データダイオードとは？

ICS（産業用制御システム）や重要インフラのような高度なセキュリティ環境では、最先端のファイアウォールや侵入防止システムにも限界があります。機密性の高いネットワークを真に保護するには、外部からのアクセスの可能性を完全に排除するソリューションが必要です。  

データダイオードは、一方向のデータフローを強制するように設計された、強力なハードウェアベースのサイバーセキュリティバリアです。このガイドでは、データ・ダイオードがどのように機能するのか、なぜICSセキュリティに不可欠なのか、そして組織が規制コンプライアンスを満たすためにどのように役立つのかを探ります。

一方向のデータフローは、情報が一方向にのみ移動できることを保証します。通常、セキュリティの高いゾーン（オペレーションネットワークなど）からセキュリティの低いゾーン（データヒストリアンや企業ネットワークなど）へと情報が移動します。従来の双方向システム（TCP/IPベースの通信など）とは異なり、データダイオードは逆方向のトラフィックを物理的に制限するため、ネットワークの分離と情報セキュリティに最適です。 

データ・ダイオードの技術的アーキテクチャーは、送信側モジュールと受信側モジュールが一方向の光リンクで接続されている。ハードウェアは、いかなる戻り信号もブロックするように物理的に構築されている。OPSWATMetaDefender Optical Diodeのような、より高度なシステムでは、デバイスにマルチ・スキャン・エンジン、プロトコル・ブレイク・サポート、ファイル・サニタイゼーションが搭載され、保護レイヤーが追加されます。 

主な設計上の考慮事項： 

• 改ざんを防止する専用ハードウェア
• さまざまなネットワーク・トポロジーに対応

データダイオードを導入するには、ネットワークアーキテクチャ内に戦略的に配置する必要があります。一般的な配置モデルには以下のようなものがあります：

• ICSネットワークとエンタープライズ・ゾーンの間 
• SCADAシステムから遠隔監視場所へ 
• 隔離された環境からの安全なデータ転送メカニズムとして 

課題としては、レガシー・システムとの統合やプロトコルの非互換性などが挙げられるが、最新のソリューションでは、実装を合理化するためのプロトコル・アダプタや転送エージェントが提供されている。

エネルギー、製造、輸送などのIndustrial 部門では、ICSやSCADAシステムへの依存度が高まっている。これらのシステムは多くの場合、時代遅れのソフトウェアで動作し、最新のセキュリティ機能を備えていないため、サイバー攻撃の格好の標的となっています。

データ・ダイオードは、ICSネットワークにとって次のような重要な保護機能を果たす：

• インバウンドのマルウェアやランサムウェアの脅威をブロックする 
• 業務上の機密データの流出防止 
• 制御システムを公開することなく、モニタリングデータを安全にエクスポート可能

ある大手石油・ガス会社は、製油所にOPSWAT MetaDefender Optical Diode 導入し、制御ネットワークを企業ITから隔離した。その結果、操業が中断されることなく、TSAサイバーセキュリティ指令に準拠することができました。 

詳しくはブログをご覧ください：マルチスキャンとデータ・ダイオードで高セキュリティ・ネットワークを強化する3つの方法

政府や業界規制当局がサイバーセキュリティ基準の強化を推進する中、データ・ダイオードはコンプライアンス達成に不可欠なものとなっている。

データ・ダイオードは、リスクの高い環境においてデータの機密性、完全性、可用性を強制することにより、ISO 27001やその他の規格の要件を満たすのに役立ちます。また、以下のような規制やガイダンスでも参照されています：

• NIST 
• NERC CIP 
• TSA SD 02C 
• IEC 62443 

データ・ダイオードは、物理的にネットワーク・セグメンテーションを実施することで、企業が安全なエアギャップまたは隔離されたネットワークの要件を満たすことを保証します。

ファイアウォール、データ・ガード、侵入防止システムはすべて保護を提供するが、ハードウェア・レベルで一方向通信の妥協のない保証を提供するのはデータ・ダイオードだけである。

あなたのデータダイオードは適切な機能を備えていますか？詳細なバイヤーズ・ガイドをご覧ください：ガイドを読む