シスコ　セキュリティ導入事例　キオクシア株式会社様

シスコの製造業向けセキュリティソリューション Corporate Profile シスコ セキュリティ ソリューション導入事例 多くの製造業が目指すスマートファクトリー キオクシア株式会社 Cisco Security Solutions 所在地 東京都港区芝浦 3-1-21 田町ステーションタワー S かつては独自プロトコルで通信を行い、閉じた世界で稼働することが主だった工場の生産設備はイーサネット対応が当然と Case Study設立 2017 年 4 月 1 日 なり、様々な IT と組み合わせて利用されるようになっています。その潮流をさらに加速させたのが IoT や AI といった技術 従業員数 単独：約 10,000 名、連結：約 12,000 名 です。有線、さらには無線ネットワークも駆使して生産設備やセンサーから稼働情報などを収集して AI で解析。トラブルを URL https://www.kioxia.com/ja-jp/top.html 予兆の段階で検出する高度な稼働監視、さらには人手で行っていた検品の自動化などが実現しています。また、拠点間で メモリ・SSD の開発、製造、販売を行う半導体メーカー。四日市工場 である点、また、AI や IoT の進展に伴うデータ量の急増などを背景に、 データをやりとりしながら、サプライチェーン全体で生産を最適化するという取り組みも進んでいます。いわゆるスマート キオクシア株式会社様 は、フラッシュメモリ製造では世界最大級の規模を誇る。スマートフォン、 同社製品に対する需要は年々高まっている。 ファクトリーの実現です。 パソコンなどの電子機器、データセンターなどの情報インフラに不可欠 なぜ、今、工場のセキュリティ強化が重要なのか 工場の生産活動を守るための新セキュリティ しかし、スマートファクトリーを実現しようとすると新しい課題にも直面します。セキュリティです。様々なシステムやデバイス、 電子機器の進化、情報社会の進展をグローバルに支えるキオクシアの技術 ネットワークが脅威を検知して早期に対処 設備が有線・無線ネットワークでつながるということは、サイバー攻撃に遭うリスクも高まるからです。特に工場の生産設備が 被害に遭うと、操業停止の恐れもあり、十分な対策が求められています。 キオクシア Step 1 Step 2 Step 3 ロボット／生産設備 工場／製造ライン デジタルマニュファクチャリング ネットワーク化 統合ネットワーク インダストリー 4.0 セル単位のネットワーク 工場全体のネットワーク 自律的生産システム 生産設備のイーサネット対応 製造データの相関分析 企業間リアルタイム SCM 連携 製造情報のデータベース化 製造工程の可視化 AI／ディープラーニング活用 トレーサビリティ 生産設備の予防保全 ビジョンデータの活用 完全なオートメーション 稼働率の可視化 スマートファクトリー 品質向上 不良率の低減 セキュリティの必要性 ネットワークの重要性 シスコからの提案 工場の生産設備は、ウイルス対策ソフトのインストールが難しいといった事情を持っています。そこで、シスコが提案するのが ネットワークレベルの対策です。ネットワークスイッチ自体がセンサーとなり、ネットワーク上のあやしい振る舞いを常に監視。 脅威を検出し、仮に脅威が侵入した際にも、迅速かつ的確な対応で被害を最小化します。 過酷な条件でも安定稼働を続けるスイッチやルータ、アクセスポイントなどの産業用機器やデータのやりとりに必要な IoT ゲートウェイなど、製造業向けのソリューションに加え、このネットワークセキュリティによって、シスコは製造業のお客様の ビジネスを支援しています。 1 トラフィックを提供 ©2019 Cisco Systems, Inc. All rights reserved. NetFlow Cisco Stealthwatch Cisco、Cisco Systems、および Cisco Systems ロゴは、Cisco Systems, Inc. またはその関連会社の米国およびその他の一定の国における登録商標または商標です。 本書類またはウェブサイトに掲載されているその他の商標はそれぞれの権利者の財産です。 2 ネットワークを監視。脅威も発見 「パートナー」 または「 partner」 という用語の使用は Cisco と他社との間のパートナーシップ関係を意味するものではありません。（1502R ） この資料の記載内容は 2019 年 6 月現在のものです。 この資料に記載された仕様は予告なく変更する場合があります。 Cisco ISE 3 感染端末を特定。隔離を指示 シスコシステムズ合同会社 お問い合せ先 〒 107-6227 東京都港区赤坂 9-7-1 ミッドタウン・タワー 4 通信を遮断して隔離 http://www.cisco.com/jp 高度かつ悪質な脅威も検出 特 長 インシデント対応の迅速化 ネットワークへの負担を抑える 2176-2009-000-BL

工場の生産活動を守るための新セキュリティ 一定期間、定額で機器増設を行える契約方法で、生産設備は PC などとは異なり、エンドポイントでセキュリティ ネットワークが脅威を検知して早期に対処 対策を行えないケースがある。生産ラインを止めることが許され キャパシティプランニングの簡略化、TCO 削減を実現しましたキオクシアホールディングス株式会社 ない工場にとって、シスコのネットワークセキュリティソリューション 情報セキュリティ統括責任者 は最適な仕組みだと感じています。 さらに、それまでファイアウォールが設置されていた四日市工場の入り 報が見えることに驚きました。特にプロトコルごとに通信を可視化でき メモリや SSD（Solid State Drive）の開発、製造、販売を行うキオクシア。同社は生産設備をサイバー攻撃 川端 利明 氏 口には次世代型 IPS（Intrusion Prevention System：侵入防御システ ることは、大きな武器になると感じています。例えば NetBIOS で使わ から守るため、シスコのセキュリティソリューションを導入しました。エンドポイントの対策が困難な生産エリ ム）である Cisco Firepower をインライン型で設置。内部から外部へ れるポート番号 445 で不正な振る舞いを発見できればウイルスが他の の通信を見張るだけでなく、外部からの脅威をブロックするというさら マシンに不正アクセスしていることがわかります。このような脅威情報 アの課題を解決するため、ネットワークの可視化をベースとするソリューションを採用。仮に脅威が侵入して 東芝のメモリ事業を継承する形で 2017 年 4 月に発足したキオクシア。 すが、ウイルス対策ソフトがインストールできないケースがある生産設 なる強化を行うことも決定しました。 をピンポイントで検知することで対応策も迅速に立案、実行できるよう も、ネットワークがそれを検知し、早期に対処することが可能になっています。 2018 年 6 月からは東芝グループを離れ、独立した企業活動を開始し、 備は、それが行えません」と同社の渡辺 純平氏は説明します。 になるでしょう」と井上氏は手応えを語ります。 さらなる成長に向け、機動的かつ迅速な事業運営に取り組める体制を 定額で柔軟に機器の追加が行える ELA を採用 日々の運用は、井上氏がリーダーを務める SOC（Security Operation 整えています。 今回、ネットワークセキュリティを実装するために同社がリプレースし Center）が対応。SOC で集中監視し、脅威が発見された場合には迅 同社の主要ビジネスはメモリや SSD の開発、製造、販売。ビジネス ソリューション たネットワークスイッチ Cisco Catalyst 2960-X は数千にものぼりま 速に対応できる体制を整備しているのです。「今回のネットワーク可視 や私たちの生活で利用する各種電子機器や情報機器にとって必要不可 す。この大規模なプロジェクトの製品購入方法として、同社は Cisco 化がなければ、そもそも SOC の活動を継続すること自体が困難でし 欠な製品です。特に SLC NAND 型フラッシュメモリや三次元フラッ Security ELA（エンタープライズ ライセンス契約）を選択しています。 た（」井上氏）。 シュメモリ「BiCS FLASH™」は、この業界をリードする高度な技術が採 ネットワーク自体が脅威の検出と隔離を実現する 「社会のデジタル化に伴い、メモリへの需要は急速な勢いで増大してお 用されており、社会の可能性拡大に大きな貢献を果たしています。 そこで、同社が生産エリアのセキュリティ強化策として検討したのが、 り、私たちの工場の規模も拡大傾向にあります」と川端氏。それに対し ネットワーク自体が脅威を検知、駆除できる仕組みの確立です。それを て、Cisco Security ELA は、おおよその規模をベースに契約して、一 実現するために複数のソリューションを検討し、最終的にシスコのソ 定期間は定額費用のままライセンスの拡張などを行うことができます。 課題 キオクシア株式会社リューションを採用することを決定しました。 「これなら、拡張の予定があってもキャパシティプランニングを簡略化で 四日市工場 シスコは NaaE（Network as an Enforcer）という考え方のもと、ネット き、長期的な TCO 削減も可能になります。実際、現在、岩手に新工 IT推進部製造システム基盤担当 主務 ワークを可視化し、脅威を見つけ、場合によっては、感染した機器を 場の建設を進めていますが、ELA を活用して、四日市工場の仕組みを 工場の操業停止による損害は巨額 隔離する仕組みを提案しています。 横展開する計画です」と渡辺氏は話します。 井上 陽一郎 氏 製品＆サービス 多くの製造業と同様、現在、同社は工場における IoT 活用に取り組ん 具体的には、ネットワークトラフィックを監視、分析するための技術 また、シスコアドバンスドサービスによる導入時のきめ細かいサポート でいます。同社の生産を一手に担う四日市工場において、生産設備に NetFlow、IP アドレスをベースに攻撃を受けた可能性がある機器の も高く評価されています。 ● Cisco Catalyst 2960-X ● Cisco Stealthwatch ● Cisco Firepower センサーを接続したり、各生産設備をネットワークで接続したりして稼 特定を行うための情報を管理する Cisco ISE（Identity Services 「例えば Cisco Stealthwatch の導入の際には、4 回にわたってオンサ 可視化した情報をネットワークの最適化にも役立てる ● Cisco ISE（Identity Services Engine） ● Cisco Security ELA（エンタープライズ ライセンス契約） 働状況の可視化、データ分析などを行い、生産活動の効率化や最適化 Engine）のデータを利用して、様々な攻撃パターンに関する情報を参照 イトでのナレッジトランスファー（知識伝達）を行ってくれました」と同社 同社は、今回の仕組みで得られる情報をセキュリティだけではなく、工 を促進するためです。 しながら脅威検出を行う Cisco Stealthwatch があやしい振る舞いを の井上 陽一郎氏は振り返ります。今回のプロジェクトでは導入後の運 場ネットワークの最適化にも役立てたいと考えています。どこを、どれく しかし、様々な設備がネットワークでつながるようになることは、ウイル 検出する仕組みです。 用も大きなテーマとなっていましたが、このようなサポートが効果的な らい、どのようなトラフィックが流れているのかを確認して、ネットワー ス被害の拡大などセキュリティリスクの増大にもつながります。 「もともとシスコ製品を利用していたこともあり、堅牢性や信頼性の高さ 運用に大きく貢献しているといいます。 クリソースが余剰になっている、あるいは足りていない部分がわかれ 事例の概要 「特に近年は、ランサムウェアや標的型攻撃による被害が大きな社会 を評価していました。その上で、今回提案を受けたシスコのセキュリ ば、適切にネットワークを再構築していけるからです。 問題となっています。仮に当社が狙われてマルウェア感染などによっ ティソリューションは、万が一脅威が侵入してしまっても、それを素早く 「水道や電気のように、ネットワークは工場に欠かせないインフラ。高 て工場設備が止まってしまえば、巨額な損失が発生することになりま 検出し、その情報を基に素早く対処することで被害の発生、拡大を防ぐ 結果～今後 性能、高信頼、そして、安全なネットワークを整備できたことは、大き 工場の操業停止は大きな損失につながる。生産エリアのセキュリティを強化したい す。しかも、半導体工場の設備は非常に高額。設備のトラブルも加わ ことができる。生産エリアに最適な仕組みだと感じました」と渡辺氏は な成果です。 IoT を活用したスマートファクトリーの実現に向けても重 生産設備はウイルス対策ソフトが実装できないケースがあり、万が一、脅威に侵入されると れば、被害はさらに拡大することになります」と語るのはキオクシアの 言います。 要な基盤となるでしょう」と川端氏は今回の成果を総括します。課題 検知、防御が困難 川端 利明氏です。 同時に重視したのが、ネットワークの安定性と性能です。というのも生 ネットワーク可視化がなければ SOC の運用は困難 通常のオフィスとは異なるセキュリティ上の課題をシスコのソリューショ 生産エリアのネットワーク刷新は大規模になるが、できるだけコストを抑えたい 産エリアのネットワークはトラフィックが極めて大きく、工場構内は大容 新たに導入したシスコのセキュリティソリューションによって、同社は生 ンで解決したキオクシア。同社の工場の安全性が強化され、安定的に 生産設備はエンドポイントでの対策が困難 量の LAN 回線を敷設しています。そのトラフィックに耐えながら、安 産エリアに脅威が侵入してしまった場合でも、早期に検出し、迅速に対 操業を続けられることは、デジタル化が進む社会全体にとっても大きな もちろん、サイバー攻撃による被害を防ぐため、以前から同社は様々 定的に攻撃を見張ることができる仕組みでなければ、生産活動に影響 応することが可能になりました。 意義を持っているはずです。 な対策を行ってきました。 を与えかねないからです。 「ダミーの脅威を使用した事前検証では、これまで見えてこなかった情 ネットワークそのものが脅威を検知、駆除する仕組みを実装 例えば、ネットワークは複数のセグメントに分けて境界防御を実施。具 「NetFlow は、すべてのトラフィックデータではなく、ネットワークパケッ ソリューション 体的には、オフィスエリア、生産エリア、サーバルーム、DMZ トの一部で監視を行えるためネットワークへの負荷が軽く、巨大なデー キオクシア四日市工場のネットワーク構成 インターネット スイッチを最新モデルへとリプレースし、暗号化通信もそのまま可視化、分析が可能 （DeMilitarized Zone：非武装地帯）にネットワークを分離して、各境界 タセンターやサービスプロバイダーも採用している技術なので、当社の コーポレート 製品の購入方法として一定期間定額で柔軟な機器の追加が可能な Cisco Security ELA を選択 にはゲートウェイ型のセキュリティ製品を設置しています。さらにイン 工場にも十分に対応できると考えました（」川端氏）。 統合データセンター ターネットへの接続は、全社で利用するデータセンターをグループ共通 ASA などの Cisco Firepower Cisco Catalyst 2960-X ファイアウォール のゲートウェイとして利用し、ここでも対策を実施。オフィスエリアの PC には、当然ウイルス対策ソフトを実装するなど、何重もの対策を ASA などの ASA などの仮に脅威が生産エリアに侵入しても早期に発見し、迅速に対処できる体制が整った ファイアウォール 行っています。 Cisco Stealthwatch で ファイアウォール 通信を監視 Cisco Security ELA によって、キャパシティプランニングの簡素化と TCO 削減を実現 Cisco Catalyst 2960-X Cisco Catalyst 2960-X 結果～今後 「分離している各ネットワークセグメントは特性が異なるため、それに キオクシア株式会社 四日市工場 DMZ ネットワークトラフィックの可視化は、ネットワークの全体最適化にも役立つ 応じた対策を施すというのが基本的な考え方です。ただ、どうしても気 IT推進部 サーバルーム 製造システム基盤担当 グループ長 スマートファクトリーなど、工場の進化を支える最適なネットワークを整備できた になったのが、万が一、生産現場にウイルスが侵入した場合です。オ フィスエリアであれば、エンドポイントで検知、駆除することが可能で 渡辺 純平 氏 生産エリア オフィスエリア

工場の生産活動を守るための新セキュリティ 一定期間、定額で機器増設を行える契約方法で、生産設備は PC などとは異なり、エンドポイントでセキュリティ ネットワークが脅威を検知して早期に対処 対策を行えないケースがある。生産ラインを止めることが許され キャパシティプランニングの簡略化、TCO 削減を実現しましたキオクシアホールディングス株式会社 ない工場にとって、シスコのネットワークセキュリティソリューション 情報セキュリティ統括責任者 は最適な仕組みだと感じています。 さらに、それまでファイアウォールが設置されていた四日市工場の入り 報が見えることに驚きました。特にプロトコルごとに通信を可視化でき メモリや SSD（Solid State Drive）の開発、製造、販売を行うキオクシア。同社は生産設備をサイバー攻撃 川端 利明 氏 口には次世代型 IPS（Intrusion Prevention System：侵入防御システ ることは、大きな武器になると感じています。例えば NetBIOS で使わ から守るため、シスコのセキュリティソリューションを導入しました。エンドポイントの対策が困難な生産エリ ム）である Cisco Firepower をインライン型で設置。内部から外部へ れるポート番号 445 で不正な振る舞いを発見できればウイルスが他の の通信を見張るだけでなく、外部からの脅威をブロックするというさら マシンに不正アクセスしていることがわかります。このような脅威情報 アの課題を解決するため、ネットワークの可視化をベースとするソリューションを採用。仮に脅威が侵入して 東芝のメモリ事業を継承する形で 2017 年 4 月に発足したキオクシア。 すが、ウイルス対策ソフトがインストールできないケースがある生産設 なる強化を行うことも決定しました。 をピンポイントで検知することで対応策も迅速に立案、実行できるよう も、ネットワークがそれを検知し、早期に対処することが可能になっています。 2018 年 6 月からは東芝グループを離れ、独立した企業活動を開始し、 備は、それが行えません」と同社の渡辺 純平氏は説明します。 になるでしょう」と井上氏は手応えを語ります。 さらなる成長に向け、機動的かつ迅速な事業運営に取り組める体制を 定額で柔軟に機器の追加が行える ELA を採用 日々の運用は、井上氏がリーダーを務める SOC（Security Operation 整えています。 今回、ネットワークセキュリティを実装するために同社がリプレースし Center）が対応。SOC で集中監視し、脅威が発見された場合には迅 同社の主要ビジネスはメモリや SSD の開発、製造、販売。ビジネス ソリューション たネットワークスイッチ Cisco Catalyst 2960-X は数千にものぼりま 速に対応できる体制を整備しているのです。「今回のネットワーク可視 や私たちの生活で利用する各種電子機器や情報機器にとって必要不可 す。この大規模なプロジェクトの製品購入方法として、同社は Cisco 化がなければ、そもそも SOC の活動を継続すること自体が困難でし 欠な製品です。特に SLC NAND 型フラッシュメモリや三次元フラッ Security ELA（エンタープライズ ライセンス契約）を選択しています。 た（」井上氏）。 シュメモリ「BiCS FLASH™」は、この業界をリードする高度な技術が採 ネットワーク自体が脅威の検出と隔離を実現する 「社会のデジタル化に伴い、メモリへの需要は急速な勢いで増大してお 用されており、社会の可能性拡大に大きな貢献を果たしています。 そこで、同社が生産エリアのセキュリティ強化策として検討したのが、 り、私たちの工場の規模も拡大傾向にあります」と川端氏。それに対し ネットワーク自体が脅威を検知、駆除できる仕組みの確立です。それを て、Cisco Security ELA は、おおよその規模をベースに契約して、一 実現するために複数のソリューションを検討し、最終的にシスコのソ 定期間は定額費用のままライセンスの拡張などを行うことができます。 課題 キオクシア株式会社リューションを採用することを決定しました。 「これなら、拡張の予定があってもキャパシティプランニングを簡略化で 四日市工場 シスコは NaaE（Network as an Enforcer）という考え方のもと、ネット き、長期的な TCO 削減も可能になります。実際、現在、岩手に新工 IT推進部製造システム基盤担当 主務 ワークを可視化し、脅威を見つけ、場合によっては、感染した機器を 場の建設を進めていますが、ELA を活用して、四日市工場の仕組みを 工場の操業停止による損害は巨額 隔離する仕組みを提案しています。 横展開する計画です」と渡辺氏は話します。 井上 陽一郎 氏 製品＆サービス 多くの製造業と同様、現在、同社は工場における IoT 活用に取り組ん 具体的には、ネットワークトラフィックを監視、分析するための技術 また、シスコアドバンスドサービスによる導入時のきめ細かいサポート でいます。同社の生産を一手に担う四日市工場において、生産設備に NetFlow、IP アドレスをベースに攻撃を受けた可能性がある機器の も高く評価されています。 ● Cisco Catalyst 2960-X ● Cisco Stealthwatch ● Cisco Firepower センサーを接続したり、各生産設備をネットワークで接続したりして稼 特定を行うための情報を管理する Cisco ISE（Identity Services 「例えば Cisco Stealthwatch の導入の際には、4 回にわたってオンサ 可視化した情報をネットワークの最適化にも役立てる ● Cisco ISE（Identity Services Engine） ● Cisco Security ELA（エンタープライズ ライセンス契約） 働状況の可視化、データ分析などを行い、生産活動の効率化や最適化 Engine）のデータを利用して、様々な攻撃パターンに関する情報を参照 イトでのナレッジトランスファー（知識伝達）を行ってくれました」と同社 同社は、今回の仕組みで得られる情報をセキュリティだけではなく、工 を促進するためです。 しながら脅威検出を行う Cisco Stealthwatch があやしい振る舞いを の井上 陽一郎氏は振り返ります。今回のプロジェクトでは導入後の運 場ネットワークの最適化にも役立てたいと考えています。どこを、どれく しかし、様々な設備がネットワークでつながるようになることは、ウイル 検出する仕組みです。 用も大きなテーマとなっていましたが、このようなサポートが効果的な らい、どのようなトラフィックが流れているのかを確認して、ネットワー ス被害の拡大などセキュリティリスクの増大にもつながります。 「もともとシスコ製品を利用していたこともあり、堅牢性や信頼性の高さ 運用に大きく貢献しているといいます。 クリソースが余剰になっている、あるいは足りていない部分がわかれ 事例の概要 「特に近年は、ランサムウェアや標的型攻撃による被害が大きな社会 を評価していました。その上で、今回提案を受けたシスコのセキュリ ば、適切にネットワークを再構築していけるからです。 問題となっています。仮に当社が狙われてマルウェア感染などによっ ティソリューションは、万が一脅威が侵入してしまっても、それを素早く 「水道や電気のように、ネットワークは工場に欠かせないインフラ。高 て工場設備が止まってしまえば、巨額な損失が発生することになりま 検出し、その情報を基に素早く対処することで被害の発生、拡大を防ぐ 結果～今後 性能、高信頼、そして、安全なネットワークを整備できたことは、大き 工場の操業停止は大きな損失につながる。生産エリアのセキュリティを強化したい す。しかも、半導体工場の設備は非常に高額。設備のトラブルも加わ ことができる。生産エリアに最適な仕組みだと感じました」と渡辺氏は な成果です。 IoT を活用したスマートファクトリーの実現に向けても重 生産設備はウイルス対策ソフトが実装できないケースがあり、万が一、脅威に侵入されると れば、被害はさらに拡大することになります」と語るのはキオクシアの 言います。 要な基盤となるでしょう」と川端氏は今回の成果を総括します。課題 検知、防御が困難 川端 利明氏です。 同時に重視したのが、ネットワークの安定性と性能です。というのも生 ネットワーク可視化がなければ SOC の運用は困難 通常のオフィスとは異なるセキュリティ上の課題をシスコのソリューショ 生産エリアのネットワーク刷新は大規模になるが、できるだけコストを抑えたい 産エリアのネットワークはトラフィックが極めて大きく、工場構内は大容 新たに導入したシスコのセキュリティソリューションによって、同社は生 ンで解決したキオクシア。同社の工場の安全性が強化され、安定的に 生産設備はエンドポイントでの対策が困難 量の LAN 回線を敷設しています。そのトラフィックに耐えながら、安 産エリアに脅威が侵入してしまった場合でも、早期に検出し、迅速に対 操業を続けられることは、デジタル化が進む社会全体にとっても大きな もちろん、サイバー攻撃による被害を防ぐため、以前から同社は様々 定的に攻撃を見張ることができる仕組みでなければ、生産活動に影響 応することが可能になりました。 意義を持っているはずです。 な対策を行ってきました。 を与えかねないからです。 「ダミーの脅威を使用した事前検証では、これまで見えてこなかった情 ネットワークそのものが脅威を検知、駆除する仕組みを実装 例えば、ネットワークは複数のセグメントに分けて境界防御を実施。具 「NetFlow は、すべてのトラフィックデータではなく、ネットワークパケッ ソリューション 体的には、オフィスエリア、生産エリア、サーバルーム、DMZ トの一部で監視を行えるためネットワークへの負荷が軽く、巨大なデー キオクシア四日市工場のネットワーク構成 インターネット スイッチを最新モデルへとリプレースし、暗号化通信もそのまま可視化、分析が可能 （DeMilitarized Zone：非武装地帯）にネットワークを分離して、各境界 タセンターやサービスプロバイダーも採用している技術なので、当社の コーポレート 製品の購入方法として一定期間定額で柔軟な機器の追加が可能な Cisco Security ELA を選択 にはゲートウェイ型のセキュリティ製品を設置しています。さらにイン 工場にも十分に対応できると考えました（」川端氏）。 統合データセンター ターネットへの接続は、全社で利用するデータセンターをグループ共通 ASA などの Cisco Firepower Cisco Catalyst 2960-X ファイアウォール のゲートウェイとして利用し、ここでも対策を実施。オフィスエリアの PC には、当然ウイルス対策ソフトを実装するなど、何重もの対策を ASA などの ASA などの仮に脅威が生産エリアに侵入しても早期に発見し、迅速に対処できる体制が整った ファイアウォール 行っています。 Cisco Stealthwatch で ファイアウォール 通信を監視 Cisco Security ELA によって、キャパシティプランニングの簡素化と TCO 削減を実現 Cisco Catalyst 2960-X Cisco Catalyst 2960-X 結果～今後 「分離している各ネットワークセグメントは特性が異なるため、それに キオクシア株式会社 四日市工場 DMZ ネットワークトラフィックの可視化は、ネットワークの全体最適化にも役立つ 応じた対策を施すというのが基本的な考え方です。ただ、どうしても気 IT推進部 サーバルーム 製造システム基盤担当 グループ長 スマートファクトリーなど、工場の進化を支える最適なネットワークを整備できた になったのが、万が一、生産現場にウイルスが侵入した場合です。オ フィスエリアであれば、エンドポイントで検知、駆除することが可能で 渡辺 純平 氏 生産エリア オフィスエリア

工場の生産活動を守るための新セキュリティ 一定期間、定額で機器増設を行える契約方法で、生産設備は PC などとは異なり、エンドポイントでセキュリティ ネットワークが脅威を検知して早期に対処 対策を行えないケースがある。生産ラインを止めることが許され キャパシティプランニングの簡略化、TCO 削減を実現しましたキオクシアホールディングス株式会社 ない工場にとって、シスコのネットワークセキュリティソリューション 情報セキュリティ統括責任者 は最適な仕組みだと感じています。 さらに、それまでファイアウォールが設置されていた四日市工場の入り 報が見えることに驚きました。特にプロトコルごとに通信を可視化でき メモリや SSD（Solid State Drive）の開発、製造、販売を行うキオクシア。同社は生産設備をサイバー攻撃 川端 利明 氏 口には次世代型 IPS（Intrusion Prevention System：侵入防御システ ることは、大きな武器になると感じています。例えば NetBIOS で使わ から守るため、シスコのセキュリティソリューションを導入しました。エンドポイントの対策が困難な生産エリ ム）である Cisco Firepower をインライン型で設置。内部から外部へ れるポート番号 445 で不正な振る舞いを発見できればウイルスが他の の通信を見張るだけでなく、外部からの脅威をブロックするというさら マシンに不正アクセスしていることがわかります。このような脅威情報 アの課題を解決するため、ネットワークの可視化をベースとするソリューションを採用。仮に脅威が侵入して 東芝のメモリ事業を継承する形で 2017 年 4 月に発足したキオクシア。 すが、ウイルス対策ソフトがインストールできないケースがある生産設 なる強化を行うことも決定しました。 をピンポイントで検知することで対応策も迅速に立案、実行できるよう も、ネットワークがそれを検知し、早期に対処することが可能になっています。 2018 年 6 月からは東芝グループを離れ、独立した企業活動を開始し、 備は、それが行えません」と同社の渡辺 純平氏は説明します。 になるでしょう」と井上氏は手応えを語ります。 さらなる成長に向け、機動的かつ迅速な事業運営に取り組める体制を 定額で柔軟に機器の追加が行える ELA を採用 日々の運用は、井上氏がリーダーを務める SOC（Security Operation 整えています。 今回、ネットワークセキュリティを実装するために同社がリプレースし Center）が対応。SOC で集中監視し、脅威が発見された場合には迅 同社の主要ビジネスはメモリや SSD の開発、製造、販売。ビジネス ソリューション たネットワークスイッチ Cisco Catalyst 2960-X は数千にものぼりま 速に対応できる体制を整備しているのです。「今回のネットワーク可視 や私たちの生活で利用する各種電子機器や情報機器にとって必要不可 す。この大規模なプロジェクトの製品購入方法として、同社は Cisco 化がなければ、そもそも SOC の活動を継続すること自体が困難でし 欠な製品です。特に SLC NAND 型フラッシュメモリや三次元フラッ Security ELA（エンタープライズ ライセンス契約）を選択しています。 た（」井上氏）。 シュメモリ「BiCS FLASH™」は、この業界をリードする高度な技術が採 ネットワーク自体が脅威の検出と隔離を実現する 「社会のデジタル化に伴い、メモリへの需要は急速な勢いで増大してお 用されており、社会の可能性拡大に大きな貢献を果たしています。 そこで、同社が生産エリアのセキュリティ強化策として検討したのが、 り、私たちの工場の規模も拡大傾向にあります」と川端氏。それに対し ネットワーク自体が脅威を検知、駆除できる仕組みの確立です。それを て、Cisco Security ELA は、おおよその規模をベースに契約して、一 実現するために複数のソリューションを検討し、最終的にシスコのソ 定期間は定額費用のままライセンスの拡張などを行うことができます。 課題 キオクシア株式会社リューションを採用することを決定しました。 「これなら、拡張の予定があってもキャパシティプランニングを簡略化で 四日市工場 シスコは NaaE（Network as an Enforcer）という考え方のもと、ネット き、長期的な TCO 削減も可能になります。実際、現在、岩手に新工 IT推進部製造システム基盤担当 主務 ワークを可視化し、脅威を見つけ、場合によっては、感染した機器を 場の建設を進めていますが、ELA を活用して、四日市工場の仕組みを 工場の操業停止による損害は巨額 隔離する仕組みを提案しています。 横展開する計画です」と渡辺氏は話します。 井上 陽一郎 氏 製品＆サービス 多くの製造業と同様、現在、同社は工場における IoT 活用に取り組ん 具体的には、ネットワークトラフィックを監視、分析するための技術 また、シスコアドバンスドサービスによる導入時のきめ細かいサポート でいます。同社の生産を一手に担う四日市工場において、生産設備に NetFlow、IP アドレスをベースに攻撃を受けた可能性がある機器の も高く評価されています。 ● Cisco Catalyst 2960-X ● Cisco Stealthwatch ● Cisco Firepower センサーを接続したり、各生産設備をネットワークで接続したりして稼 特定を行うための情報を管理する Cisco ISE（Identity Services 「例えば Cisco Stealthwatch の導入の際には、4 回にわたってオンサ 可視化した情報をネットワークの最適化にも役立てる ● Cisco ISE（Identity Services Engine） ● Cisco Security ELA（エンタープライズ ライセンス契約） 働状況の可視化、データ分析などを行い、生産活動の効率化や最適化 Engine）のデータを利用して、様々な攻撃パターンに関する情報を参照 イトでのナレッジトランスファー（知識伝達）を行ってくれました」と同社 同社は、今回の仕組みで得られる情報をセキュリティだけではなく、工 を促進するためです。 しながら脅威検出を行う Cisco Stealthwatch があやしい振る舞いを の井上 陽一郎氏は振り返ります。今回のプロジェクトでは導入後の運 場ネットワークの最適化にも役立てたいと考えています。どこを、どれく しかし、様々な設備がネットワークでつながるようになることは、ウイル 検出する仕組みです。 用も大きなテーマとなっていましたが、このようなサポートが効果的な らい、どのようなトラフィックが流れているのかを確認して、ネットワー ス被害の拡大などセキュリティリスクの増大にもつながります。 「もともとシスコ製品を利用していたこともあり、堅牢性や信頼性の高さ 運用に大きく貢献しているといいます。 クリソースが余剰になっている、あるいは足りていない部分がわかれ 事例の概要 「特に近年は、ランサムウェアや標的型攻撃による被害が大きな社会 を評価していました。その上で、今回提案を受けたシスコのセキュリ ば、適切にネットワークを再構築していけるからです。 問題となっています。仮に当社が狙われてマルウェア感染などによっ ティソリューションは、万が一脅威が侵入してしまっても、それを素早く 「水道や電気のように、ネットワークは工場に欠かせないインフラ。高 て工場設備が止まってしまえば、巨額な損失が発生することになりま 検出し、その情報を基に素早く対処することで被害の発生、拡大を防ぐ 結果～今後 性能、高信頼、そして、安全なネットワークを整備できたことは、大き 工場の操業停止は大きな損失につながる。生産エリアのセキュリティを強化したい す。しかも、半導体工場の設備は非常に高額。設備のトラブルも加わ ことができる。生産エリアに最適な仕組みだと感じました」と渡辺氏は な成果です。 IoT を活用したスマートファクトリーの実現に向けても重 生産設備はウイルス対策ソフトが実装できないケースがあり、万が一、脅威に侵入されると れば、被害はさらに拡大することになります」と語るのはキオクシアの 言います。 要な基盤となるでしょう」と川端氏は今回の成果を総括します。課題 検知、防御が困難 川端 利明氏です。 同時に重視したのが、ネットワークの安定性と性能です。というのも生 ネットワーク可視化がなければ SOC の運用は困難 通常のオフィスとは異なるセキュリティ上の課題をシスコのソリューショ 生産エリアのネットワーク刷新は大規模になるが、できるだけコストを抑えたい 産エリアのネットワークはトラフィックが極めて大きく、工場構内は大容 新たに導入したシスコのセキュリティソリューションによって、同社は生 ンで解決したキオクシア。同社の工場の安全性が強化され、安定的に 生産設備はエンドポイントでの対策が困難 量の LAN 回線を敷設しています。そのトラフィックに耐えながら、安 産エリアに脅威が侵入してしまった場合でも、早期に検出し、迅速に対 操業を続けられることは、デジタル化が進む社会全体にとっても大きな もちろん、サイバー攻撃による被害を防ぐため、以前から同社は様々 定的に攻撃を見張ることができる仕組みでなければ、生産活動に影響 応することが可能になりました。 意義を持っているはずです。 な対策を行ってきました。 を与えかねないからです。 「ダミーの脅威を使用した事前検証では、これまで見えてこなかった情 ネットワークそのものが脅威を検知、駆除する仕組みを実装 例えば、ネットワークは複数のセグメントに分けて境界防御を実施。具 「NetFlow は、すべてのトラフィックデータではなく、ネットワークパケッ ソリューション 体的には、オフィスエリア、生産エリア、サーバルーム、DMZ トの一部で監視を行えるためネットワークへの負荷が軽く、巨大なデー キオクシア四日市工場のネットワーク構成 インターネット スイッチを最新モデルへとリプレースし、暗号化通信もそのまま可視化、分析が可能 （DeMilitarized Zone：非武装地帯）にネットワークを分離して、各境界 タセンターやサービスプロバイダーも採用している技術なので、当社の コーポレート 製品の購入方法として一定期間定額で柔軟な機器の追加が可能な Cisco Security ELA を選択 にはゲートウェイ型のセキュリティ製品を設置しています。さらにイン 工場にも十分に対応できると考えました（」川端氏）。 統合データセンター ターネットへの接続は、全社で利用するデータセンターをグループ共通 ASA などの Cisco Firepower Cisco Catalyst 2960-X ファイアウォール のゲートウェイとして利用し、ここでも対策を実施。オフィスエリアの PC には、当然ウイルス対策ソフトを実装するなど、何重もの対策を ASA などの ASA などの仮に脅威が生産エリアに侵入しても早期に発見し、迅速に対処できる体制が整った ファイアウォール 行っています。 Cisco Stealthwatch で ファイアウォール 通信を監視 Cisco Security ELA によって、キャパシティプランニングの簡素化と TCO 削減を実現 Cisco Catalyst 2960-X Cisco Catalyst 2960-X 結果～今後 「分離している各ネットワークセグメントは特性が異なるため、それに キオクシア株式会社 四日市工場 DMZ ネットワークトラフィックの可視化は、ネットワークの全体最適化にも役立つ 応じた対策を施すというのが基本的な考え方です。ただ、どうしても気 IT推進部 サーバルーム 製造システム基盤担当 グループ長 スマートファクトリーなど、工場の進化を支える最適なネットワークを整備できた になったのが、万が一、生産現場にウイルスが侵入した場合です。オ フィスエリアであれば、エンドポイントで検知、駆除することが可能で 渡辺 純平 氏 生産エリア オフィスエリア

シスコの製造業向けセキュリティソリューション Corporate Profile シスコ セキュリティ ソリューション導入事例 多くの製造業が目指すスマートファクトリー キオクシア株式会社 Cisco Security Solutions 所在地 東京都港区芝浦 3-1-21 田町ステーションタワー S かつては独自プロトコルで通信を行い、閉じた世界で稼働することが主だった工場の生産設備はイーサネット対応が当然と Case Study設立 2017 年 4 月 1 日 なり、様々な IT と組み合わせて利用されるようになっています。その潮流をさらに加速させたのが IoT や AI といった技術 従業員数 単独：約 10,000 名、連結：約 12,000 名 です。有線、さらには無線ネットワークも駆使して生産設備やセンサーから稼働情報などを収集して AI で解析。トラブルを URL https://www.kioxia.com/ja-jp/top.html 予兆の段階で検出する高度な稼働監視、さらには人手で行っていた検品の自動化などが実現しています。また、拠点間で メモリ・SSD の開発、製造、販売を行う半導体メーカー。四日市工場 である点、また、AI や IoT の進展に伴うデータ量の急増などを背景に、 データをやりとりしながら、サプライチェーン全体で生産を最適化するという取り組みも進んでいます。いわゆるスマート キオクシア株式会社様 は、フラッシュメモリ製造では世界最大級の規模を誇る。スマートフォン、 同社製品に対する需要は年々高まっている。 ファクトリーの実現です。 パソコンなどの電子機器、データセンターなどの情報インフラに不可欠 なぜ、今、工場のセキュリティ強化が重要なのか 工場の生産活動を守るための新セキュリティ しかし、スマートファクトリーを実現しようとすると新しい課題にも直面します。セキュリティです。様々なシステムやデバイス、 電子機器の進化、情報社会の進展をグローバルに支えるキオクシアの技術 ネットワークが脅威を検知して早期に対処 設備が有線・無線ネットワークでつながるということは、サイバー攻撃に遭うリスクも高まるからです。特に工場の生産設備が 被害に遭うと、操業停止の恐れもあり、十分な対策が求められています。 キオクシア Step 1 Step 2 Step 3 ロボット／生産設備 工場／製造ライン デジタルマニュファクチャリング ネットワーク化 統合ネットワーク インダストリー 4.0 セル単位のネットワーク 工場全体のネットワーク 自律的生産システム 生産設備のイーサネット対応 製造データの相関分析 企業間リアルタイム SCM 連携 製造情報のデータベース化 製造工程の可視化 AI／ディープラーニング活用 トレーサビリティ 生産設備の予防保全 ビジョンデータの活用 完全なオートメーション 稼働率の可視化 スマートファクトリー 品質向上 不良率の低減 セキュリティの必要性 ネットワークの重要性 シスコからの提案 工場の生産設備は、ウイルス対策ソフトのインストールが難しいといった事情を持っています。そこで、シスコが提案するのが ネットワークレベルの対策です。ネットワークスイッチ自体がセンサーとなり、ネットワーク上のあやしい振る舞いを常に監視。 脅威を検出し、仮に脅威が侵入した際にも、迅速かつ的確な対応で被害を最小化します。 過酷な条件でも安定稼働を続けるスイッチやルータ、アクセスポイントなどの産業用機器やデータのやりとりに必要な IoT ゲートウェイなど、製造業向けのソリューションに加え、このネットワークセキュリティによって、シスコは製造業のお客様の ビジネスを支援しています。 1 トラフィックを提供 ©2019 Cisco Systems, Inc. All rights reserved. NetFlow Cisco Stealthwatch Cisco、Cisco Systems、および Cisco Systems ロゴは、Cisco Systems, Inc. またはその関連会社の米国およびその他の一定の国における登録商標または商標です。 本書類またはウェブサイトに掲載されているその他の商標はそれぞれの権利者の財産です。 2 ネットワークを監視。脅威も発見 「パートナー」 または「 partner」 という用語の使用は Cisco と他社との間のパートナーシップ関係を意味するものではありません。（1502R ） この資料の記載内容は 2019 年 6 月現在のものです。 この資料に記載された仕様は予告なく変更する場合があります。 Cisco ISE 3 感染端末を特定。隔離を指示 シスコシステムズ合同会社 お問い合せ先 〒 107-6227 東京都港区赤坂 9-7-1 ミッドタウン・タワー 4 通信を遮断して隔離 http://www.cisco.com/jp 高度かつ悪質な脅威も検出 特 長 インシデント対応の迅速化 ネットワークへの負担を抑える 2176-2009-000-BL

シスコの製造業向けセキュリティソリューション Corporate Profile シスコ セキュリティ ソリューション導入事例 多くの製造業が目指すスマートファクトリー キオクシア株式会社 Cisco Security Solutions 所在地 東京都港区芝浦 3-1-21 田町ステーションタワー S かつては独自プロトコルで通信を行い、閉じた世界で稼働することが主だった工場の生産設備はイーサネット対応が当然と Case Study設立 2017 年 4 月 1 日 なり、様々な IT と組み合わせて利用されるようになっています。その潮流をさらに加速させたのが IoT や AI といった技術 従業員数 単独：約 10,000 名、連結：約 12,000 名 です。有線、さらには無線ネットワークも駆使して生産設備やセンサーから稼働情報などを収集して AI で解析。トラブルを URL https://www.kioxia.com/ja-jp/top.html 予兆の段階で検出する高度な稼働監視、さらには人手で行っていた検品の自動化などが実現しています。また、拠点間で メモリ・SSD の開発、製造、販売を行う半導体メーカー。四日市工場 である点、また、AI や IoT の進展に伴うデータ量の急増などを背景に、 データをやりとりしながら、サプライチェーン全体で生産を最適化するという取り組みも進んでいます。いわゆるスマート キオクシア株式会社様 は、フラッシュメモリ製造では世界最大級の規模を誇る。スマートフォン、 同社製品に対する需要は年々高まっている。 ファクトリーの実現です。 パソコンなどの電子機器、データセンターなどの情報インフラに不可欠 なぜ、今、工場のセキュリティ強化が重要なのか 工場の生産活動を守るための新セキュリティ しかし、スマートファクトリーを実現しようとすると新しい課題にも直面します。セキュリティです。様々なシステムやデバイス、 電子機器の進化、情報社会の進展をグローバルに支えるキオクシアの技術 ネットワークが脅威を検知して早期に対処 設備が有線・無線ネットワークでつながるということは、サイバー攻撃に遭うリスクも高まるからです。特に工場の生産設備が 被害に遭うと、操業停止の恐れもあり、十分な対策が求められています。 キオクシア Step 1 Step 2 Step 3 ロボット／生産設備 工場／製造ライン デジタルマニュファクチャリング ネットワーク化 統合ネットワーク インダストリー 4.0 セル単位のネットワーク 工場全体のネットワーク 自律的生産システム 生産設備のイーサネット対応 製造データの相関分析 企業間リアルタイム SCM 連携 製造情報のデータベース化 製造工程の可視化 AI／ディープラーニング活用 トレーサビリティ 生産設備の予防保全 ビジョンデータの活用 完全なオートメーション 稼働率の可視化 スマートファクトリー 品質向上 不良率の低減 セキュリティの必要性 ネットワークの重要性 シスコからの提案 工場の生産設備は、ウイルス対策ソフトのインストールが難しいといった事情を持っています。そこで、シスコが提案するのが ネットワークレベルの対策です。ネットワークスイッチ自体がセンサーとなり、ネットワーク上のあやしい振る舞いを常に監視。 脅威を検出し、仮に脅威が侵入した際にも、迅速かつ的確な対応で被害を最小化します。 過酷な条件でも安定稼働を続けるスイッチやルータ、アクセスポイントなどの産業用機器やデータのやりとりに必要な IoT ゲートウェイなど、製造業向けのソリューションに加え、このネットワークセキュリティによって、シスコは製造業のお客様の ビジネスを支援しています。 1 トラフィックを提供 ©2019 Cisco Systems, Inc. All rights reserved. NetFlow Cisco Stealthwatch Cisco、Cisco Systems、および Cisco Systems ロゴは、Cisco Systems, Inc. またはその関連会社の米国およびその他の一定の国における登録商標または商標です。 本書類またはウェブサイトに掲載されているその他の商標はそれぞれの権利者の財産です。 2 ネットワークを監視。脅威も発見 「パートナー」 または「 partner」 という用語の使用は Cisco と他社との間のパートナーシップ関係を意味するものではありません。（1502R ） この資料の記載内容は 2019 年 6 月現在のものです。 この資料に記載された仕様は予告なく変更する場合があります。 Cisco ISE 3 感染端末を特定。隔離を指示 シスコシステムズ合同会社 お問い合せ先 〒 107-6227 東京都港区赤坂 9-7-1 ミッドタウン・タワー 4 通信を遮断して隔離 http://www.cisco.com/jp 高度かつ悪質な脅威も検出 特 長 インシデント対応の迅速化 ネットワークへの負担を抑える 2176-2009-000-BL