隔離された運用環境におけるファイル転送の保護
公益事業部門は、標的型マルウェア、ランサムウェア、ゼロデイ攻撃など、特にOT(運用技術)システムが外部ソースからデータを取り込む必要がある場合、持続的なサイバー脅威に直面し続けている。IBMのX-ForceThreat Intelligence Indexによると、エネルギー公益事業は2024年に最も標的とされる第4位の業界であった。
公益事業のデジタル化が進むにつれ、診断レポート、パッチファイル、システム更新などの外部ファイルを、内部資産を公開することなく処理する必要性が、中核的な要件となっています。このような転送には、サードパーティ・ベンダーや、適切に管理されなければマルウェアの侵入やコンプライアンス違反のリスクが高いUSB ドライブなどのポータブル・メディアが関与することがよくあります。
これらのリスクを軽減するために、同社はファイル転送プロセスをそれぞれのトラストゾーン内に完全に閉じ込めるセグメント化されたアーキテクチャを採用しました。 MetaDefender Managed File TransferMFT) と MetaDefender Coreは、低セキュリティ環境(外部向け)と高セキュリティ環境(内部向け)の両方に導入されました。各環境は独立して動作し、ゾーン間の直接接続はありません。現在、ファイルはゾーン固有のセキュリティポリシーに従ってスキャン・処理され、外部からの提出物が内部のセーフガードをバイパスしないことを保証しています。
内部および外部ソースからのポリシーベースのファイルアップロードの実施
同社の運用プロセスでは、社内のエンジニアリングチームと外部の請負業者の両方からファイルを安全に取り込む必要があります。これらのファイルには、システム診断、パッチパッケージ、アップデートペイロードが含まれることがあり、内部システムを危険にさらすことなく、保護されたOT環境に導入する必要があります。
MetaDefender ソリューションを採用する以前は、これらの転送は、共有ドライブ、安全でないファイル転送、物理的なメディアの受け渡しなど、手動手順やその場しのぎのツールに頼ることが多くありました。特にUSB配送は、スキャン手順が標準化されていなかったため、マルウェアの侵入や一貫性のないポリシー適用のリスクがありました。
これに対処するために、この組織はMetaDefender Managed File Transfer MetaDefender Core スキャンエンジンを低セキュリティ環境と高セキュリティ環境の両方に導入しました。MetaDefender Kiosk またはMFT 認証されたWebインターフェース(WebGUI)を介したUSB デバイスからのファイル送信は、USB およびネットワーク経由のファイルに対してポリシーによって強制的にアップロードされ、各ゾーン内で独立して処理されます。
MetaDefender Kioskは、ネットワークに入る前にリムーバブルメディアをスキャンするためのアップロードステーションを提供し、一方ウェブベースのアップロードはローカルで管理されたアカウントを通して認証されたユーザに制限されます。すべてのファイルは、MetaDefender Core使用したコンテンツタギングやディープスレットインスペクションを含む、ゾーン固有のルールに従ってスキャンされます。これにより、ゾーン間で共有されたインフラストラクチャにさらされることなく、提出物が安全に処理されることが保証されます。
この構造により、同社は、低セキュリティ・ネットワークと高セキュリティ・ネットワーク間の完全な運用分離を維持しながら、必要に応じてファイルのアップロードを許可することができる。また、すべてのアップロード、ユーザーアクション、ポリシー決定の完全な監査ロギングとトレーサビリティを保証し、内部ポリシーの一貫した実施を可能にし、監査とコンプライアンス要件を満たすのに役立ちます。
OPSWATソリューションセグメント化された環境におけるMetaDefender Managed File Transfer
同社がOPSWAT MetaDefender Managed File Transfer 選択したのは、セグメント化されたネットワーク環境で安全に運用できるファイル転送技術の必要性を認識したためである。基本的な要件は、低セキュリティゾーンと高セキュリティゾーンの厳格な分離を維持しながら、内部ユーザーであれ外部サプライヤーであれ、各環境内で安全なファイルアップロードを可能にすることでした。
このソリューションは2つの完全に独立した環境として展開されました。MetaDefender Managed File Transfer MetaDefender Core 1つのインスタンスが低セキュリティゾーンにインストールされ、別のインスタンスが高セキュリティゾーンにインストールされました。各インスタンスは自律的に動作し、すべての受信ファイルに独自のセキュリティポリシーとスキャンワークフローを適用します。
MetaDefender Kioskは、USB メディアの安全な転送を可能にするため、主要なアップロードポイントに設置されました。これらのキオスクは制御されたアップロードステーションとして機能し、ユーザーは内部ネットワークに直接アクセスすることなくファイルをスキャンして送信することができます。ウェブベースのアップロードもサポートされ、ユーザーはローカルで管理されたアカウントで認証されます。これにより、内部ディレクトリサービスを公開することなく、安全な提出が保証されます。
セグメント化され、ポリシーで制御されたファイル・ワークフローとレイヤー化された脅威検知を各環境で実施することで、同社は外部と内部のファイルを扱うための安全で監査可能なプロセスを確立した。ゾーン間でファイルが転送されることはないため、信頼の境界を越えることはなく、必要な場所へのファイル配信が可能になりました。
OPSWAT Technologiesが提供する3つの主要能力
ファイルのスキャン
MetaDefender Kiosk またはMetaDefender Managed File Transfer WebGUIを通じて送信されたファイルはすべて、何重もの脅威検知の対象となります。ファイルは MetaDefender Coreを使用して受信環境内でスキャンされ、シグネチャベースとビヘイビアベースの両方の分析を適用して、既知と未知の脅威を識別してブロックします。スキャンポリシーは、国益(SNI)コンテンツなどのセンシティブなファイルタイプも識別し、規制フレームワークのもとでの適切な取り扱いを保証します。
ゾーン別認証
外部ユーザは、各環境内で独立して管理されるローカルアカウントを使用して、MetaDefender MFT WebGUIを介してファイルを送信します。これにより、Active Directoryを統合することなく、ローカルユーザ認証によるゼロトラストのアクセス制御を実現します。すべてのユーザーアクションは監査ログに記録され、特定のIDに完全に帰属するため、説明責任とトレーサビリティをサポートします。
自動ファイルルーティング
承認されたファイルは、ポリシーに従って各ゾーン内の事前定義されたストレージロケーション(指定されたSMB共有など)に自動的にルーティングされ、手作業によるリスクを軽減し、管理された配信経路を確保します。これにより、手作業を減らし、人為的ミスのリスクを排除し、審査されたファイルのみが運用環境に配信されるようにします。すべての転送はログに記録され、例外が発生した場合はポリシーで定義された応答が実行されます。
これらのコントロールにより、セキュリティ・ゾーン間の厳密な分離を維持しながら、一貫したガバナンスの下でファイルのアップロードや処理を行うことができる。
セグメント化されたポリシー主導のファイル・アップロードによるレジリエンスの構築
ファイル転送に重層的でポリシー制御されたアプローチを採用することで、同社はトラストゾーン間の厳格な運用境界を維持しながら、ファイルを媒介とする脅威への露出を大幅に削減しました。MetaDefender Core 、ファイルがKiosk スキャンされたUSB デバイスから発信されたものであろうと、MetaDefender MFT WebGUIを通して送信されたものであろうと、深いコンテンツ検査を実施します。
各ゾーンは独立してファイルを処理するため、セキュリティの境界を越えてファイルが移動することはない。自動化されたワークフローと詳細な監査ロギングを組み合わせたこのセグメンテーション戦略により、組織は運用の柔軟性を損なうことなく、社内のセキュリティポリシーと規制の期待に応えることができる。
脅威の状況が進化し、OT環境が依然として高価値の標的であり続ける中、このアーキテクチャは、ファイルの発信元がどこであろうと、安全で追跡可能なファイル処理のための将来を保証する基盤を提供します。
どのように MetaDefender Managed File Transferセキュアで監査可能なファイルアップロードと転送をセグメント化された環境で実行する方法については、今すぐエキスパートにご相談ください。
