かつては軍事や原子力セキュリティのニッチな技術であったデータダイオードは、現在では産業および企業のサイバーセキュリティにおいて不可欠な要素となっています。2017年以降、サイバーインシデントによる損失額が4倍に膨れ上がり、20億ドル近くに達していることを受け、規制の枠組みにおいて要件または推奨事項として盛り込まれるなど、データダイオードがセキュリティの標準として採用されるケースが増えています。その重要性が高まっている背景には、ファイアウォールなどのソフトウェアベースのセキュリティソリューションでは、もはやセキュリティを保証できなくなっているという事実があります。
データダイオードへの需要の高まり
データダイオードは、多くの場合光ファイバーを用いてハードウェアレベルで一方向の通信を強制するため、ランサムウェアやAPT(高度持続的脅威)が機能するために必要とする逆方向の通信経路を物理的に遮断します。 ファイアウォールは依然としてほとんどのビジネスアプリケーションにおいて標準的なセキュリティ対策ですが、原子力、エネルギー、水道などの高リスクな重要インフラ分野における世界的な規制では、OT(オペレーショナル・テクノロジー)ネットワークとIT(インフォメーション・テクノロジー)ネットワーク間の物理的な分離を確保するため、データダイオードの使用が明示的に推奨または義務付けられるようになっています。
Data Diodeのセキュリティプロファイルには、ファイアウォールの機能を超える3つの主要なセキュリティ上の利点があります:
ネットワーク経由の脅威は、設定ミスやゼロデイ脆弱性によって迂回される可能性のあるファイアウォールとは異なり、ダイオードがハードウェアレベルで実現する一方向のセキュリティを迂回することはできません。
裏ルートは存在せず、攻撃者が侵害されたシステムにコマンドを送信することを防ぐ
データダイオードがルーティング不可能なプロトコルを使用してデータを転送できるようにするプロトコル例外
データダイオードとファイアウォールの主な違い
| 特徴 | Firewall | 単方向ゲートウェイ(データダイオード) |
|---|---|---|
| 仕組み | Software(論理的) | Hardware(物理的) |
| 方向 | 双方向(フィルタリング済み) | 厳格な一方通行 |
| 脆弱性 | 設定ミスのリスクやゼロデイ攻撃の標的になりやすい | ソフトウェアを介したリモート攻撃に対して耐性がある |
| ユースケース | ITセキュリティ全般 | 高度なセキュリティを備えたOT/ICS保護 |
世界各国の規制要件およびガイドライン
データダイオードはセキュリティプロファイルが迂回不可能であるため、世界各国の規制当局は、重要インフラネットワークのセグメント化のためにその使用を推奨しており、場合によっては義務付けています。
NRC、NERC CIP(エネルギー)、IEC 62443(産業)、TSA指令(鉄道・パイプライン)など、いくつかの規格では、重要インフラに対してハードウェアによる一方向通信を義務付けたり、強く推奨したりしています。しかし、現在その使用が義務付けられていない業界でも、ダイオードが導入されている例は数多くあります。例えば:
- 現在、金融サービス機関、特に銀行では、高額取引ネットワークのセキュリティ確保や、機密データが銀行外に流出する際にハッカーに侵入の隙を与えないよう規制報告を行うために、これらを活用しています。また、アーカイブや災害復旧センターのセキュリティ確保にも利用されています。
- 医療・製薬施設では、知的財産の保護や、患者モニターや画像診断装置などの臨床技術ネットワークを企業のITネットワークから分離するために、データダイオードが利用されています。
- 海事業界の組織では、データダイオードを使用して、機関室や操舵制御システムからのデータを隔離・監視し、船舶と陸上間のデータ転送を保護しています。
データダイオードの使用を義務付け、または推奨する規制の枠組み
以下は、一方向ゲートウェイの使用を規定または強く推奨している主要な国際的な規制およびガイドラインの概要です。
国際基準
IEC 62443
パート3-3(SR 5.2)では、「リソースの可用性」に焦点を当て、マルウェアの拡散を防止し、データの完全性を確保するため、高セキュリティゾーン(レベル3および4)において一方向ゲートウェイを使用することを推奨しています。
ISO 27019
特にエネルギー業界において、同ガイダンスでは、セキュアなネットワークのセグメンテーションの必要性を指摘し、プロセス制御システムと外部ネットワークを分離するための「ベストプラクティス」としてデータダイオードを挙げています。
北米では
NERC CIP
電力系統の保護に関するNERC(北米電力信頼性協会)の規制は、最も厳格なものの一つである。CIP-002 から CIP-013 までの規格ではファイアウォールの使用が認められているものの、一方向ゲートウェイを使用することで、電力会社はいくつかのコンプライアンス要件(一部の NERC の状況では 26 項目の規則のうち 21 項目など)を「免除」される可能性があります。これは、ゲートウェイが物理的にインバウンドの電子アクセスを阻止し、事実上「電子セキュリティ境界(ESP)」のリスクを低減するためです。
NIST SP 800-82(改訂第3版)
米国立標準技術研究所(NIST)Industrial (ICS)セキュリティガイドでは、一方向ゲートウェイが主要な防御策として明示的に挙げられている。同ガイドでは、センサーデータをクラウドデータベースに送信する場合など、セキュリティレベルの高いOTゾーンからセキュリティレベルの低いITゾーンへデータを送信する際、攻撃者が逆方向へ侵入する経路を一切許さないよう、一方向ゲートウェイの使用を推奨している。
NRC RG 5.71
このNRC(米国原子力規制委員会)の枠組みでは、原子力発電所のデジタルシステムに対して高レベルの隔離が義務付けられている。また、外部ネットワークから原子力安全システムを監視する上で、一方向のデータフローが推奨される方法であると規定している。
ヨーロッパでは
ANSSI(フランス) - PSSI-IV
フランスの情報システムセキュリティ庁(ANSSI)は、データダイオードの導入を推進する世界的なリーダー的存在です。ANSSIは、重要インフラ事業者(OIV)に対し、最も重要度の高い産業用「クラス3」ネットワークとインターネット、あるいはセキュリティレベルの低い「クラス1」ネットワークとの間のあらゆる接続において、CSPN認証を取得した認定データダイオードの使用を義務付けることがよくあります。
NIS2指令(EU全域)
NIS2(ネットワーク・情報セキュリティ)指令では特定のハードウェアの使用は義務付けられていないものの、「事業者」に対し、「最先端の」リスク管理措置を講じることを求めています。エネルギーや水道などの分野では、ドイツのBSIやスペインのCCNといった各国の規制当局が、NIS2を技術要件として具体化しており、ソフトウェアベースのファイアウォールよりも、ハードウェアによるセグメンテーションを優先しています。
アジアおよび中東
サウジアラビア(NCA)
サウジアラビア国家サイバーセキュリティ庁は、重要分野向けに具体的な「データダイオード基準」を策定し、同国の石油、ガス、公益事業資産を保護するためにこれらをどのように活用すべきかを定めた。
韓国(KISA)
シンガポールと同様、韓国のスマートグリッドおよび原子力セキュリティに関するガイドラインでは、パブリックインターネットからの横方向の移動を防ぐため、データ流出防止のための単方向ゲートウェイの採用を強く推奨している。
業界をリードするデータダイオードおよび統合型OT Security
MetaDefender ソリューションは、ITネットワークとOTネットワーク間のハードウェアによる一方向データ転送を実現し、ネットワークの分離性を損なうことなく、安全なデータ複製と運用可視性をサポートします。
OPSWATが、OPSWAT 、地域および世界の規制枠組みへのコンプライアンス遵守をどのように支援できるかについて、詳しくは今すぐ専門家にご相談ください。
