ハッカーや国家が支援する攻撃者は、政府機関や防衛機関にある機密データを盗んだり操作したりすることを目的として、常に弱点を探っています。
たった 1 回の侵害でもシステムが不安定になる可能性がある場合、機密情報は重要な資産になるか、壊滅的な武器になるかのいずれかになります。
しかし、セキュリティは万能ではありません。では、このデータをどのように保護すればよいのでしょうか?
脅威が進化するにつれて、私たちの防御も進化する必要があります。
各組織の固有のニーズを統合、拡張、適合できるシステムを構築する必要があります。
CDS(クロスドメイン・ソリューション)はそのようなシステムであり、関連する環境の保護を保証するために複雑になる可能性がある。
高いリスクには柔軟性と回復力が必要
クロスドメイン・ソリューションは、重要なデータを保護し、異なるレベルの機密環境間での通信を可能にするために使用されるメカニズムである。
これらのシステムは通常、低い分類階層(制限のないデータ)から最も機密性の高いインテリジェンス(最高機密)までの範囲に及ぶ。 クロスドメインの重要な機能は、より高い分類に関連するホスティング環境、アプリケーション、データストアを保護することです。
CDSは、データをより高い分類から移動させることを決定した個人の説明責任を保証するためにあることも忘れてはならない。
CDSの中で、SEFs(Security Enforcing Functions)のセットは、対処される特定のクロスドメインの状況を満たすように選択される必要がある。
最も単純な CDS でも、複数のコンポーネントが存在する場合があります。
クロスドメインが政府・防衛機関をいかに保護するか
機密データが漏洩した場合の潜在的な影響を考えると、CDSは業務の完全性と国家資産の安全を守るために不可欠なセキュリティレベルを追加するものである。
輸入・輸出リスク
データを移動することは常に危険を伴いますが、政府および防衛部門では、脅威の主体が機密情報を盗み出したり破壊したりするために使用する高度な機能によってリスクが増大します。
データ転送を安全に管理できない場合、機密情報が漏えいする可能性があり、無意識のうちに権限のない個人に機密環境へのアクセスを与えてしまう可能性があります。
これらすべてのシナリオでは、結果として作戦が麻痺したり、人員が危険にさらされたり、国家安全保障が脅かされたりするおそれがあります。
政府と防衛における規制
国家技術当局は、政府と防衛がクロスドメインソリューションを設計および実装する際に指針となるアーキテクチャパターンと成果を認識しています。
例えば、イギリスでは、国家サイバーセキュリティセンター(NSCS)によって定義された、データの移動に関する2つのパターンがある:
- データの安全なインポート
- データの安全なエクスポート
データのインポートとエクスポートでは重点が少し異なります。
インポートは、ハイサイド(上位層)環境の保護、ゼロデイ・アタックの検出を含むデータ衛生の確保に取り組んでいる。
データのエクスポートは、上位のドメインから下位のドメインへの情報の正しいリリースに重点を置いている。
英国の機関を保護するために構築されたCDSは、よりモジュール化されたサイバーセキュリティ・アーキテクチャによって容易にサポートされるこれらのパターンに従うべきである。
このようなパターンが有効なのは英国だけではない。
米国の国家クロスドメイン戦略・管理局は、NATOと同様にCDSアーキテクチャに関する独自の基準とガイダンス文書を作成した。
これらのパターンはある程度異なりますが、他の国や地域の CDS パターンと類似点があります。
このように規制が厳しい環境では、データ ホスティング組織は、機能する CDS に必要な回復力、監査可能性、拡張性を提供するシステムを構築する必要があります。
このようなシステムの場合、モジュール式のソフトウェアとハードウェア・コンポーネントを組み合わせることで、よりカスタマイズされたアプローチが可能になり、デザイン・パターンの指針を満たし、クロスドメインのニーズが増加しても機能拡張や適応が可能になる。
なぜクロスドメインが課題なのか?
CDS が事前定義されたパターンに依存している場合でも、システムの設計は簡単ではありません。
過去には、CDSは2つの分類の間で限られたデータセットを交換する2つの関心共同体(COI)を意味するだけだった。
よりハードウェア中心の静的なソリューションの方が当然適していた。
このような状況では、ソリューションを認定することは、より複雑な CDS よりも簡単な作業であると考えられます。
これは単純なことのように聞こえるが、小規模で縦割り的なソリューションの増殖につながりかねない。
今日、COIはより多様化し、転送に必要なデータ型は大幅に拡大し、ローサイドとハイサイドのホスティングのプラットフォームはクラウドベースの技術を活用している。
脅威の進化と相まって、CDSを長持ちさせるためには、よりモジュール化され、組織化されたアプローチが必要となる。
データの種類と量の増加
政府機関や防衛機関が必要とするデータには様々な種類があり、ソースも無数にある。
これらのデータの中には、オフィスベースの生産性ファイルなど、標準的なユーザーベースのワークロードもある。その他のタイプは、システムアップデートやコードベースのファイルなど、システムベースのワークロードである。
クロスドメイン・ソリューションは、多くの場合双方向で、あらゆる種類のフォーマットを安全に扱えるだけでなく、必要に応じて新しいタイプを追加できる柔軟性も備えていなければならない。より限定的で静的なソリューションでは、十分なスコープと理解されたボリュームがあるかもしれないが、より大規模で動的なソリューションでは、かなりのばらつきがあるかもしれない。
このような環境ではスケーラビリティが鍵となり、必要なSEFを達成するために、安全でありながらスケーラブルなソフトウェアと拡張可能なハードウェアを組み合わせたソリューションが適している。
新たな脅威
国家主体は常に機密データを入手したり破壊したりしようとします。
攻撃者は、データ自体、データ ストレージ、またはデータを使用するアプリケーションをターゲットにします。
データの機密性が高くなるほど、個人、国家、地域のセキュリティへの影響が大きくなり、人、資産、商取引の侵害につながります。
機密環境における従来のセキュリティ対策は、ある程度の侵害を防ぐことはできるものの、異なるセキュリティレベル間でデータを移動することで脆弱性が生じ、脅威アクターにそのデータを破壊させる機会を与えてしまいます。
データの完全性(機密性だけではない)を保証することが最も重要である。 難読化(暗号化)は「正しい」と同じではなく、この「正しいコンテンツ」の要件はCDSの重要な目的である。
低分類環境はマルウェア感染やデータ操作の試みを受けやすいことが多いため、データが分類間を移動する際にはデータ衛生を確保することが不可欠です。
データが信頼の境界を越えて移動する際、CDSはデータの衛生を保証する機能を呼び出す必要があり、より高度な分類環境とデータセットの漏洩を防ぐ。
新しい運用モデル
シームレスな地域間のコラボレーションが必要な場合、データを永続的に分離することはほとんど効果的ではありません。
データの分析と集計を必要とするビジネスニーズは、政府機関や防衛機関が異なる信頼レベル間でデータをインポートおよびエクスポートすることを要求する。
この文脈において、CDS は急速に進化する脅威だけでなく、急速に進化する運用モデルにも適応する必要があります。
OPSWATクロスドメイン課題に対するソリューション
完全に機能するCDSは、データアクセスの運用ニーズと、他のSEFとともにデータ内容のチェックを迅速かつ自動的に実行する能力とのバランスをとりながら、仲介役として機能しなければならない。
MetaDefender Coreを中心とした高度に構成可能なコンポーネントは、さまざまなホスティング環境に導入でき、 OPSWAT モジュール式のクロスドメイン アーキテクチャを構築できます。
提供されるさまざまなオプションからSEFをカスタマイズできます。 OPSWAT妥協することなくデータを保護できます。
そのOPSWAT ポートフォリオは、データと環境の機密性に応じてデータ保護を強化するために階層化できるさまざまな SEF を提供します。
OPSWATの特許取得済みMetascan™ Multiscanningおよび Deep CDR™ テクノロジーは、導入されている他のデータ検証技術を補完して、データをスキャンして既知の脅威を検出し、マルウェアを除去します。
より機密性の高いファイルの場合、エミュレーションベースの Adaptive Sandboxは、制御された環境でファイルを評価するため、マルウェアを環境に解放することなく、ファイルの動作を観察することができます。
OPSWAT 、お客様の意思決定にさらなるコンテキストレベルを追加するために、次のようなサービスも提供しています。 Threat Intelligence機能を提供し、インポートするデータに光を当てることができます。OPSWAT使用すると、原産国、ファイルIoC、脆弱性に関する洞察を得ることができます。
データ取り込み
クロスドメイン ソリューションへのデータの入力と抽出は見落とされがちです。
MetaDefender Storage Security(MDSS) と MetaDefender Managed File TransferMFT)は、OPSWATSのコネクタとAPI 技術の一つであり、標準的なストレージを包含し、MetaDefender Core SEFを活用して、様々なセキュリティコントロールを通してデータを流します。
Media インポートも MetaDefender Kiosk周辺機器やリムーバブルメディアの脅威から重要なネットワークと資産を保護します。毎分13,000以上のファイルをスキャンするので、データ量も問題ありません。
コンテンツフィルタリング
コンテンツフィルタリングには、CDR技術だけでなく、構文検証や意味検証も含まれる。
構文チェックと意味チェックは、データが検査しやすい形式に簡素化されたときに最も効果を発揮します。このプロセスは「変換」と呼ばれます。フィルタリングは、変換可能なユーザーベースのワークロードで最も効果的です。
CDSはユーザーベースとシステムベースの両方のワークロードを処理する必要がありますが、それぞれのタイプを適切にクリーンアップするには、異なるセキュリティ強制機能(SEF)を組み合わせる必要があります。これは、 MetaDefender Core 。
判決ではなく文脈
OPSWATのソリューションは、データインテリジェンスの追加レイヤーとともにサイバーセキュリティ分野に登場します。
これらのソリューションは、予防と保護のみに基づいて構築されるものではありません。長期的な意思決定を改善するために必要な文脈を提供します。
原産国調査、脆弱性スキャン、サプライチェーンに関する洞察を通じて提供される脅威インテリジェンスがある。
置き換えるのではなく、強化する
CDS の交換は、コストがかかり、面倒な作業になる可能性があります。
OPSWATのソフトウェア主導のアプローチにより、既存の機能の周囲にセキュリティ レイヤーを追加することで、ソリューションを簡単に強化できます。
MetaDefender プラットフォームは、必要な製品に応じてプラグインやプラグアウトが可能です。MetaDefenderのアーキテクチャは、CDSが必要とするように流動的で適応性があります。 MetaDefender Core 、ハードウェアにとらわれないパートナーであり、スケーラビリティとカスタマイズされたソリューションを構築する能力を備えています。
OPSWAT高度にコンフィギュレーション可能なコンポーネントは、様々なホスティングオプションに展開することができ、データの種類や容量が変化した場合の拡張性を可能にします。ダイオードのNetwall ファミリーは、MetaDefender 製品とシームレスに統合され、現在の機能を拡張するために様々なクロスドメインハードウェアとも連携します。
OPSWAT どのようにクロスドメインセキュリティにおいて重要かつ戦術的な優位性をもたらすか、今すぐ専門家にご相談ください。
よくある質問
CDS(クロスドメイン・ソリューション)とは?
クロスドメイン・ソリューション(CDS)とは、重要なデータを保護し、セキュリティ分類や信頼レベルによって分離されたドメイン、システム、ネットワーク間の通信を可能にするために使用されるメカニズムである。
クロスドメイン ソリューションは何に使用されますか?
CDSは、政府機関や防衛機関が、厳格なポリシーの実施を維持し、不正アクセスやデータ漏洩を防止しながら、機密情報や機密情報をセキュリティ・ドメイン間で安全に転送するために使用されます。
クロスドメインソリューションはどのように機能しますか?
CDSは、フィルター、データ・ガード、データ・ダイオードなどのハードウェアおよびソフトウェア・コンポーネントを採用し、異なるドメイン間でデータを変換、検査、安全に伝送する。
クロスドメインソリューションが重要なのはなぜですか?
クロスドメイン・ソリューションは、機密性の高い環境においてセキュリティを維持しながら、データ共有の運用上の必要性を促進するために極めて重要である。
CDS に関連する潜在的なリスクと課題は何ですか?
CDSの課題には、レガシーシステムとの統合、データ量の増加、新しい運用モデル、遅延の管理、進化する脅威などがある。
クロスドメイン ソリューションのコア コンポーネントは何ですか?
Core コンポーネントには、制御されたインターフェイス、コンテンツ・フィルタリング・メカニズム、一方向制御とプロトコル破壊、そしてオプションとしてAVスキャンが含まれる。
CDSが消費する二次的な機能には、アクセス制御、データ暗号化、監査、データ変換、セキュアなプロトコルが含まれる。また、CDSによって消費される二次的な機能には、アクセス制御、データ暗号化、監査、データ変換、セキュアなプロトコルが含まれる。
CDS における高保証ガードとは何ですか?
高保証度のガードは、安全に設計されたセキュリティ・アプライアンスであり、スタンドアロン・デバイスであり、一方向制御、プロトコル切断、一定レベルのコンテンツ・フィルタリングなど、さまざまなSEFを実施する。 より充実した機能を提供するためには、追加のソフトウェア・コンポーネント(必要に応じてデータ・スキャンやコンテンツ・フィルタリングなど)をガードと統合する必要がある。
CDS の制御されたインターフェースとは何ですか?
制御されたインターフェースは、異なるセキュリティ ドメイン間のデータ通信を規制し、コンテンツがポリシーに準拠していること、転送中に改ざんされたり悪用されたりしないことを保証します。
CDS におけるコンテンツ フィルタリングとは何ですか?
コンテンツ フィルタリングには、悪意のあるコード、機密情報の漏洩、または非準拠コンテンツがドメインを越えるのを防ぐために、データのスキャン、検証、サニタイズが含まれます。
CDSにおけるSEF(Security Enforcing Functions)とは何か?
SEFは、通常SEFのチェーンの一部として必要とされる特定の機能であり、CDSを通過するインバウンドまたはアウトバウンドのデータがその特定の目的に従って「クリーン」であることを保証することに貢献する。例えば、コンテンツフィルタリングSEFは、データを深く検査し、特定の構造的および/または意味的基準が満たされていることを確認する。
双方向データフローと一方向データフローの違いは何ですか?
データ・ダイオードや光ダイオードのようなデバイスによって強化された一方向のフローは、一方向の転送のみを可能にし、より強力な分離とセキュリティを提供する。
一方向性フローは、下位分類から上位分類へ、または上位分類から下位分類へ流れる。フローを実現するためのSEFの連鎖は個別であり、その機能は通常、環境の他の機能と共有されることはない。 輸入フローは、輸出フローとは(SEFの観点から)異なる重点を持つことができる。
双方向のフローは、個別のインポートフローとエクスポートフローで構成される。
CDS は既存のネットワーク インフラストラクチャとどのように統合されますか?
CDSは既存システムとの互換性を考慮して設計されており、特にローサイド(低クラシフィケーション環境)では、エンタープライズ環境のセグメント化されたセクションにある場合がある。ハイサイド(上位分類)は、エアギャップがあったり、高度にセグメント化されていたりすることが多く、CDSのローサイドとは異なるサポート機能や統合が必要になることが多い。
CDS を実装するための主なアプローチは何ですか?
CDSは、組織のリスク許容度、スケーラビリティ、レイテンシーの要件に応じて、ハードウェアのみ、またはハードウェアとソフトウェアを含むハイブリッドソリューションを使用して実装することができる。
ハードウェアベースの CDS とソフトウェアベースの CDS の違いは何ですか?
HardwareCDSは、多くの場合、専用のアプライアンスを使用して、より高い分離性と改ざん耐性を提供します。SoftwareCDSは、より適応性が高く、幅広いスケーラビリティを備えた仮想またはクラウド展開モデルを可能にする。
CDS の展開モデルは何ですか?
2つの主要なモデルは、固定された場所に常設するための固定CDSと、機動性、堅牢性、一時的なミッション環境用に設計された戦術CDSである。
CDS はエアギャップ ネットワークをどのようにサポートしますか?
CDSは、制御されたデバイス(データ・ダイオードなど)と、転送前にスキャンされフィルタリングされたリムーバブル・メディアを 使用することで、隔離されたエアギャップ・システム間での安全なファイルおよびデータ転送を可能にする。
クロスドメイン・ソリューションはどのような業界で使われているのか?
CDSは主に政府機関や防衛産業向けに作られている。しかし、一部のCDSコンポーネントは、エネルギー、公共事業、ヘルスケア、金融、通信、航空など、信頼レベルを超えたセキュアな通信が必要とされるあらゆる場所で統合されている。
CDS はどのようにして政府と防衛における安全な情報共有を可能にするのでしょうか?
CDSは、機密・非機密システム間のリアルタイムの情報共有と運用調整を促進し、省庁間の協力、国家安全保障、規制遵守をサポートする。
CDS の運用アプリケーションの例にはどのようなものがありますか?
CDSは、衛星情報を機密ネットワークから非機密ネットワークに転送し、連合軍のミッション調整を可能にし、作戦シナリオ中にデータを安全に交換するために使用される。
CDS を使用する利点は何ですか?
主な利点としては、セキュリティの強化、内部脅威の低減、規制への準拠、シームレスなデータ相互運用性、リアルタイムのコラボレーション、意思決定の改善などが挙げられる。
CDS は内部脅威のリスクをどのように軽減するのでしょうか?
CDSは、厳格なアクセス制御、データフィルタリング、監査ロギングを実施し、信頼できるユーザーであっても不正なデータ移動を防止することで、内部脅威を軽減し、可視性を向上させます。
CDS はサイバーセキュリティ規制に準拠していますか?
はい、CDSはNIST RMF、GDPR、HIPAA、DoD Raise the Barなどのサイバーセキュリティのフレームワークと標準に準拠するように設計されています。組織が安全でポリシーに準拠したデータ交換を実施するのに役立ちます。
「Raise the Bar」イニシアチブとは何ですか?
これは、ベンダーとテクノロジーに対してより厳格な標準と認証要件を設定することで、CDS のセキュリティと有効性を向上させる米国政府の取り組みです。
