サイバーセキュリティ展開ガイドライン

This article has been translated automatically. See the original version.

設置および就役の安全性
Ekip Connectをネットワークやデバイスに接続する前に、セキュリティ侵害やマルウェアのリスクを最小限に抑えるために、以下のセキュリティチェックリストに従ってください。

1. オペレーティングシステム

  • Windows 11で最新のセキュリティパッチを適用してデプロイしてください(最低でもWindows 10、公式サポート終了は2027年1月)

    脅威緩和: 既知のOS脆弱性、未修正のセキュリティ脆弱性、システムレベルの特権エスカレーション攻撃。

  • BIOSでセキュアブートを有効にする(Windows 11で必須)

    脅威緩和:Bootkit攻撃、不正なブートレベルのコード実行、起動プロセスの改ざ

2. ワークステーションのセキュリティ

  • Ekip Connectワークステーションへの物理的アクセスを制限する

    脅威緩和: 物理的な改ざん、不正なデバイスアクセス、直接的なハードウェア操作。

  • フルディスク暗号化(BitLockerまたは同等のもの)を有効にする

    脅威緩和: ワークステーションが盗難または物理的に侵害された場合のデータ流出;機密性の高い保存データへの不正アクセス。

  • 自動ログインを無効にしてください;パスワード保護ログインの設定

    脅威緩和: 物理的にアクセスできる脅威アクターやロック解除されたワークステーションへの不正アクセス。

  • 自動画面ロックの設定(推奨15分)

    脅威緩和: ユーザーが不在時のEkipConnectアプリケーションおよび接続システムへの不正アクセス

  • Windows Firewallを有効にし、受信ルールをデフォルト拒否する

    脅威の軽減: 不正なネットワークアクセス、望まれない受信トラフィック、マルウェアによるコマンド&コントロール通信。

3. ソフトウェア保護

  • アンチウイルス+アンチマルウェアソフトをインストールしてください

    脅威の軽減: マルウェア感染、トロイの木馬の実行、ワークステーション上で実行される悪意のあるコード。

  • リアルタイムScanningと日々のフルスキャンを設定しましょう。

    脅威緩和: マルウェア実行のリアルタイム検出と防止;休眠状態または最近導入された脅威の特定。

  • 自動アンチウイルス定義更新を有効にする

    脅威緩和: 新たまたは最近発見されたマルウェアのバリアントによるアンチウイルス検出の回避。

4. ユーザー認証

  • すべてのユーザーはMyABB(ABBノートパソコンの場合)で認証する必要があります。

    脅威緩和: 認証されていない、またはなりすましたユーザーによるEkipConnectへの不正アクセス。

  • 強力なパスワードの強制(最低8文字、3文字タイプ)

    脅威軽減: ブルートフォース攻撃、辞書攻撃、脅威アクターによるパスワード推測。

  • MyABBの多要素認証(MFA)を有効にする

    脅威の軽減: ユーザー認証情報が漏洩または盗まれた場合でもアカウント乗っ取りや不正アクセス

  • 同じユーザーアカウントから同時セッションを無効にしてください

    脅威緩和: 別のワークステーションやデバイスで盗まれたまたは侵害された認証情報を使った不正アクセス。

5. ネットワーク構成

  •  専用管理ネットワークセグメント(別VLAN)で展開

    脅威緩和: 侵害された企業システムからの攻撃者による横移動;重要な管理機能への不正アクセス。

  • ファイアウォールを必要なアウトバウンドポートのみ許可するように設定する:

      • ポート443/TCP(HTTPSクラウド接続)

      • ポート53/UDP(DNS)

      • ポート123/UDP(NTP)

    脅威の軽減: 不正な送信、マルウェアのコマンド&コントロールコールバック、攻撃者インフラへのデータ流出。

  • デバイスネットワークをエンタープライズネットワークから分離する(ファイアウォール必須)

    脅威緩和: 企業と重要デバイスネットワーク間の横移動;安全上重要なデバイスへの不正アクセス。

6. 自動更新

  • 自動Windowsアップデートを有効にしてください

    脅威緩和: 既知のOS脆弱性とシステムレベルのセキュリティパッチをタイムリーに展開します。

  • アンチウイルスで定義を自動更新するように設定してください

    脅威緩和: 新しいマルウェアのバリエーションやゼロデイマルウェアによる検知回避。

7. 初期検証

  • Secure Bootが有効かどうか確認してください
  • Windowsファイアウォールが有効になっているか確認してください
  •  アンチウイルスが稼働し、最新の状態であることを確認しましょう

    脅威緩和:設定ミス、セキュリティ管理の失敗、必須セキュリティベースラインの未完全展開。

     

ファイアウォールの設定とセキュリティ

Ekip Connectは異なる通信方式に特定のポートを使用します。適切なファイアウォール設定はセキュリティに不可欠です。

 

必須のポート(クラウド機能に必須)

ポート443/TCP(HTTPS - クラウド接続)

  • ABB ELSP デジタルマネージャーAPI
  • ABB能力プラットフォーム接続
  • ファームウェアライブラリへのアクセス
  • アップデートとパッチのダウンロード
  • クラウド機能には有効化が必要です
  • 常に暗号化(TLS 1.2以上)

    脅威緩和: クラウド通信に対する中間者攻撃(TLS暗号化による軽減);クラウドAPIやファームウェアライブラリへの不正アクセス;ファームウェアのアップデートやセキュリティパッチの遮蔽

ポート53/UDP(DNS - ドメイン名解決)

  • ABBクラウドエンドポイントの解決に必要です
  • クラウド接続には必ず有効にする必要があります
  • 暗号化なし(標準DNSプロトコル)
  • 信頼できるDNSサーバーの使用をおすすめします

    脅威緩和: EkipConnectを悪意あるクラウドエンドポイントにリダイレクトするDNSスプーフィング攻撃;DNSキャッシュポイズニング;クラウド接続の不正なリダイレクト

     

おすすめポート(強くおすすめ)

ポート123/UDP(NTP - 時間同期)

  • システムクロック精度のためのネットワークタイムプロトコル
  • ログのタイムスタンプの正確性とセキュリティに重要です
  • 強くおすすめしますが、必須ではありません
  • ネットワーク構成が許す場合は有効化してください

    脅威緩和: ログタイムスタンプの改ざんと操作;時間ベースのセキュリティ制御を無効化するクロックスキュー攻撃、不正確な監査記録とインシデント再構築

     

デバイス通信ポート(デバイス接続用)

ポート502/TCP(Modbus TCP)

  • イーサネットを介したデバイス間 Ekip Connect 通信
  • 双方向(デバイスが再接続可能)
  • 暗号化されていないプロトコル(ネットワークセグメンテーションが必要)
  • デバイスネットワークでのみ有効化(インターネット接続不可)
  • ファイアウォールはこのポートを認可されたデバイスのみに制限すべきです

    脅威緩和: 不正なデバイス通信およびパラメータ操作;管理インターフェースに接続する不正なデバイス;暗号化されていないデバイストラフィックの盗み聞き(ネットワークセグメンテーションによる緩和);不正ネットワークセグメントによるサービス拒否攻撃

ポート69/UDP(TFTP - トリビアルファイル転送プロトコル)

  • ファームウェアのダウンロードとデバイスプロビジョニング
  • 双方向通信
  • 暗号化されていない(孤立したネットワークでのみ使用)
  • ファームウェアアップデート時のみ必要です
  • メンテナンス期間外では無効化可能です

    脅威緩和: 不正なファームウェアのダウンロードと展開;TFTPによる悪意あるファームウェア注入、ネットワーク隔離によって緩和される中間者攻撃(ネットワーク隔離による軽減);不正デバイスプロビジョニング;暗号化されていないファームウェア転送での盗み出し

 

注意:デバイスをABB Ability™ EMおよびAMにプロビジョニングする際は、上記のアクティブポートに基づいてファイアウォールが正しく設定されているか必ず確認してください。通信に問題が発生した場合は、一時的にファイアウォールを無効にし、プロビジョニングの最後に再度有効にしてください。

 

安全情報の詳細については、こちらをクリックしてください。