前回ご説明したとおり、データダイオード(Data Diode)*1は、高いセキュリティが求められるセキュアなネットワーク環境で使用される一方向通信装置です。特に、製薬や医療に代表されるような社会の重要な産業、政府、及び金融などでサイバー攻撃や情報漏洩を確実に防ぐことを目的に使用されております。悪意のある者が、外部のネットワークから内側に対して物理的な攻撃が不可能であり、OTシステムの脆弱性を突くような外部環境からのリモートアクセスアカウントなどを悪用した攻撃ができません。また、レガシーシステムやOT機器等で、最新のパッチが困難な脆弱性のある環境を保護し、独立したネットワークから切り離したエアギャップ環境と同等のセキュリティレベルまで高めることができ、非常に高いセキュリティを担保できます。しかし一方で、幾つかの課題が存在します。主な課題に目を向けますと以下の図のような項目があげられます。
まず、通信が一方向のみで双方向通信ができない課題に関しては、データダイオードは、高いセキュリティが確保できる一方で、相反する特性として、通信が一方向のみで双方向通信ができない課題があります。つまり、データの送信はできても、受信側からの応答(ACK*2やエラー通知など)ができないため、プロトコル上の制約が多くなり、運用が難しくなるという点です。それを解決するために、以下の対策が考えられます。
- リトライ*3制御機器:パケットが届かなくても問題ないように、送信側で複数回データを送る仕組みを導入する方法
- ログなどを別経路で収集:非リアルタイムで逆方向の情報が必要な場合は、定期的に物理的にデータを持ち出す、またはセキュリティを確保した別ネットワーク経由で情報を得る方法。
- プロトコルなどの変換機器:一方向に最適化された通信プロトコル(UDP*4など)に変換する方法。
しかし、上記の課題を実装するのは難易度が高い状況です。そこで、OPSWAT社では、MetaDefender Bilateral Security Gateway (BSG)というネットワーク製品を提供しております。まず、この製品はリターン・パスがありませんので、BSGサーバー・ペア間の非ネットワーク・シリアル接続*5により、一方通行のデータ・フローを担保しつつ、重要な本番システムのセキュリティと整合性を損なうことなく、ペイロード*6配信の保証をすることによりデータ損失がおこりません。また、オーバーラン*7防止制御機能により、データのオーバーフロー*8、再送信、同期の問題を排除することも可能です。
二つ目の課題として、保守運用の複雑さの課題が挙げられます。例えば、通信が一方向に限定されているため、トラブルシューティングが困難なことが考えられます。例えば、受信側で何か問題が起きても送信側に通知されない点などですが、それを解決するために、以下の対策が考えられます。
- 状態監視用のセンサーデバイスを活用:物理層やシステム層での監視を強化する方法。
- 定期的なシステムチェックとログ解析:異常をいち早く発見できる体制を作る方法。
しかし、これもデータダイオードを導入する上でハードルが高いことが想定されますが、OPSWATのBSGの場合、導入が簡単であらかじめ設定されたプラットフォームは、迅速かつシームレスに導入ができます。また、シンプルな操作性を提供しておりますので、 ファイアウォールの監査や設定が不要で、1回の初期設定後、数分で使用が可能となります。
執筆者について
経歴 ※このプロフィールは掲載記事執筆時点での内容となります
コメント
/
/
/
コメント