Amazon Web Services ブログ

AWS サービスを活用したセキュアでレジリエントなグローバル OT/IT ネットワーク構築

この記事は、「Use AWS services to build secure, resilient, and global OT and IT networks」を翻訳したものです。

エネルギー企業は事業領域において多数の制御・運用技術 (OT)、情報技術 (IT)、および OT 資産を展開しています。SCADA (監視制御および データ収集) システム、OPC UA サーバー、PLC、IoT デバイス、ヒストリアンなどは、AWS のエネルギー業界のお客さまが利用している最も著名な OT 資産の一部です。これらの OT 資産は、エネルギー産業だけに限らず、石油・ガス、再生可能エネルギー、製造業、自動車産業、建設業など、他業界でも大きな存在感があります。

OT とは、バックグラウンドで動作する機械、ハードウェア、デバイス、センサーなどを指します。OT 資産は、多くの場合、目的特化型で作られ、時には数十年という長期間使用され、カスタムプロトコル (200 種類以上) で通信し、重要資産を制御するため、重要インフラとしてしばしば言及されます。発電所、変電所、変圧器、送電網などがその例です。一方、IT は、データの可用性、セキュリティ、可観測性、トレーサビリティ、分析、認可されたアクセス、ニアリアルタイムの状態監視、人工知能/機械学習 (AI/ML) などの必要なツールを提供する役割を担っています。

組織の成功のためには、OT と IT が互いを補完し、シナジーを生む必要があります。しかしながら、特に OT/IT インフラストラクチャをクラウド上に展開する際、エネルギー業界のお客さまは危険と隣り合わせの様々な課題を抱えながら取り組みを進めているのが現状です。規制コンプライアンス(NERC CIP: 北米電力信頼度協会の重要インフラ防護基準)、サイバーセキュリティ、レジリエンス、接続性、さらには時として文化的偏見などが、OT と IT の統合に関してお客さまが直面する最も一般的な課題です。

お客さまとの対話の中で、私たちが常に目にするのは、産業用 OT/IT/IoT ワークロードで唯一共通することは、一貫性の欠如であるということです。デバイス、プロトコル、OEM、エッジ構成など、あらゆるものがそれぞれの仕様を持ちます。エネルギー企業は、OT 資産から絶え間なく発生するデータフローを取り込み、正規化/コンテキスト化し、解釈し、最終的にはインテリジェントな意思決定を行うための、堅牢で安全かつスケーラブルなメカニズムを必要としています。

OT/IT 統合に AWS を活用する

エネルギー業界のお客さまが IT、OT、サイバーセキュリティに AWS を活用できる主なユースケースには、以下が含まれます(ただしこれらに限定されるものではありません):

IT

昨年、AWS 上の再生可能エネルギーデータレイクおよび分析のためのソリューションガイダンスをリリースしました。このソリューションは、インドの Greenko グループが 2,200 基の風力タービンの AWS 上での監視と分析に活用されています。(詳細はこちらをご覧ください)。このソリューションガイダンスは、再生可能エネルギー以外にも、SCADA システム、PLC、IoT デバイスなどの OT システムを活用する石油・ガスや従来型のエネルギー発電・運用事業者にも等しく適用可能です。

OT

  • デバイス、プロトコル、エッジ構成からの解放 (つまり、クラウドへの接続性やデータ転送時・保存時のセキュリティを気にすることなく、あらゆる産業用デバイスを自由に選択できること)
  • 様々な OT 資産 (SCADA システム、OPC UA サーバー、PLC、IoT デバイス、ヒストリアンなど) をシームレスかつ迅速にオンボーディングできる、安全なグローバル OT ネットワークの構築
  • エッジ側の OT 資産に加えた変更がクラウド上のアプリケーションにリアルタイムで可視化され、その逆も可能なエッジ駆動のアーキテクチャ
  • エッジでのコンピューティングおよび ML 機能を含む、クラウドからエッジへの互換性の提供

サイバーセキュリティ

  • Purdue モデル (ネットワークレイヤーでの分離と OT/IT 資産間のトラフィック分離に関するレファレンス) に基づくクラウド上のグローバル OT/IT セキュアインフラストラクチャの構築
  • エッジからクラウドまで一切のインターネットを経由しない 100 % プライベートネットワーク
  • カスタムルールに基づく通信パケットの詳細検査
  • サイバーインシデント発生時の影響範囲の最小化
  • 侵害されたネットワークやアプリケーションの迅速な隔離
  • 1 か所から全ネットワークを管理することによるネットワーク複雑性の低減

Purdue モデルに基づくセキュア OT/IT インフラの AWS を活用した構築

Purdue Enterprise Reference Architecture (PERA) の一部として開発された Purdue モデルは、産業制御システム (ICS) ネットワークアーキテクチャを構築するための一般的な標準となっています。このモデルでは OT、IT、セキュリティ、外部ネットワーク接続、それぞれに対して、分離されたネットワークセグメントを構築することを推奨しており、OT/IT ネットワークインフラストラクチャの開発にも適用できます。

上記の課題に対処し、お客さまのニーズに応えるため、AWS は AWS Cloud WAN を使用した産業用資産向けの安全なグローバル OT/IT ネットワークの構築方法に関するホワイトペーパーを公開しました。AWS Cloud WAN を使えば、データセンターやお客さま拠点、Amazon Virtual Private Cloud (Amazon VPC) を簡単に接続し、仮想ネットワーク環境を完全に制御できます。AWS Cloud WAN では、お客様が選択したローカルネットワークプロバイダーを経由して AWS に接続し、中央集権型のダッシュボードとネットワークポリシーを使って、複数の拠点をさまざまな種類の方法で接続する統合ネットワークを作成できます。これにより、さまざまなテクノロジーを使用する異なるネットワークを個別に構成・管理する必要がなくなります。AWS Cloud WAN では、オンプレミスと AWS ネットワーク全体の健全性、セキュリティ、パフォーマンスを可視化できる包括的なビューが生成されます。

本ブログは、ソリューションアーキテクトの高橋が翻訳しました。原文はこちらです。

著者について

Avneet Singh

Avneet は Amazon Web Services のエネルギー分野における EMEA 地域のプリンシパルスペシャリストソリューションアーキテクトです。オランダのアムステルダムを拠点に、エネルギー業界向けの堅牢なクラウドネイティブソリューションの構築において AWS のリーダーシップ確立に責任を負っています。Avneet は公益事業会社で 15 年以上の経験があり、スマートメーター、請求、インボイス、規制コンプライアンスに至るメーターからキャッシュサイクル全体にわたる技術ソリューションプロジェクトに成功しています。Avneet は IoT、データ分析、再生可能エネルギーの最適化に強い関心を持っています。彼は「AWS上の再生可能エネルギーデータレイクおよび分析」ソリューションガイダンスの著者です。NAMER および EMEA、APJ 地域の世界中の再生可能エネルギー事業者と積極的に協力し、AWS クラウド上で次世代の再生可能エネルギーソリューションを開発しています。

Abhishek Naik

Abhishek は AWS for Energy における電力・公益事業担当ソリューションアーキテクトグループを率いるシニアマネージャーです。15 年以上にわたりインフラストラクチャの設計・構築とプロダクトソリューションのリーディングを行ってきた経験があります。アビシェックは、テクノロジーを活用してお客さまの事業成果の加速と事業運営の脱炭素化をサポートしています。お客さまが AWS 上で成功を収められるよう、技術的なガイダンスと専門知識を提供し、設計からプロジェクト実装までをリードしています。仕事以外では、Abhishek はアウトドアでの活動を楽しんでいます。

Yashar Araghi

Yashar は AWS のシニアソリューションアーキテクトです。20 年以上にわたり、インフラストラクチャとアプリケーションセキュリティソリューションの設計と構築の経験があります。政府、教育、金融、エネルギー・公益事業など、様々な業界のお客さまと協力してきました。AWS での過去 5 年間、ヤシャルはお客さまがセキュリティ、信頼性、パフォーマンス、コスト最適化されたクラウドソリューションを設計、構築、運用できるよう支援してきました。