ソフトウェアをだますことも、人間をソーシャルエンジニアリングで操ることもできるが、物理学の法則を裏切ることはできない。その法則は普遍的なものだからだ。
これがデータダイオードの原理であり、敵対国間で核軍縮に関するデータを共有するために初めて使用されて以来、世界でも最も機密性の高い情報を守り続けてきた。
何十年もの間、ダイオードは政府や軍隊のみが利用するものでした。しかし現在、国家レベルの攻撃が重要インフラや企業ネットワークを標的とするケースが増加するにつれ、その状況は変化しつつあり、ダイオードの活用分野はかつてないほど多くの産業に広がっています。
政府・防衛、金融、運輸、情報機関、あるいはデータセンターなどの組織において、データダイオードがITデータセキュリティに関するより広範な議論の中でどのような位置づけにあるのか、以下に説明します。
データダイオードとは何か?
データダイオードとは、ネットワーク間のデータの流れを一方通行にするハードウェア型のサイバーセキュリティデバイスです。これは、光ファイバーを使用してデータを一方向に送信する仕組みとなっており、一方の端に送信機、もう一方の端に受信機が設置されています。
ファイアウォールやソフトウェアによる制御とは異なり、物理的な分離によって情報の伝送を一方通行に限定することで、外部からの攻撃を構造的に不可能にしています。重力と同様に、ダイオードは物理法則に基づいて動作しており、これを回避することは事実上不可能です。
ダイオードの用途は、さまざまな結果に適用されます:
- 物理的に強制された一方向通信:セキュリティレベルの低いネットワークが侵害された場合でも、その侵害が物理的にセキュリティレベルの高いネットワークへ波及することはない
- セキュリティゾーン間の真のネットワーク分離:厳格な境界設定により、脅威が組織のインフラストラクチャ内で横方向に拡散することを防ぎます。1台の乗っ取られたデバイスだけでは、システム全体に侵入することはできません。
- ネットワーク経由の脅威からの保護:攻撃者は、保護されたシステムに対して、認証、パッチ適用、更新、または信号への応答をリモートで指示することはできません。受信通信が物理的に不可能なため、悪用される攻撃対象領域が存在しません。
- セキュリティレベルの高い環境と低い環境間のSecure :極秘扱いの環境への「扉」を開くことなく、データが一方向に自由に流れる
従来のセキュリティツールが既存の攻撃に対抗するのに対し、データダイオードは特定の種類の攻撃そのものを排除します。
MetaDefender X:一方向セキュリティに、組み込み型の脅威検知機能とファイルのクリーンアップ機能を追加
MetaDefender X は、物理的に強制される一方向のデータフローと、MetaDefender プラットフォームを通じて追加されるファイルセキュリティ層を組み合わせています。市場をリードする技術により、既知および未知の脅威(ゼロデイ攻撃を含む)を、ファイルがネットワーク間を移動する前に検知、分析、排除します。
- Predictive Alin AIは、OPSWATAI搭載のマルウェア検出エンジンです。ファイルを実行することなく、そのリスクレベルを予測し、誤検知率は0.1%です。
- Metascan™Multiscanning は、最大10以上のマルウェア対策エンジンを同時に使用し、マルウェアの検出率を向上させると同時に、誤検出率を低減します。
- Deep CDR™ テクノロジーは、220種類以上のファイル形式を再帰的にクリーンアップし、すべてのアクティブなコンテンツおよび潜在的なリスクのあるコンテンツを削除します。
- Proactive DLP™ レイヤーは、ファイル内の機密データがネットワークに出入りする前に、そのデータを削除、マスキング、または透かしを入れる処理を行います。
- Adaptive Sandbox 、エミュレーションに基づく動的解析を用いて、高度化・巧妙化した脅威を検知します。また、実用的な IOC(侵害の兆候)を抽出し、SOC(セキュリティオペレーションセンター)、脅威インテリジェンス、および大規模な脅威ハンティングのワークフローを支援します。
MetaDefender X – 主な機能とメリット
高度なセキュリティが求められる環境向けに設計されており、双方向のネットワーク接続を確立することなく、信頼性の高いデータ交換とファイルの セキュリティを実現します。
- Hardwareエアギャップ保護:セキュリティは物理層で確保されており、パッチの適用や設定ミス、悪用される可能性のあるソフトウェアに依存していません。
- Secure データ転送:データは一方向のみに流れるため、インバウンド攻撃は単に発生しにくいうちに留まらず、構造的に不可能となる
- ルーティング不可能な通信によるプロトコル違反:ネットワーク間の接続は決してアクティブなネットワークパスではないため、たとえ攻撃者がシステムに侵入したとしても、通過できる経路は存在しない
- 迅速な導入とシンプルな管理:迅速な導入に向けてあらかじめ設定済みのため、セキュリティチームはセットアップ作業ではなく運用業務に時間を割くことができます
- コモン・クライテリア EAL4+ 認証を取得したセキュリティ:ハードウェアセキュリティに関する国際的に認められた基準に基づき、独立した機関による検証を受けており、調達およびコンプライアンス担当チームに必要な安心感を提供します
対応プロトコル:既存のインフラストラクチャにシームレスに統合できるよう設計されています
MetaDefender X ソリューションは、組織が既存のワークフローを変更する必要がなく、多くの企業や政府機関の環境で既に採用されているプロトコルに対応しています。
- ファイル転送:FTP/SFTP、SMB/CIFS、Windows ファイル共有、フォルダおよびファイルのレプリケーション、ウイルス対策ソフトの更新、WSUS によるパッチの配布などが含まれます
- ストリーミング機能:HTTPS、Syslog、TCP、UDPに対応しており、セキュリティチームが日常的に依存している監視およびアラート通知のパイプラインを網羅しています
その結果、物理的に強制された一方向通信が実現され、OPSWAT高度なファイルセキュリティ機能によって強化されていますが、統合に伴う煩わしさはありません。
さらに、MetaDefender X は、100 Mbps の速度(1 Gbps または 10 Gbps へアップグレード可能)により、データセキュリティポリシーにスケーラブルなパフォーマンスをもたらします。ネットワークのエアギャップ化が解決策とならない環境では、組織はバック・トゥ・バック・モードを導入することで、2 つのダイオードを用いた双方向のワークフローを実現できます。
現代の産業分野におけるデータダイオードの導入状況
データダイオードは、セキュリティ侵害が絶対に許されない環境向けに特別に設計されています。つまり、データが一方向のみに自由に移動できる一方で、その背後にあるネットワークは完全に遮断された状態を維持しなければならない分野を指します。こうした環境におけるデータダイオードの主な用途には、次のようなものがあります:
政府・防衛分野における機密情報の保護
政府や防衛関連のネットワークにおいて、たった1つの接続が侵害されるだけで、国家の主権が脅かされる恐れがある。
その目的のため、ダイオードが導入され、クロスドメインのデータ転送と、機密区分レベル間の情報共有の両方を確保している。具体的には、チェックが比較的緩やかな低機密側から、機密区分レベルが最も厳しい高機密側までをカバーしている。
また、データダイオードは、任務計画のための航空気象データの転送を保護し、悪用可能なリターンパスを生じさせることなく、重要な情報が適切なシステムに確実に届くようにします。
金融サービスにおける資金移動の保護
金融機関は、災害復旧サイトへのバックアップ転送を保護し、アラートや監視データの流れを保護するために、データダイオードを活用しています。
データセンター向けのSecure 監視
データセンターにおいても同様の原理が適用されます。重要なノードにダイオードを使用することで、インフラのアラームや遠隔電力システムの監視情報を、コアシステムをインバウンドトラフィックにさらすことなく、安全に外部へ送信することができます。
DevOpsにおけるパイプラインのセキュリティ確保
DevOps環境において、データダイオードを活用することで、ソフトウェアイメージやアップデートを制限付きネットワークに安全に配信することができ、開発パイプラインが侵入経路となることを確実に防ぐことができます。
運輸業界における安全なファイル転送とリモート審査
通信分野において、ダイオードは、マニフェストファイルの転送や監視データをセキュリティスクリーニングシステムから保護します。データの完全性とネットワークの分離の両方が規制上重要視される場合、ダイオードは安全な一方向通信を実現します。
情報活動におけるデータの管理
情報環境においては、最高水準のデータ管理が求められます。
データダイオードは、安全な文書の保管履歴管理を徹底し、ネットワーク間での情報共有を可能にするとともに、データが接続経路を逆方向に流れる物理的な可能性を完全に排除します。
OPSWAT統合ソリューションによる、ポリシーに基づいたSecureファイル交換
MetaDefender Xは、単体のツールとして動作するのではなく、既存のOPSWAT に組み込まれることで、データ転送ワークフロー全体にわたって保護範囲を拡大します。
MetaDefender Diode™ は、OPSWATハードウェアによる強制的な一方向データ転送ソリューションであり、光ファイバーを用いて物理的に一方向通信を保証します。MetaDefender Xの中核となるハードウェアコンポーネントMetaDefender Optical Diode 、OPSWAT と直接統合可能なスタンドアロンソリューションとしてもOptical Diode 、組織は既存のファイルセキュリティおよび転送ワークフローに、ハードウェアによる強制的な一方向転送機能を拡張することができます。
MetaDefender Optical Diode MetaDefender Managed File TransferTransfer™
MetaDefender Managed File Transfer 、ITおよびOT環境にわたる自動化されたファイル転送ワークフローに、ファイルのセキュリティ、暗号化、およびポリシーの適用機能を組み込んでいます。
MetaDefender Managed File Transfer MetaDefender Optical Diode を組み合わせることで、以下の分野における重要なファイル転送要件Optical Diode :
- ICS(Industrial システム)/SCADA(監視制御・データ収集):OT環境へのリスクの侵入を防ぐ、安全な一方向転送プロセスを通じて、レベル1およびレベル2からITシステムへログおよび運用データをエクスポートする
- 重要インフラ:保護された運用ネットワークとエンタープライズシステムの間で、検査報告書、保守記録、運用文書を安全に転送する
- 防御:ハードウェアによって強制される一方向転送機能を備えた、管理されたポリシー主導のワークフローを用いて、異なるセキュリティ分類レベルで運用されているネットワーク間でファイルを転送する
- 製造・製薬業界:セキュリティ、完全性、および規制順守を確保しつつ、OT環境とIT環境の間で品質保証文書、バッチ記録、生産データを安全に転送する
MetaDefender Optical Diode MetaDefender Kiosk™
MetaDefender Kiosk は、OPSWATKiosk リムーバブルメディア向けセキュリティKiosk 、外部メディアによる脅威が重要な環境に侵入するのを防ぎます。
「MetaDefender Optical Diode 」Optical Diode 「MetaDefender Kiosk 」Kiosk 、物理的な入口でファイルを安全に取り込みつつ、保護された環境への一方向のデータ転送を強制する必要がある組織にとって理想的です。
- Industrial :設定ファイル、ソフトウェアの更新プログラム、および設計データを運用環境に安全に取り込みつつ、重要なシステムへの脅威の侵入を防止する
- 防衛・公共部門:安全でポリシーに基づいたワークフローを通じて、機密または極めて機微な環境へのリムーバブルメディアのスキャン、検証、およびファイルの取り込みを管理します。
- 医療・製薬:データの完全性と規制順守を維持しつつ、ネットワークの各層間で診断画像、患者記録、研究データを安全に転送する
MetaDefender Optical Diode MetaDefender Core™
MetaDefender Core OPSWAT高度な脅威検知・防止プラットフォームCore 、ファイルに潜む脅威を実行前に特定します。MetaDefender Optical Diodeと組み合わせることで、完全なネットワーク分離を維持しつつ、信頼できるファイルのみが保護された環境に侵入することを保証します。
この組み合わせは、次のような場合に最適です:
- 重要インフラ。コンプライアンス報告書、運用ログ、技術ファイルを保護されたネットワークへ安全に転送すると同時に、外部からのサイバー脅威を防止する
- 防衛・国家安全保障分野において、ハードウェアによる一方向転送と高度な脅威検知機能を活用し、異なる信頼レベルのネットワーク間で、機密処理済みの情報、任務、および作戦関連ファイルを転送する
- 医療・製薬分野において、データの完全性とコンプライアンスを維持しつつ、ネットワークの各階層間で患者記録、診断データ、検査結果の安全な交換を支援します。
- 製造・エネルギー分野において、重要なシステムを外部の脅威にさらすことなく、生産ログ、設計ファイル、ファームウェアの更新プログラムを、隔離された運用環境へ安全に転送する
機密性の高い環境間におけるデータフローの管理
組織が、機密性の高い環境からデータを外部へ転送する際、そのデータが再び内部へ流入する経路を作らずに済むようにする必要がある場合、データダイオードは、運用上の可視性を維持しつつサイバーリスクを低減するために必要な、ハードウェアによって強制される一方向通信を実現します。
ぜひお問い合わせいただき、一方向のデータ転送がお客様のインフラストラクチャにおいてどのようなリスクを軽減できるかをご確認ください。
