションが利用可能です:

標準アーキテクチャ

冗長性を備えた標準アーキテクチャ

スケールアウトアーキテクチャ

冗長性を備えたスケールアウトアーキテクチャ

standard architecture

standard with redundancy

scaleout architecture

scaleout with redundancy

Ignition の最も一般的なアーキテクチャは、総所有コストに最適化された、管理が容易なリレーショナル・データベース・サービスであるAmazon Relational Database Service (AmazonRDS) に接続された単一のオンプレミス Ignition サーバー、PLC、クライアントで構成されます。

別の一般的な Ignition アーキテクチャは、SQL データベース (Amazon RDS)、PLC、およびクライアントに接続された単一のオンプレミス Ignition サーバー (冗長サーバーを含む) で構成されています。

スケールアウトアーキテクチャは、複数の Ignition ゲートウェイをリンクして分散型システムを形成します。Ignition の入出力 (I/O) をフロントエンドから簡単に分離し、それぞれを独立して拡張することができます。

冗長性を備えたスケールアウト・アーキテクチャーは、複数の Ignition ゲートウェイ (冗長サーバー付き) をリンクして分散型システムを形成します。Ignition の I/O とフロントエンドを簡単に分離し、それぞれを独立して拡張することができます。

AWS Outposts 上の Ignition は、組織が AWS インフラストラクチャとサービスをオンプレミスで使用しながら、環境を AWS クラウドに安全に接続し、データ分析、予知保全、機械学習の分野への旅を始めるのに役立ちます。(図 4 を参照)
図4. AWS Outposts と AWS IoT Service を利用したオンプレミス Ignition との統合

図 4. AWS Outposts と AWS IoT Service を利用したオンプレミス Ignition との統合

4. Ignition Cloud Edition

Ignition Cloud Edition は、AWS 上でホストされる Ignition プラットフォームのクラウド版です。Ignition Cloud Edition では、ソフトウェアが AWS 上でホストされ、ユーザーは基盤となるインフラストラクチャを管理する必要なしにアクセスできます。これにより、ユーザーの運用負担が軽減され、代わりに Ignition プラットフォームの設定と使用に集中できます。Ignition Cloud Edition では、ユーザーはソフトウェアの設定、バックアップ、アップグレードを担当します。

Ignition Cloud Edition は従量制モデルを提供し、すでにインストールされライセンスされたモジュールのバンドルが付属しています。各モジュールの使用料を支払う代わりに、Ignition Cloud Edition の使用量に応じて支払います。産業機器接続用のドライバーは含まれていませんが、Ignition Cloud Edition には MQTT と Gateway Network 機能が含まれており、標準の Ignition または Ignition Edge インストールとの接続が可能です。そのため、オンプレミスデータを簡単にクラウドに拡張し、様々なクラウドサービスと接続できます。

Ignition Cloud Edition には、Ignition Core モジュール (Perspective、Reporting、SQL Bridge、OPC UA、Enterprise Administration Module (EAM)、Tag Historian、Alarm Notification) が付属しています。また、Web Development、Twilio Notification、Voice Notification モジュール、および Cirrus Link Solutions の MQTT Engine、MQTT Distributor、MQTT Transmission モジュールも含まれています。MongoDB Module というクラウドコネクターモジュールも含まれており、Ignition Cloud Edition ユーザーは新しいクラウドコネクターモジュールが利用可能になると入手できます。

Ignition Cloud Edition を使用することで、顧客は高価なサーバーを購入・管理する必要がなく、ストレージ、機械学習、分析などのクラウドサービスをより簡単に利用できます。

クラウドベース SCADA の課題、セキュリティ上の考慮事項、および推奨事項

クラウドベース SCADA の採用は、集中データ管理の改善、資本および運用・保守費用の削減、セキュリティの向上をもたらす可能性がありますが、クラウドで SCADA を実装することには固有のリスクがあります。顧客はここで説明する新たなリスクをいくつか考慮する必要があります。

クラウドベース SCADA は、ネットワーク接続とクラウドサービスの可用性とパフォーマンスなどのリスクをもたらします。インターネットに依存する場合は、ネットワークの遅延を考慮する必要があります。

クラウドベースの SCADA システムは外部ネットワークとクラウドサービスとの依存を生じさせることもあり、リスクを最小限に抑え、軽減するには、慎重な検証が必要です。さらに、一部の産業およびエネルギー用途には適していますが、すべてに適しているわけではなく、リスク評価、適切なソリューション設計、構成、継続的な監視が必要です。

クラウドベース SCADA システムのセキュリティ推奨事項

  • サイバーセキュリティリスク評価:リスク、ギャップ、脆弱性を完全に理解し、積極的に管理できるようにするため、サイバーセキュリティリスク評価を実施します。
  • ネットワークセグメンテーション:産業用非武装地帯 (IDMZ) を確立し、ファイアウォールと一方向ゲートウェイを使用してゾーン間のトラフィックを制御します。
  • クラウドへの安全なネットワーク接続:ネットワークトラフィックをプライベートかつ暗号化して保持します。パブリックインターネットを使用する場合、トラフィックは暗号化する必要があります。
  • OT およびクラウド運用の可視性と監視:OT、IIoT、クラウド全体にセキュリティ監査および監視メカニズムを展開し、セキュリティアラートを中央で管理します。
  • 多層防御 (DiD) 戦略:セキュリティポリシー、認証と認可、ファイアウォール制御、パッチ管理、マイクロネットワークセグメンテーション、冗長通信ネットワーク、グレースフルデグラデーション、バックアップと復旧手順などの DiD アプローチを適用します。
  • SCADA ベンダーの推奨事項Ignition Security Hardening Guide など、SCADA ベンダーのセキュリティガイダンスに従います。
  • セキュリティ標準ISA/IEC 62443 などの IACS セキュリティ標準に従います。これらの標準は、IIoT とクラウドサービスの使用をサポートするように進化しており、一般的な IT システムのセキュリティに関する確立された標準 (例:ISO/IEC 27000 シリーズ) に基づいています。
  • グローバル OT/IT ネットワークの保護:複数のリモートサイトを複数のエッジ構成でクラウドに接続する際は、この AWS ガイダンスに従います。

加えて、IIoT ソリューションのための 10 のセキュリティゴールデンルールで説明されている AWS の多層セキュリティアプローチと、製造 OT のための AWS セキュリティベストプラクティスに従ってください。

結論

このブログでは、AWS におけるクラウドベース SCADA システムの複数の設計考慮事項と使用方法を紹介しました。現代の産業システムが進化し、より大量のデータを生成し、自動化レベルが向上するにつれて、産業界はクラウド SCADA が提供する最新の SCADA アプローチから恩恵を受けることができます。可用性、レイテンシー、パフォーマンス、セキュリティ要件に対応するクラウドベース SCADA ソリューションを設計し、ネットワークのダウンタイムや障害に備えたバックアッププランと緊急措置を用意してください。AWS は、クラウドベース SCADA のための幅広いサービス、ガイダンス、ソリューションを提供しており、クラウドコンピューティングの利点を享受しながら、ニーズに最適なソリューションを選択することができます。

エネルギーおよび公共事業分野におけるクラウドベース SCADA システムの使用は、運用効率の向上、ほぼリアルタイムの監視、シームレスな統合をもたらします。その拡張性は変化する需要に適応し、リソースを最適化してダウンタイムを最小限に抑えます。強化されたサイバーセキュリティは重要インフラの保護を改善します。クラウドベース SCADA の採用は、業界のダイナミックで相互接続された環境を乗り切るために不可欠です。

本稿は、ソリューションアーキテクトの林 隆太郎が翻訳しました。原文は “Improve your industrial operations with cloud-based SCADA systems” を参照してください。

Ryan Dsouza

Ryan Dsouza

Ryan Dsouza は、AWSのプリンシパル産業用 IoT (IIoT) セキュリティソリューションアーキテクトです。ニューヨーク市を拠点とし、顧客が AWS の幅広い機能を活用して、より安全で拡張性が高く革新的な IIoT ソリューションを設計、開発、運用し、測定可能なビジネス成果を達成できるよう支援しています。Ryan は、デジタルプラットフォーム、スマート製造、エネルギー管理、ビルおよび産業オートメーション、OT/IIoT セキュリティなど、多様な産業分野で 25 年以上の経験を持っています。すべての接続デバイスにセキュリティをもたらし、すべての人にとってより良く、より安全で、より回復力のある世界を構築するチャンピオンになることに情熱を注いでいます。AWS に入社する前は、Accenture、SIEMENS、General Electric、IBM、AECOM で働き、顧客のデジタルトランスフォーメーションに貢献していました。

Oscar Salcedo

Oscar Salcedo

Oscar Salcedo は、AWS の IoT およびロボティクス専門ソリューションアーキテクトです。スマート製造、産業オートメーション、ビルオートメーション、および多様な産業における IT/OT システムで 20 年以上の経験を持っています。AWS の深さと幅広さを活用して、スケーラブルで革新的なソリューションを設計・開発し、顧客に測定可能なビジネス成果をもたらしています。