【技術レポート】プラントとクラウドのIoTプラットホームをつなぐ 安全なIoTゲートウェイアーキテクチャとは

Technical report Secure IoT Gateway Architecture プラントとクラウドのIoTプラットホームをつなぐ 安全な IoTゲートウェイアーキテクチャとは 産業向けに使用されている IoTゲートウェイのアーキテクチャと、 さらに安全性が強化されたアーキテクチャをご紹介します。 インダストリー 4.0 や産業用 IoT の登場により、プラントの制御システムをクラウドに接続するこ とへの関心が高まってきています。クラウド上の IoT プラットホームを利用した遠隔監視は、プラン トのデータを有効利用し生産性の向上に役立てられることが期待されています。機器からクラウドへ 連携する方法の１つに、OPC UA を使用してデータを収集し、MQTT ゲートウェイを使用してクラ ウドに送信することがあげられます。セキュリティ面においても望ましい組み合わせになりますが、 全てのユーザーのニーズを満たすとは限りません。まずは産業用の一般的な IoT ゲートウェイの構造 を説明したうえでセキュリティを強化する方式を紹介します。 １. 一般的な IoTゲートウェイ ２. DMZとデイジーチェーン接続 ３. DHTPで安全性が強化された IoTゲートウェイ ４. IoT ソリューションのご紹介 ４-１. プラントとクラウドまでを容易に接続するミドルウェアDataHub ４-２. VPNを使わない安全な高速・双方向データ通信サービス iBRESS Cloud ４-３. 来て！見て！試して！『IIoT Lab』 ４-４. 充実のセミナー＆ハンズオン ４-５. OPC UA 技術の評価ラボ © Skkynet Cloud Systems, Inc. & BellChild Co.,Ltd. IIoT（Industrial Internet of Things）技術のご紹介

　Skkynet の DataHub IoT ゲートウェイソフトウエアは、 １. 一般的な IoTゲートウェイ OPC UA インターフェイスによりプラント内での安全な通信を 提供し、MQTT によりプラントからクラウドへの安全な通信を 　一般的な産業用 IoT ゲートウェイでは、プラント内とプラント 提供できます。 からクラウドへの２つの通信を組み合わせます。 　プラント内の通信には OPC UA が使用されています。OPC UA は、インダストリー 4.0 および産業用 IoT の安全な通信規 格として推奨されていますが、これはOPC UAがアプリケーショ ン層での認証と承認を含む多層セキュリティに加え、トランス ポート層での証明書の使用による暗号化とデータの整合性を提供 ※矢印は初期接続パスを示しています。接続確立後、双方向通信が可能となります。 するためです。しかし、プラントからクラウドへ接続する場合は、 プラントからクラウドへ接続できるようファイアウォールの外側 　すべての IoT ゲートウェイは、OPC UA のセキュリティ機能 からのポートを開く必要があるため、OPC UA は必ずしも安全 とデータ交換機能をサポートする必要があり、MQTT の安全な とは限りません。 接続に加え、SSL 証明書ベースによってトランスポート層での セキュリティもサポートする必要があります。この組み合わせに 　MQTT は、プラントからクラウドへの接続によく使用されて より、プラントのデバイスや機器からクラウドへの強固で安全な います。Microsoft Azure、Google Cloud、Amazon IoT 通信が期待できます。ただし、この接続方式にはひとつ欠点があ Core などのクラウドサービスでサポートされているため、IoT り、OPC UA のデータをクラウドに送信する IoT ゲートウェイ ゲートウェイに有用な通信規格です。MQTT を使用することで で「インターネットへの直接接続」が必要となります。企業のセ ファイアウォールの外側からのポートを開かずに内側(プラント) キュリティポリシーでプラントからのインターネットへ直接接続 から外側 ( クラウド ) へのアウトバウンド接続を確立できます。 が許可されていない場合は、直接接続をせずに安全にデータを送 これはプラントの制御システムの安全確保に不可欠な方式です。 信するためのシステム要件が必要です。 のデータモデルと動作を再構築する必要があります。OPC UA ２. DMZとデイジーチェーン接続 は複雑であるため、このような再構築を行うことはできません。 加えて、クライアントがサーバーに接続しなければならず、サー 　さらに安全な通信を実現するために、多くの企業はプラント バーはクライアントが接続できるようリッスン状態にしておく ネットワークの内部と外部を分離した中間のネットワーク（以 必要があります。これを満たすには外側からのポートを開かな 下「DMZ（非武装地帯）」）を設けています。そのほか、データ ければならないため、回避したいシステム要件です。 を IT 側に送信し、データストリームの一部に接続し、クラウド に送信する方式も考えられます。実際、安全性の高いプラント 　MQTT は特別に設計されたブローカとデイジーチェーン接続 はインターネットには直接接続されていないため、IT 部門また できますが、各ノードがチェーンの一部であることを認識し、 は DMZ を介してデータを送信しています。どちらの場合も「デ 個別に構成する必要があります。システム内のすべての MQTT イジーチェーン」とも呼ばれるマルチホップが必要となります。 クライアントは、他のすべてのデータソースとなる MQTT ク ライアントを認識しなければならず、各データ項目を接続元の 　堅牢なデイジーチェーン接続では、各ホップは全ての受信デー ステータスと関連付けるように構成する必要があります。この タを確実に再送信すると同時に、チェーンに沿った任意の場所 構成は、セキュリティを重要視するシステムにおいては、莫大 でネットワーク接続の障害をダウンストリームクライアントに なメンテナンスコストを必要とします。また、MQTT のサービ 通知する必要があります。しかしながら OPC UA も MQTT も ス品質は、チェーン全体に伝播することができないため、この このユースケース用には設計されていません。 マルチホップではクライアントが最新の値を持っていることを 保証できません。 　OPC UA は、クライアントがサーバーに直接接続され、サー バーが主要な情報源であることを前提としています。ところが ※デイジーチェーン接続とは、一般的に複数の機器を数珠つな ぎにつないでいく接続方法ですが、DataHub のデイジーチェー デイジーチェーンでは、チェーンに沿ったホップがクライアン ンとは、アプリケーションにおけるデータのデイジーチェーン トとサーバーの両方である必要があり、各ホップは元のサーバー 接続を意味します。 © Skkynet Cloud Systems, Inc. & BellChild Co.,Ltd.

３. DHTPで安全性が強化された IoTゲートウェイ 　産業用IoTに必要なのは、さらに強化された方式です。つまり、 だけでなく、チェーン内のノードにデータを渡し、データの一 各ノードで完全なデータセットをミラーリングし、権限のある 貫性も維持できます。DHTP のサービス品質は、通信帯域が不 クライアントとチェーン内のノードに対して、データへのアク 足して一部のイベントをドロップした場合であっても、チェー セスを提供できる方式です。もちろん、これらは高いセキュリ ン内のすべてのクライアント、または中間ポイントが元のソー ティを確保したうえで実現する必要があります。 これにより、 スとデータの整合性を確保します。ネットワーク接続が失われ IT 部門はクラウドへ連携されているデータへ安全にアクセスす た場合も、DataHub は関連するすべてのデータポイントのデー ることができます。 タ品質を自動的に更新して、チェーン内のすべてのクライアン トがデータ品質（ネットワーク接続の損失）をすぐに認識でき この強化された方式は、各ノードにインストールされている ます。 DataHub などのミドルウェア製品を使用して実現できます。 DataHub は、プラント上でファイアウォールの外部ポートを DHTP は DMZ、IT 部門、または別のインターネットノードを 開かずに、プラント内ノードと DMZ または、IT 部門のサーバー 介して MQTT ゲートウェイ接続を安全に構成する実証された の間でデータをトンネリングできます。そして DMZ または、 通信方式です。しかしながら、ほとんどの IoT ゲートウェイ製 IT部門のサーバーにインストールされた2番目のDataHubは、 品はこの方式には適しておらず、一般的な IoT ゲートウェイアー MQTT サービスにデータを渡すことができます。 キテクチャの OPC UA 通信、または MQTT 通信しか提供で きていません。セキュリティに対し重要度が低いシステムでは 問題ないかもしれませんが、産業用アプリケーションでは多く のシステム要件が必要となります。 DMZ を使用してプラント を保護する必要がある場合、データをクラウドに渡す前に IT 部 門に送信する場合、Skkynet の DataHub が堅牢で安全なソ ※矢印は初期接続パスを示しています。接続確立後、双方向通信が可能となります。 リューションを提供します。 DataHub から DataHub への接続には、DataHub 転送プロ ※本技術レポートは、Skkynet 社 ( カナダ ) の Skkynet White トコル（以下「DHTP」）が使用されます。DHTP は、LAN、 Paper の『What Makes a Secure IoT Gateway Architecture?』 WAN、またはインターネットを介して TCP を使用してリアル の翻訳です。英語版と翻訳に相違がある場合、英語版の内容を優先 タイムでデータを送受信します。 プラントでの DataHub への するものとします 。 【英語版】What Makes a Secure IoT Gateway Architecture? OPC UA 接続はシングルホップです。 さらに DataHub から https://skkynet.com/secure-iot-gateway-architecture/　 クラウドへの MQTT 接続もシングルホップです。 DHTP はデ イジーチェーン接続を処理し、各ノードの完全なデータセット より詳しく知りたい方は裏面の問い合わせ先にて承ります。 と接続ステータスをミラーリングします。DataHub を使用す 常設展示ブースやセミナーも開催しておりますので、お気軽に ることで、アクセス権限のあるクライアントがアクセスできる お問い合わせください。 ４. IoT ソリューションのご紹介 ４-１. プラントとクラウドまでを容易に接続する ミドルウェアDataHub DataHub は、産業用通信 OPC (Classic や A&E、最新の UA) をはじめ、Modbus やデータベース、.NET アプリ連携、MQTT などクラウドサービスとのリアルタイムな双方向通信を確立する 産業オートメーション向けのミドルウェアです。アラート通知や 監視画面、冗長化などの多種多様な機能により産業データを最大 限に活用いただけます。 DataHubの手軽さを体験してみてください。 DataHub 評価用ソフトを無料でダウンロード！ https://cogentdatahub.com/download/ IIoT（Industrial Internet of Things）技術のご紹介

４-２. VPNを使わない安全な高速・双方向 データ通信サービス iBRESS Cloud iBRESS Cloud は、お客様のパソコンにデータ接続用ミドルウェ ア『DataHub』を利用することで、アウトバウンド接続でプラ ントのデータをクラウドに送信できます。 また DataHub でク ラウドからデータを取り込むこともできます。 ４-３. 来て！見て！試して！『IIoT Lab』 『IIoT Lab』は、2019 年 4 月に ( 株 ) ベルチャイルド 東京オ フィス内に開設した「製造業向けの IoT」が体験できるユニー クな施設です。 センサやカメラ、PLC データを DataHub から iBRESS Cloud へ接続、データの可視化などを実際に機器を触 りながら体験できます。 ４-４. 充実のセミナー＆ハンズオン セキュアなデータ接続のための IIoT ソリューションご紹介セミナー 堅牢なシステム構築実現のため基本を DataHub や iBRESS 初心者向け Cloud を用いてデモや演習で学べる『IIoT ソリューションご紹 OPC UA 基礎セミナー 介セミナー』、OPC UA の知識・動向が学べる『OPC UA 学習 企画設計者向け OPC UA 学習講座 講座』、OPC UA 製品の開発に必要な知識の学習と接続から動 開発者向け 作確認まで体験できる『OPC UA 開発ワークショップ』など多 OPC UA 開発ワークショップ 彩なセミナーを用意しています。 IoT 技術習得ハンズオンセミナー つなげる編・⾒える化編 ４-５. OPC UA 技術の評価ラボ software UA CTT UA Server for JAVA Cogent DataHub UA Client for C++ UA Camera OPC Foundation Reference Server UA Client for .NET UA Server for C++ UA Client for JAVA UA Server for Ansi-C PUERTO UA Monitor ioLogik UA Server for .NET Virtual Box :MOXA インダストリー 4.0 の推奨ネットワークである IO Link Master Install OPC UA 機器の接続実験（Interoperability Test）、 :Comtrol インターネット経由でのクラウド接続試験、ネッ CONPROSYS :CONTEC Firewall トワーク負荷試験等を行うために国内外の多くの iBRESS Box Test Server Forward Proxy :BellChild サーバ、クライアント機器、テストツールを用意し Renesas SynergyTM ております。エンジニアリングコンサルティングも :Skkynet Japan Test Target HF5111A (UA Server and Client)行っております。OPC UA の技術交流の場として :Skkynet Japan ご利用ください。 Interoperability test devices 〒105-0013 取扱店 東京都港区浜松町 2-5-5 PMO 浜松町 10F 株式会社ベルチャイルド TEL： 03-5843-7502 www.bell-c.co.jp FAX： 03-5843-7503 E-mail：contact@ibress.com http://www.ibress.com/ SK-F0101