PI System 最新セキュリティについて Presented by Customer Support Engineer Mitsuaki Hayakawa
項目 PI Systemのセキュリティモデル セキュリティモデルの移行 移行作業テストケース OSIsoft Japan テクニカルサポート 2
PI System の セキュリティモデル 3
PI System で実現するセキュリティモデル Server 製品群でセキュリティモデルに違いがあります PI Data Archive PI AF PI Coresight (Web) 4
PI Data Archive 三種類の認証システムを組み合わせ デフォルトユーザー PI System 独自の認証システム IP アドレス ホスト名に対して認証を設定 Trust Windows 認証 Windows の認証システム 5
PI AF Windows 認証を使用したユーザー Mapping 各レイヤーでセキュリティ設定 AF Server データベース アセット 6
PI Coresight (Web) IIS による認証と PI Data Archive PI AF それぞれのアクセス認証 IIS アクセス権設定 PI Data Archive アクセス権設定 PI AF アクセス権設定 7
セキュリティモデルの移行 8
従来型セキュリティ設定の問題点 IIS のアクセス権限チェック (PI Coresight) エレメントのアクセス権限チェック (PI AF) 個別のセキュリティモデルでユーザー認証を管理 それぞれに認証が必要となり 認証を引き継げない事も? PI Pointのアクセス権限チェック (PI Data Archive) 適切なアクセス権限チェックができない 9
Windows 認証への移行 IIS のアクセス権限チェック (PI Coresight) エレメントのアクセス権限チェック (PI AF) Active Directory でユーザー認証を一括管理 一度 Active Directory で認証すればすべての Server 製品でアクセス権限のチェックが可能 PI Pointのアクセス権限チェック (PI Data Archive) アクセス権限チェック OK 10
Kerberos 認証 Active Directory Kerberos 認証 ( ダブルホップ可能 ) チケット発行 IIS AF DA NTLM 認証 ( ダブルホップ不可 ) 11
移行作業テストケース 12
移行モデル Before 制御ネットワーク (Workgroup 環境 ) 企業ネットワーク (Active Directory 環境 ) ユーザー設定 デフォルトユーザーログオンでデータアクセス 13
移行モデル After ユーザー設定 企業ネットワーク (Active Directory 環境 ) Mapping Windows 認証でデータアクセス 14
DMZ に PI Server を展開する場合 DMZ Read Only Domain Controller 企業ネットワーク (Active Directory 環境 ) Windows 認証でデータアクセス 15
移行の流れ 設計 AD 登録 設定変更 動作確認 Identities 管理区分 PI Server 新規グループ Identities Mapping PI Point データ参照 セキュリティレベル変更 16
移行の流れ 設計 PI System 管理部門 PI System Active Directory 情報システム管理部門 影響範囲は PI System へアクセスしている部署のみ 人事異動時の変更ワークフロー構築 追加 変更は全社単位で影響が発生する場合も 既存のグループ等を活用するのか または新規に作成するのか 17
移行の流れ Active Directory 登録 AD 登録 外部 NW AP 設定 IP アドレス変更 Active Directory への登録 DNS への反映 Interface 間ファイアウォールへの設定変更 SQL Server 管理者アカウント 18
移行の流れ 設定変更 ID PI Data Archive へ PI Identity の登録 PI AF へ Identity の登録 Data PI Point へのアクセス権設定 PI AF Server DB エレメントへのアクセス権設定 AD ユーザー グループ OU の設定 必要に応じて Mapping PI Data Archive へ Mapping の設定 PI AF へ Mapping の設定 19
移行の流れ 動作確認 接続 データ 強靭化 About PI-SDK Network Manager Statistics PI Point の変更 データアクセス AF エレメントの変更 データアクセス 全体セキュリティの強化 管理者アカウント 20
セキュリティセッション - 最後に 情報セキュリティ管理基準 策定 平成 28 年改正版 セキュリティガバナンス強化 PI Server ハードウェア更新 PI Client バージョンアップ ネットワーク環境更新 セキュリティ対策のスケジュール作成からスタート! 21
OSIsoft Japan テクニカルサポート 22
PI Square(pisquare.osisoft.com) の紹介 PI SquareはOSIsoftのオンラインコミュニティーです 日本語での質問も可能です 世界のお客様 パートナー及び弊社開発者とのコミュニケーションが可能です! トレーニング 技術情報の記事があります パートナーからの質問 : 弊社の開発者の返事 : 23
テクニカルサポートの紹介 橋本 鈴木 千葉 ルフェーブル 早川 遠藤 チョ 竹崎 渡辺 栗山 玉根 24
国内のサポート状況報告 25
世界中のお客様を 24 時間 365 日サポート Tokyo, Japan 26
国内の状況 サポートユーザ数約 150 社 230 サイト 問合せ件数月に 110 件 年間で 1300 件以上 テクニカルサポート ( 日本語対応 ) 2016 年 11 月 11 名 27
ユーザアンケートにおける評価 テクニカルサポートにお問合せいただいたユーザ様に弊社からアンケートのお願いをお送りしております 評価項目 (1: 全くそう思わない ~ 5: 強くそう思う ) 提供されたサポートに満足している テクニカルサポートへの問合せは簡単にできた テクニカルサポートエンジニアは 問合せの内容をきちんと理解していた テクニカルサポートエンジニアには 問合せに対応できるだけの十分なテクニカルスキルがあった 問合せ対応のスピードは問題はなかった 提案された内容で 問題を解決または回避することができた 28
ユーザアンケートにおける評価 全体 問合せの容易さ 内容把握 技術スキル 応答の速さ 問題の解決度 4.4 4.6 4.6 4.5 4.5 4.4 アンケート母数 244 件 29
Thank You