IT、OT、およびDMZネットワークManaged File Transfer

産業用DMZを経由したIT/OT間のファイル転送は、サイバーリスクを低減するために設けられたセグメンテーションの境界を越えてファイルをやり取りする必要があるため、セキュリティおよび運用上の課題となります。Industrial 、パッチ、レシピ、ログ、ベンダーからの成果物、バックアップ、レポートなどを、予定されたスケジュールに従ってゾーン間で転送することが依然として求められています。

電子メール、共有ドライブ、ジャンプホスト、リムーバブルメディアなどのアドホックな通信経路は、ファイルを介したマルウェアへの感染リスクを高め、追跡可能性を低下させます。また、Industrial （IDMZ）のワークフローにおいては、一時的な例外が生じないよう、監査証跡の確保、変更管理との整合性、および拠点間での一貫した運用が求められます。

ITからOTへのファイル転送の一般的なユースケースには、エンジニアリング作業パッケージ、PLCおよびHMIの更新、ヒストリアンの抽出、ウイルス対策シグネチャの更新、バックアップ、およびベンダーのファームウェアパッケージなどが含まれます。エンジニアリング成果物やファームウェアの更新については、通常、日常的なレポートや定期的なログのエクスポートよりも、より厳格な管理履歴の証拠が求められます。

定期的なデータフローには、通常、定期的なバックアップ、ウイルス対策ソフトの更新、および標準的なレポートの配信が含まれます。緊急のデータフローには、通常、緊急のファームウェア・ホットフィックス、インシデント対応のためのデータ抽出、または時間的制約のあるレシピの変更などが含まれます。ファイルが安全上重要な動作を変更したり、生産品質に重大な影響を及ぼしたりする可能性がある場合、管理の連鎖に関する要件はより厳格になります。

従来のエンタープライズDMZモデルは、OT環境にはそのまま適用できません。なぜなら、インターネットに公開されたDMZは主に外部アクセスを仲介するのに対し、産業用DMZは主に決定論的な運用、厳格な変更管理、および安全上重要なプロセスの保護を徹底する役割を担っているからです。パデュー大学が提唱するレベル3.5のセグメンテーションの目的は、OTへの侵入経路を制限し、ゾーン間の暗黙的な信頼関係を低減することにあります。 

OT環境では、レガシーシステムやパッチ適用期間の制約、可用性の制約により、事後対応的な是正措置に対する許容度が低くなるため、ファイル経由のリスクがさらに増幅されます。また、Industrial 、ITとOTの直接接続セッションを確立することなく監査可能な、予測可能な転送経路と再現性のある承認プロセスが求められます。 

すべての接続がDMZで終端されるということは、ITとOT間のファイル転送において、信頼境界を越えて企業のエンドポイントとOTエンドポイントの間で直接的なエンドツーエンドのセッションが発生しないようにする必要があることを意味します。また、すべての接続がDMZで終端されるということは、ゾーン間を橋渡しするデュアルホームサーバーを設計から排除し、ゾーンを跨ぐクライアント接続を許可するファイアウォールルールを設定しないようにする必要があることも意味します。

この原則は、正当化可能な制約として具体化されます。すなわち、ITシステムはDMZ上のサービスとのみ通信し、OTシステムもDMZ上のサービスとのみ通信し、ファイルの移動は仲介されたストア・アンド・フォワード型のワークフローを通じて行われます。産業用DMZ内の終端ポイントは、検査、隔離、承認、および監査ログ記録のための管理ポイントとなります。

自動化機能を損なうことなく、IT環境からOT環境への直接セッションを防止するには、送信側がDMZ内に配置された転送サービスにのみ接続し、OT側の受信側がDMZ内に配置された取得サービスにのみ接続する、仲介型転送パターンを採用する必要があります。仲介型ファイル転送では、一般的に「DMZへのプッシュ」ステップに続いて「OTへのプル」ステップが行われるため、ゾーン間のセッションは存在しません。

ピン留めされたポート、厳格な許可リスト、およびワークフローごとにスコープが限定されたサービスIDを使用することで、ポートへの露出は最小限に抑えられます。ワークフローごとのサービスアカウントは、横方向の移動リスクを低減し、定期的なレビュー時のアクセスルールの再認証を支援します。

デュアルホーミングと共有ストレージは、セグメンテーションの境界を越えてルーティングや認証情報のハブとなる可能性があるため、意図しないゾーン間ブリッジを生み出します。また、共有SMBファイル共有や複製された認証情報は、列挙や再認証が困難な暗黙的なゾーン間アクセスパスを可能にすることで、セグメンテーションの意図を損なう恐れがあります。

避けるべきパターンには、ITとOTの両方に同時に接続するデュアルホームのファイルサーバー、ゾーン間の「引き継ぎ」ポイントとして使用される共有SMBフォルダ、および検査ゲートを迂回するジャンプホストを介したファイル転送などが含まれます。境界の厳格な管理は、利便性を優先した経路ではなく、接続の終端化、検査、および明示的な承認に依存します。

ファイル転送のためのパーデュー・レベル3.5準拠の産業用DMZアーキテクチャでは、IDMZをエンタープライズITネットワークとOTネットワークの間の検査およびポリシー適用境界として位置づけます。また、このアーキテクチャでは、ITエンドポイントとOTエンドポイントが相互に連携するのではなく、DMZサービスと連携するように設計されています。

DMZの最小構成サービスには、通常、ファイル転送ゲートウェイまたはマネージドファイル転送サーバー、隔離ストレージ、検査層、および一元化されたログ記録が含まれます。仲介型のストア・アンド・フォワード機能により、セグメンテーションの意図を維持しつつ、確定的な操作が可能になります。

安全なファイル交換のために産業用DMZに配置すべきサービスには、ファイル転送ゲートウェイまたはマネージド・ファイル転送サーバー、マルウェアスキャンおよびサンドボックス処理機能、コンテンツ無害化・再構築（CDR）機能、隔離ストレージ、および一元的なログ収集などが含まれます。また、Industrial サービスには、承認や公開を管理するワークフローおよびポリシー適用機能も含まれます。

ITエンドポイントはDMZのドロップゾーンにファイルを送信し、OTエンドポイントはDMZのステージング領域から承認済みのパッケージを取得する必要があります。DMZの境界は、マルウェアスキャン、サニタイズ、ポリシー評価、および管理履歴の記録を行うための統一された検査ポイントとなります。

ブローカー型設計におけるファイアウォールおよびルーティングモデルでは、一般的にデュアルファイアウォールIDMZアーキテクチャが採用されており、企業ネットワークからDMZへのトラフィックとOTからDMZへのトラフィックが個別に制御されます。許可リストは送信元、宛先、プロトコル、およびサービスIDに適用されるため、各ワークフローには明確で検証可能な経路が確保されます。

明確に定義された少数のフローは、多数の特注パスと比較してファイアウォールの複雑さを軽減します。また、ブローカー型設計では、固定ポートや一貫性のあるサービスエンドポイントがサポートされるため、ルールの再認定が簡素化され、広範なルールが時間の経過とともに拡大していくリスクを低減できます。

DMZへのプッシュからOTへのプルへと移行するワークフローは、実際には「取り込み、隔離、検査、クリーンアップ、承認、公開、配信」という繰り返しのプロセスとして機能します。また、DMZへのプッシュからOTへのプルへと移行するワークフローでは、双方がDMZ上のサービスにのみ接続するため、セグメンテーションも維持されます。

ITシステムがコンテンツを作成する場合は通常「プッシュ」方式が適しており、OTシステムが承認済みのコンテンツを所定のスケジュールに従って取得する場合は通常「プル」方式が適しています。命名規則、メタデータの取得、およびポリシーの決定がフローごとに一貫していれば、標準的なワークフローを複数の工場にわたり適用することが可能になります。

ITからDMZへのデータ送信パターンでは、IT送信元からの接続をDMZの取り込みサービスおよびDMZのドロップゾーンに限定することで、OT境界を閉じた状態に保ちます。一般的なパターンとしては、スケジュールされたアップロード、イベントトリガー型のアップロード、およびポリシー決定や監査証拠に必要なメタデータを添付API送信などが挙げられます。

運用ガイドラインには、一貫した命名規則、ソースシステムおよび転送先のゾーンに必要なメタデータフィールド、ならびにTLSを使用した転送中の暗号化が含まれます。IT部門による送信時には、IDバインディングも実施し、DMZがどのユーザーまたはサービスが転送を開始したかを記録できるようにする必要があります。

DMZからOTへのプル型パターンを採用することで、OTの取得エージェントまたはスケジュールされたジョブがOTからDMZへのアウトバウンド接続を確立し、承認済みのパッケージのみを取得するようにすることで、リスクを低減し、ファイアウォールの設定を簡素化できます。OTからの取得は、宛先固有のキューまたはディレクトリに限定すべきであり、これによりOTエンドポイントが承認されていない隔離コンテンツにアクセスできないようにします。

Pull方式は、OTへのインバウンド接続を回避し、OTに公開されるポートやサービスを制限することで、セキュリティリスクを低減します。また、OTシステムは運用スケジュール上、インストールやステージングが許可されている期間にのみデータを取得できるため、Pull方式は変更ウィンドウの運用にも対応しています。

産業用DMZにおけるファイル転送において必須の制御措置には、検査、データ消去、隔離、承認、最小権限の原則に基づくアクセス、暗号化、および証拠の連鎖（チェーン・オブ・カスターディ）をサポートする監査ログの記録が含まれます。DMZはゾーン間でのファイル移動における終端点であり、ポリシーの境界となるため、これらの必須の制御措置は主にDMZ内で実施されるべきです。

Endpoint や宛先制御Endpoint 依然として重要ですが、DMZは迂回行為を防ぐための一貫した検査ゲートとして機能すべきです。各制御はワークフローの各段階に対応させるべきであり、そうすることで運用部門は結果を予測でき、セキュリティチームは証拠を確認できるようになります。

DMZ内でのマルウェアスキャンにおいて、単一のエンジンに依存しないためには、マルチスキャンと多層防御による検知が必要であり、これにより既知の脅威や新たな脅威に対する検知範囲が拡大します。マルチエンジンによるスキャン結果からは、「合格」「不合格」「不明」といった明確な判定結果が得られるべきであり、それによってワークフローの確実性が保たれます。

「失敗」と判定された結果は、エスカレーション手順に従って隔離された状態を維持する必要があります。「不明」と判定された結果は、サンドボックスでの実行や詳細な検査ポリシーなど、追加の分析が行われるまで隔離された状態を維持する必要があります。DMZポリシーでは、タイムアウト、アナリストによるレビュー手順、および解放ルールを明確に定義し、隔離された結果が制御不能なバックログとならないようにする必要があります。

マルウェアの検出結果が「クリーン」と報告された場合でも、アクティブなコンテンツを削除するために「予防を最優先としたサニタイズ」が必要な場合、コンテンツ無害化および再構築（CDR）は、検出のみを行うアプローチよりも優れています。CDRは、ポリシーに基づいてマクロや埋め込みオブジェクトなどのアクティブなコンポーネントを削除しつつ、ビジネスでの利用性を維持するためにファイルを再構築することで、リスクを低減します。

サニタイゼーションの効果が高いファイル形式には、オフィス文書、PDF、およびスクリプトや埋め込みペイロードを含む可能性のあるアーカイブファイルなどが挙げられます。サニタイゼーションを優先するポリシーを採用することで、シグネチャのカバー率への依存度を低減できるほか、OT環境に侵入する「一見クリーンだが悪用可能な」文書による運用上のリスクも軽減できます。

リスクが高い、または影響が大きい転送Sandbox 、動的分析を追加することで、静的スキャンでは検出できない動作を検知します。Sandbox 、ファイルの種類、送信元の信頼レベル、送信先の重要度、および環境内で観測された過去の脅威パターンに基づいて設定する必要があります。

Sandbox 、運用部門が遅延を予測できるよう、明確な時間制限を設けてポリシー決定に反映されるべきである。DMZポリシーでは、サンドボックスの判定結果が、隔離期間、アナリストによるレビュー要件、および緊急メンテナンス時のエスカレーション手順にどのように対応するかを定義すべきである。

ゾーンをまたぐファイル移動に対するデータ漏洩防止（DLP）では、キーワードやパターンの照合、分類処理、送信先制限などの予防的な制御を適用する必要があります。DLPの適用はフローごとのポリシーと整合させるべきであり、これにより機密データが許可されていないゾーンや送信先に移動することを防ぐことができます。

オーバーブロッキングのリスクは、運用上のニーズを反映した段階的な適用と、フローごとの許可リストを通じて管理すべきである。証拠フィールドには、適用されたDLPルール、照合結果、および処理結果を記録し、コンプライアンス報告において一貫した対応が行われていることを証明できるようにすべきである。

ゾーン間のファイル転送における最小権限の原則と承認プロセスには、ロールベースのアクセス制御、職務の分離、および変更ウィンドウや停止時間の制約に合わせた時間制限付きのアクセス権限の設定が必要です。最小権限のポリシーでは、共有アカウントの使用を防止し、ワークフロー、送信先、ファイルの種類ごとに権限の範囲を限定する必要があります。

承認モデルは、一貫した役割分担、一貫した証拠の記録、および低リスクのフローにおける自動化を活用することで、サイト間で拡張可能であるべきです。また、ガバナンスにおいては、明確なログ記録と事後レビューの要件を定めた緊急対応手順を定義する必要があります。

IT・OT・DMZファイルブローカー向けのロールベースアクセス制御（RBAC）では、職務を「提出者」、「審査者」、「公開者」、「OT取得者」などのロールに分割します。RBACにより、提出者が一方的にコンテンツをOTに公開できないようにするとともに、OT取得者が隔離されたコンテンツにアクセスできないようにする必要があります。

既存のIDプロバイダーとのID統合により、管理上の負担を軽減できますが、OTのIDリスクについては、適用範囲の限定、セグメンテーション、および最小権限の原則を通じて適切に管理する必要があります。監査を可能にし、関連性のない転送間での権限の再利用を防ぐため、サービスアカウントはワークフローごとに一意のものとする必要があります。

ベンダーへの一時的なアクセスや緊急時の対応においては、有効期限付きの認証情報、期間限定の権限、およびワークフローごとの厳格に限定されたアクセス権限を活用すべきです。一時的なアクセス権限を設定することで、継続的なセキュリティリスクを低減し、アクセス期間をメンテナンススケジュールや変更承認期間と整合させることができます。

ログ記録の要件には、アクセスを要求した者、アクセスを承認した者、許可された範囲、および期限付きポリシーに基づき転送されたファイルの内容を含める必要があります。緊急時の措置については、緊急事態下においても説明責任を果たせるよう、検証用の明確な証拠資料を作成する必要があります。

コンプライアンス対応のIT・OT・DMZ間ファイル転送における監査ログは、手動でのチケット発行に依存することなく、IT、DMZ、OTにわたるエンドツーエンドの保管履歴の証拠を提供する必要があります。監査ログは、ワークフローの各段階を通じて一貫した識別子を使用することで、調査、コンプライアンス報告、および運用上のトラブルシューティングを支援するものでなければなりません。

管理履歴の証拠には、ファイルの提出者、実施された検査およびサニタイズの内容、公開を承認した担当者、および配信の確認の有無を含める必要があります。DMZを中心としたログ記録により、OTエンドポイントの可視性への依存度を低減し、セグメンテーションを維持することができます。

どのユーザーがどのファイルを送信し、それがどこに送信されたかを証明するために必要な最低限のログ項目には、ユーザーIDおよびサービスID、送信元ゾーンと送信先ゾーン、ファイル名、SHA-256などのファイルハッシュ、各ワークフロー段階のタイムスタンプ、適用されたポリシー、検査およびサニタイズの結果、承認記録、および配信確認が含まれます。相関識別子は、取り込み、隔離、検査、解放、および配信の各イベントを関連付ける必要があります。

一貫性のあるログフィールドにより、複数拠点にわたる展開環境全体での追跡が可能になります。ハッシュ化により否認防止が実現され、転送経路全体にわたるファイルの完全性を証明することで、インシデント対応を支援します。

運用監視およびアラートは、監査ログに基づき、検査エンジンからの「繰り返し発生する障害」「ポリシー違反」「異常なファイル形式」「異常な転送量」「原因不明の処理結果の繰り返し」などのアラート条件を用いて生成する必要があります。また、運用ダッシュボードでは、信頼性を維持するために、スループット、隔離対象の未処理件数、および配信確認率を追跡する必要があります。

SIEMとの統合によりセキュリティ相関分析が可能となり、運用ダッシュボードではサービスの健全性やワークフローの予測可能性を把握できます。アラートの閾値はフローごとに調整し、重要度の高い宛先への通知については、重要度の低いレポート配信よりも迅速にエスカレーションが行われるようにすべきです。

OT DMZにおけるマネージド・ファイル転送とスタンドアロン型SFTPサーバーの主な違いは、プロトコルの対応状況ではなく、ガバナンス、検査機能の統合、および監査可能性にあります。マネージド・ファイル転送は、フローごとのポリシーを調整し、隔離や承認を強制し、証拠の収集を一元化することで、セグメント化されたネットワーク向けの制御プレーンを提供します。

単独のSFTPは、スキャン、承認、レポート作成といった処理を外部プロセスに依存する転送エンドポイントとなることがよくあります。Industrial 導入においては、通常、複数拠点規模でも信頼性を維持できる一貫した制御ポイントが必要とされます。

DMZ内のスタンドアロン型SFTPは、通常、手動による承認、マルウェアスキャンの不統一、アカウントの共有、メタデータの収集範囲の限定、および複数システムに分散したログといった要因により、運用段階で問題が生じがちです。また、手動による手順は、特に緊急のメンテナンス期間中において、セキュリティ対策の回避行為が発生する可能性を高めます。

拠点が複数あると、各拠点でスキャン、保存、アクセス制御の方法がわずかに異なる傾向があるため、その格差が拡大します。また、証拠が分散していると、証拠の保管経路を証明するために、異なるログやチケット管理システム間で手作業による照合が必要となるため、調査の進行が遅れてしまいます。

境界を意識した管理型ファイル転送サービスは、フローごとのポリシー調整、隔離および解放の制御、統合された多層的なファイルセキュリティ、およびゾーンを横断した一元的な可視性を提供すべきである。また、境界を意識した管理型ファイル転送サービスは、転送経路におけるマルチスキャン、CDR、サンドボックス分析、およびDLPの適用を含む検査段階をサポートすべきである。

OPSWAT MetaDefender File Transfer™（MFT）は、Metascan™Multiscanning、Deep CDR™ テクノロジー、Proactive DLP™、およびサンドボックス分析を統合されたワークフローに組み込んだ、セキュリティを最優先とするマネージド・ファイル転送プラットフォームの一例と言えます。一元化されたガバナンスにより、IT、IDMZ、およびOT環境全体で一貫したポリシー適用が可能になります。

OT環境に持ち込まれるファイルに対するCDRファイルのサニタイズとウイルススキャンは、悪意のあるコンテンツに対する「予防を優先した再構築」と「検知を優先した特定」というアプローチの違いを表しています。多層的な制御により、マルチエンジンスキャン、高リスクな形式のファイルに対するサニタイズ、および不審なケースに対するオプションのサンドボックス分析を組み合わせることで、未知の脅威やAI生成の脅威によるリスクを低減します。

選択基準では、ファイルの種類と保存先の重要度に応じて管理レベルを調整する必要があります。ポリシーでは、デフォルトでサニタイズが必要なファイルの種類と、エスカレーショントリガーを設定した上でスキャンのみとするファイルの種類を定義する必要があります。

ウイルススキャンは、スキャン時に利用可能なシグネチャやヒューリスティックに基づいて、スキャンエンジンが既知の悪意のあるコンテンツを検出できなかったことを証明することはできますが、そのファイルがOT環境での使用に安全であることを証明することはできません。重要環境においては、検出漏れや新たな脅威が依然として運用上の重大な課題となっています。

「クリーン」と判定されたものの不審なケースについては、マルチスキャン、サンドボックス実行、またはサニタイズポリシーを含む多層的な分析が完了するまで、引き続き隔離状態にしておくべきである。ワークフローの設計においては、「クリーン」と判定された場合でも証拠が記録され、運用上の異常が発生した際にその後の調査に役立てられるようにする必要がある。

Deep CDR™ テクノロジーによるサニタイゼーションは、検出結果に問題がなくてもアクティブなコンテンツのリスクを低減する必要がある場合、より安全なデフォルトの選択肢となります。サニタイゼーションは、業務上のニーズに合わせて利用可能なコンテンツを維持しつつ、アクティブな要素を削除または無効化することでリスクを低減します。

ポリシーの例としては、重要度の高いOTステージングエリアに持ち込まれるOffice文書やPDFに対するデフォルトでのサニタイズ処理、ネストされたアーカイブに対するより厳格なアーカイブ処理、および保存先の重要度に応じたエンジニアリング成果物の管理処理などが挙げられます。サニタイズポリシーでは、管理の連鎖（チェーン・オブ・カストディ）の証拠を保持するために、どのような変換が行われたかを記録する必要があります。

OTファイル転送におけるデータダイオードとデュアルファイアウォールDMZの比較は、一方向の強制と、依然としてDMZで終了する制御された双方向ワークフローとの間の設計上の選択である。データダイオードの設計では、設計上の方向性が強制されるのに対し、デュアルファイアウォールIDMZの設計では、ポリシーや許可リストを通じて方向性が強制される。

一方向の強制は、確認応答や対話型のトラブルシューティングが制限されるため、ワークフローに対する期待値を変えます。ユースケースで双方向性が求められ、かつ是正措置が明示的かつ監査可能な状態が保たれている場合、制御された双方向転送は正当性を維持できます。

リスク許容度、規制、または重大な影響を及ぼす可能性のある環境において、厳格な一方向テレメトリや攻撃対象領域の縮小が求められる場合、OTからITへのデータ転送にはデータダイオードが必要となります。データダイオードの主な用途としては、一方向モニタリング、ヒストリアンの外部へのレプリケーション、あるいはOTへのあらゆるインバウンド経路を制限する規制対象環境などが挙げられます。

運用上のトレードオフとしては、対話型の受領確認による受領確認能力の低下や、リアルタイムでのトラブルシューティング能力の低下が挙げられます。ワークフローの設計においては、DMZ側での配信確認や不変ログといった代替的な証拠手段を含める必要があります。

産業用DMZに2つのファイアウォールを配置することで、検査ゲート、隔離制御、および厳格なポリシーの適用により、双方向の通信が常にDMZ内で完結するよう確保し、管理された双方向通信のニーズに対応します。双方向のワークフローは、ベンダーによる更新プログラムの配信、管理されたデータエクスポート、または必要な照合用データといった、正当なユースケースに限定されるべきです。

是正措置については、厳格な許可リスト、固定ポート、フローごとのサービス識別子、および承認要件を含め、文書化すべきである。また、ルールの無秩序な増加を防ぐため、ファイアウォールルールの定期的な再認証についても文書化すべきである。

DMZを経由してOTへベンダーファイルを配信する際は、DMZ内でのベンダーのアクセスを終了させ、検査、隔離、時間制限付きアクセス、および監査ログの記録を徹底する、ベンダーにとって利用しやすいワークフローを採用すべきである。ベンダーのワークフローは、運用計画の観点から配信時間を予測可能に保ちつつ、ベンダーによるOT資産への直接アクセスを防止しなければならない。

認証と認可は、ベンダー固有のドロップゾーンおよびベンダー固有のファイル形式に限定すべきである。DMZへのリリースの際は、承認記録を必須とし、OTステージングへの配信確認を提供すべきである。

共有アカウントや永続的なアクセス権を使用しないベンダー認証では、個別のベンダーID、可能な場合は多要素認証、およびメンテナンス時間帯に合わせて設定された有効期限付きアクセス権を採用すべきです。また、リスクを低減するため、ベンダーIDの適用範囲を特定のドロップゾーンに限定し、ファイル形式に関するポリシーを厳格に制限する必要があります。

アクセス権限は、OTの直接取得ではなく、送信およびステータスの確認に限定すべきです。また、ベンダーのアクセス権限には、許可された宛先に関するポリシーの適用を含める必要があり、これにより、ベンダーのパッケージが承認されたOT一時保管場所を超えてルーティングされることを防ぐ必要があります。

ベンダーファイルは、DMZの隔離ストレージに入庫され、マルウェアスキャンを受け、必要に応じてクリーンアップ処理が行われ、ポリシーが適用される場合はサンドボックス分析を経ることで、隔離状態から承認済みリリース状態に移行します。OT（オペレーショナル・テクノロジー）への取り込みは、リリースの承認が下り、かつポリシーによる処理の結果、パッケージが承認済みとしてマークされた後にのみ許可されるべきです。

承認は、レビュー担当者やリリース担当者など、職務を分離した指定された役割を持つ者が行うべきである。証拠の記録には、検査結果、データ消去措置、タイムスタンプ、および承認者の身元を含める必要がある。

OT DMZにおけるファイル転送の設定ミスは、ゾーン間の接続を再導入したり、検査ゲートの機能を弱めたり、承認やアクセスに関する責任体制を崩したりすることで、リスクを生み出します。設定ミスを防ぐには、明確に「行ってはならない」パターンを定め、定期的な見直しを行い、迂回行為を早期に検知する監視シグナルを導入する必要があります。

リスクを招きやすいパターンには、共有ID、SMB共有の拡大、ファイアウォールルールの乱立、および隔離措置を迂回する手動でのコピー作業などが挙げられます。基準策定にあたっては、障害発生のパターンを、確実に適用可能なアーキテクチャおよび運用要件に落とし込む必要があります。

共有アカウントや手動でのコピー作業は、説明責任の履行を妨げます。なぜなら、認証情報を共有すると否認防止性が失われ、調査の際に確実な責任の所在を特定できなくなるからです。また、手動でのコピー作業は、時間的制約の下で検査手順が省略される可能性を高めます。

提出、レビュー、公開、および検索の各業務においては、役割の分離と個人の識別が必須であるべきです。承認プロセスを組み込んだ自動化されたワークフローは、非公式な慣行への依存を減らし、監査やインシデント対応を支える一貫性のある証拠を生み出します。

SMB通信とファイアウォールルールの乱立は、目に見えない経路を生み出します。これは、SMBのアクセスパターンが時間の経過とともに拡大する傾向にあり、広範なファイアウォールルールは監査が困難になるためです。こうした目に見えない経路は、追跡不能な横方向の移動を可能にすることで、セグメンテーションの本来の目的を損なうことになります。

サービスの固定化と厳格な許可リストにより、意図しない拡張を抑制します。ファイアウォールルールの定期的な再認証では、各ルールが承認されたワークフローに対応していること、およびルールがエンドツーエンドのアクセスを許可するのではなく、DMZの終端ポイントに限定されていることを確認する必要があります。

産業用DMZファイル転送のセキュリティ強化チェックリストは、IDMZの制御項目を反復可能な検証項目に変換することで、アーキテクチャのレビュー、サイトの導入、および変更管理を標準化します。産業用DMZファイル転送のセキュリティ強化チェックリストは、DMZの終端処理、検査ゲート、ガバナンスワークフロー、および監査証拠の要件と整合している必要があります。

チェックリストに基づく標準化により、拠点間のばらつきが軽減され、セキュリティ関係者の連携が強化されます。チェックリストの項目は、導入時に検証が可能であり、定期的な見直し時に再認定できるような、確認可能な記述として作成する必要があります。

DMZを経由する転送に関するFirewall 強化チェックでは、固定ポートの設定、厳格な許可リスト、ITとOT間の直接セッションの禁止、およびデュアルホーム化されたブリッジングシステムの排除を確認する必要があります。また、管理アクセスパターンも制限し、管理アクセスによってOTネットワークへの「影の経路」が生じないようにする必要があります。

DMZシステムのパッチ適用戦略は、メンテナンスウィンドウに合わせて策定し、サービスの中断を最小限に抑えることを最優先すべきです。ルールの再認証においては、各ルールが文書化されたワークフローに対応していること、および通信がDMZ内に留まっていることを確認する必要があります。

高リスクなファイル形式に対する検査およびサニタイゼーションの強化チェックでは、マルチスキャンによるカバー率、CDRポリシーの適用範囲、サンドボックスのトリガー、アーカイブ処理の制限、および失敗時や不明な結果が生じた場合の隔離動作を確認する必要があります。アーカイブ処理には、ネストされたアーカイブの解凍制限や、正確なファイル形式の検出チェックを含める必要があります。

例外処理については、その理由を文書化し、明示的な承認を得るとともに、証拠となる記録を保存することが求められるべきである。また、一時的な例外措置が恒久的な抜け道とならないよう、例外が発生した際には定期的な見直しを行うべきである。

IT、OT、およびDMZネットワークを横断するマネージド・ファイル転送に関するRFP要件では、セグメント化された環境における境界管理の徹底、多層的なファイルセキュリティ、一元的なガバナンス、および監査可能性を優先すべきである。RFPの記述はワークフローに焦点を当てたものとし、単なる転送機能だけでなく、DMZでの接続終了、検査ゲート、承認プロセス、および証拠の記録といった要件が反映されるようにすべきである。

RFPの要件には、高可用性、オフラインまたはネットワーク環境が制約された状況での運用、およびサイト間での一貫したポリシーの展開についても盛り込む必要があります。また、ゾーン間のセッションを生成することなく、プラットフォームが「DMZへのプッシュ、その後OTへのプル」というワークフローをどのように実施するかを要件として定義する必要があります。

プロトコルおよびコネクタの要件には、トランスポート層に過度に依存することなく、企業環境および産業環境の双方で必要とされる一般的なプロトコルを含めるべきである。また、統合に関する要件には、ストア・アンド・フォワード動作のサポート、および帯域制限のあるネットワークや接続が不安定なネットワークへの対応を含めるべきである。

RFPの要件には、予測可能な再試行動作、大容量ファイルの転送再開機能、およびプラントの運用状況を考慮した帯域幅制御を明記すべきである。また、コネクタの要件には、サービスIDの処理や、可能な場合はIDシステムとの連携についても盛り込むべきである。

ポリシーオーケストレーションの要件には、フローごとのポリシー定義、隔離および解放のワークフロー、自動ルーティング、および職務分離を明記すべきである。ポリシーオーケストレーションには、転送パスにおけるマルチスキャン、CDR、サンドボックス、およびDLP適用に向けた明確な統合ポイントを組み込むべきである。

承認ワークフローの要件では、段階的な承認プロセスを明記するとともに、リスクの低いフローについては、例外処理の手順を文書化した上で自動化を行うことを規定すべきである。また、監査や調査の目的で、各段階で取得すべき証拠となるフィールドについても要件に明記する必要がある。

可視性および監査証跡に関する要件では、レポート作成、ログフィールドの要件、保存期間の管理、およびSIEMや集中型ログプラットフォームへのエクスポートについて規定すべきである。改ざん防止ログに関する要件では、改ざん防止対策および証拠の取得に関するアクセス制御について規定すべきである。

配送確認の要件には、承認済みのパッケージがOTステージングに到達し、権限のある担当者が受け取ったことを証明する内容を明記する必要があります。証拠パッケージの要件には、ハッシュ値、タイムスタンプ、検査結果、承認情報、および相関識別子を明記する必要があります。

MetascanMultiscanning、Deep CDR™テクノロジー、Proactive DLP、およびサンドボックス機能をMetaDefender Managed File Transfer MFT）は、OPSWATマネージド・ファイル・トランスファー（MFT）ソリューションです。産業用DMZを経由したIT/OT間のファイル転送を一元管理することで、ファイルに起因するリスクを低減します。