関連するソリューション
セキュリティサービス
セキュリティ製品
アプリケーション開発
マネージドサービス(運用・保守)
業務改革
サイバー・セキュリティ・ソリューション部
テクニカルスペシャリスト 藤原 和紀
皆さん、データダイオードをご存知でしょうか。
データダイオードとは、ネットワーク上でデータを一方向のみに流す装置で、外部からの不正アクセスや情報漏洩を防ぎたい場面で活用されます。
一般的にはなじみがないと思われますが、高度なセキュリティが必要な現場で用いられています。
電子部品としてのダイオード
そもそも、ダイオード(Diode)とは電流を一方向にのみ流す性質を持つ半導体素子です。ダイオードというと発光ダイオード(LED : Light Emitting Diode)の方が有名になってしまいましたが、LEDもダイオードの一種です。ダイオードはP型半導体とN型半導体を接合した「PN接合」で構成されます。P型側がアノード(Anode)、N型側がカソード(Cathode)の二つの端子を持ち、回路記号でも三角と棒でアノードからカソードへ一方向しか流れない事を表しています。
順方向電圧(アノードが正、カソードが負)がかかるとダイオードが導通し、電流が流れ、逆だと電流は流れません。
この特性を利用して、ダイオードは整流(交流を直流に変換すること)や電圧制御などの役割を果たします。
ダイオードは、通常はシリコンやゲルマニウムなどの半導体材料で構成されていますが、最近スマホの充電器でガリウム窒化物(GaN)というワードを目にすることが増えたかと思います。従来はシリコン製が主流でしたが、現在はガリウム窒化物(GaN)に置き換えられつつあります。
GaNダイオードの特徴は高電圧耐性、高熱伝導性、高周波動作、低損失・高効率という特性があり、この特性を生かしてスマホの充電器では、従来の製品より小型且つ高出力の製品が作れるという事から、充電器に限らずGaNダイオードを使った製品が増えています。
データダイオードとは
話をデータダイオードに戻しますと、ネットワーク上でダイオードと同じ動きをするものがデータダイオードという事になります。具体的な用途は、データダイオードを使うと物理的に一方向にしかデータが流れないので、前述したようにセキュリティを重視する用途で使われます。
具体的には重要インフラや制御システム(OT)のような、侵害が許されない場所で使われることが多く、NIST SP 800-82 Rev.3という産業用制御システム(ICS)や運用技術(OT)環境のサイバーセキュリティに関するガイドラインにも定義されています。
実際の活用例を皆さんの身近な例で言いますと、航空機があります。
航空機では機内エンターテイメントシステム(IFE:In-Flight Entertainment)で機内のモニターやタブレット等で映画やゲームを楽しめますが、フライトマップで高度、対地速度、対気速度、外気温、現在地などが表示することができます。これが航空機からIFEへ一方向に送られる情報です。
万が一にも双方向通信が可能になり、航空機の制御情報が侵害されるという事はあってはならないのです。
ファイアウォールとの比較
それではこれがファイアウォールなどの機器で代用できないのかというと、ある程度代用はできます。ACL(Access Control List)を厳格に定め、運用することで近い環境で構築することができます。ではなぜデータダイオードが必要なのでしょうか。答えはデータダイオードとファイアウォールの目的と仕組みが根本的に異なる点です。
| データダイオード |
ファイアウォール |
|
| 目的 |
一方向のみの通信(データは送信側から受信側へ流れるが、逆方向の通信は不可) |
双方向通信(ネットワーク間の通信の監視・制御) |
| 仕組み |
ハードウェアによる物理的な制御により、外部からのアクセスを完全に遮断 |
特定のルールに基づいてデータの送受信を許可またはブロックする |
一方でファイアウォールはソフトウェアで制御する以上、設定不良や脆弱性により通信が可能になってしまう可能性が否定できません。
皆さんが飛行機に乗る場合、どちらの機器を使った機体に乗りたいかを考えるとわかりやすいかと思います。
データダイオードの活用領域
航空機の例のように、データダイオードは一方向通信でも問題がなく、侵害が許されない環境に適しています。具体的には次のような用途です。・重要インフラ
電力、交通、上下水道などの公共インフラは、外部からの攻撃を受けるリスクが高いですので、監視等といった通信は制御系とデータダイオードでネットワーク分離することにより、セキュアな環境となります。
・軍事・防衛分野
軍事機密や防衛システムにおいては、外部からの攻撃や機密情報の漏洩が国家安全保障に直結します。制御系・作戦系のネットワーク分離に使用します。
・ 製造業
工場や製造ラインでは、制御系の監視・管理をリアルタイムでIT系の外部システムへ送信することで効率的な運用ができます。OTとITのネットワークを分離することでセキュアな環境となります。
上記のような少し特殊な用途以外に、一般企業でも遠隔バックアップやログのリモート保管のような一方向通信で問題ない場合に使われることがあります。
メリットと導入の課題
このようにデータダイオードはネットワークを守る最適解でもあるのですが、特定環境以外にはあまり普及していません。データダイオードには次のようなメリットとデメリットがあります。◎ メリット
- サイバー攻撃の防止:外部からの不正アクセスを完全に遮断。
- 高い信頼性:物理的な仕組みで通信を制御するため、ソフトウェア的な脆弱性が発生しない。仕組みが簡素で故障しにくく、ファームウェア更新が不要な製品もある。
- 双方向通信ができない:データ送信のみ可能であり、受信側からのフィードバックが必要なシステムには適さない。
- 導入コストが高い:専用ハードウェアの設置が必要であり、コストがかかる。
- 運用の柔軟性に欠ける:ネットワークの変更や更新が難しく、適用範囲が限定される。
一方向通信を支える技術と工夫
以上のように、あくまで通信は1方向です。という事は3wayハンドシェイクのようなコネクションが必要なTCPは通信が行えないため、UDPのようなコネクションレスの1方向の通信である必要があります。一般的には、OT環境に置いている制御機器からOA環境にある監視機器に対して動作状況や動作ログを一方的に送り付けるような用途で使用します。この方法であればOA環境で侵害などのインシデントが発生してもOT環境に影響を与えることはありません。
その際に、通したい通信が1方向通信に対応していればいいのですが、実際には対応していないケースも多くあります。
そのような場合、データダイオードの前後でTCP over UDPのようなパケットを変換して通信するなどの工夫が必要になります。
このように、高価で設置する場所を選ぶのがデータダイオードとなり、一般には普及しづらい製品となります。
エアギャップとの関係
また、セキュリティを確保するためにエアギャップという手法が採用されることがあります。エアギャップとは外部ネットワークと一切の通信経路を持たない状態で、物理的に遮断し、機密性・完全性を最大限に確保することです。国内にはエアギャップ志向が根強く、データダイオードの普及の妨げになっています。
エアギャップが向いているのは工場単独で管理する場合です。すべて1つの工場内で完結するケースでは、わざわざお金をかけてデータダイオードに投資する必要はありません。
ただし、現在工場などはスマート工場のようにネットワークで管理するのがトレンドです。
本部機能による集中管理、あるいはクラウド管理というのが今後の流れです。データダイオードがあれば外部接続の際はクラウド上にログや動作状況をリアルタイムで送信できますが、クラウド側からは一切の通信をブロックすることができ、セキュアな監視が実現できます。
おわりに
データダイオードはスマート工場に限らず、メンテナンスフリーでセキュリティを高める機器となりますので、皆様もぜひこの機会にこのようなネットワーク機器の意義を覚えていただけると幸いです。では、次回までしばらくお待ちください。
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エンジニアによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。
