機械制御/振動騒音
IR情報 会社情報

ネットワークの分離や分類にデータダイオードが必要な理由

ネットワークの分離や分類にデータダイオードが必要な理由

 

軍事ネットワークや重要インフラの制御システムといった機密性の高いデータやネットワークの保護では、システムを他のネットワークから完全に切り離すセキュリティ対策が最もよく利用されています。この切り離されたネットワークは、隔離ネットワークまたはエアギャップネットワークとも呼ばれています。これは重要インフラやSCADAシステム、さらには軍事ネットワークで使用されていますが、分離ネットワークのデータをインポートおよびエクスポートする必要も増えているため、問題となりつつあります。データを手作業で転送すると、セキュリティリスクが生じるだけでなく、作業負荷が非常に大きくなり、人的エラーも生じがちです。

 

データダイオード:一方向のセキュアなデータ転送

 

データダイオードはこのような問題を解決します。具体的には、無防備なネットワークからセキュアなネットワークに対して、物理的にセキュアな一方向通信経路を作成します。この一方向通信経路により、データはセキュアなネットワークに安全に転送されます。同時に、データがセキュアなネットワークから外に出ていくことはありません。データ転送は、2つの専用サーバで処理されます。Arbit Securityでは、この原理を説明するため、送信サーバを「ピッチャー」、受信サーバを「キャッチャー」と呼んでいます。受信ネットワークから送信ネットワークに対して (つまりキャッチャーからピッチャーに返す形で) のデータ転送は行われません。データダイオードには1つの光ファイバケーブルしかないので、物理学の基本法則により、逆転送は不可能です(隠れ通信経路は不可能)。

 

つまり、データダイオードにより以下が保証されます。

 

・ネットワークアクセスの悪用は、ネットワーク外部からは不可能

・データがネットワークの外に出ることがないため、データの漏えいを100%防止できる。


ARBOR
 

セキュリティレベルが低いネットワークとセキュリティレベルが高いネットワークの間でファイルを安全に転送

 

データダイオードとファイアウォール技術を比較した場合、データダイオードはいったん導入すると何があっても変更できないという点が、重要なポイントです。最悪のシナリオは、データダイオードが強制的にシャットダウンされた場合です。ファイアウォールの場合、侵入されてもデータの転送は引き続き可能です。データダイオードは、侵入された場合、あるいは障害が発生した場合、転送用のすべての物理通信経路がデータダイオードと共に遮断されます。

 

データダイオードはセキュリティを保証すると同時に、従業員の生産性を大幅に高めることが可能となるため、ネットワーク、データ、機密情報を保護するという目的でのデータダイオードの使用は、セキュリティレベルの高い組織の多くにとって、合理的な次世代セキュリティ対策となりつつあります。
 

ユーザにとってのデータダイオードのメリットは?

 

安全で制限された接続が可能になるため、ユーザは効率的に作業を実行できます。たとえば次のようなものがあります。

 

電子メールの転送

 

セキュアな(さらには隔離された)ネットワークを利用するユーザの多くは、ネットワークごとに複数のメールアドレスを保有しています。メールを受信するには、複数のネットワークにログインしてそれぞれのメールアカウントを確認しなければなりません。データダイオードを導入すると、最も安全なネットワーク上にある1つのアカウントにすべての電子メールを転送できるため、効率が大幅に向上します。

 

ユーザ起動によるファイル転送

 

セキュアなネットワークにおける作業でも、通常のレポート作成にはグラフ、画像、その他の情報が必要となります。データダイオード技術を利用すれば、必要なファイルを専用の転送フォルダにドラッグ&ドロップするだけで、セキュアなネットワークに情報を転送することができます。

 

Webサイトのミラーリング

 

インターネットを介したWebサイトへのフルアクセスを許可するのは、セキュリティ上、常に大きな問題となります。また、隔離ネットワークでは、フルアクセスは単純に不可能です。しかし、ユーザまたは組織が特定のWebサイトにオンラインでアクセスしなければならない場合には、データダイオード技術を利用して、必要なサイトをミラーリングする方法があります。このWebサイトには、データダイオード経由で送信される情報が含まれ、従業員が利用できるミラー情報が作成されます。

 

RSSフィード

 

従業員が業界や専門分野の最新情報をRSSフィードから得ることも少なくありません。セキュリティレベルの高い組織でも、電子メールやWebサイトのミラーリングと同様に、データダイオード経由で情報を移動させることで、RSSフィードの使用を許可できるようになります。

 

ストリーミング (動画、音声)

 

セキュリティレベルの高い組織でも動画や音声のストリーミングが可能となります。動画ファイルにもマルウェアが入り込んでいる可能性があるため、ニュースフィード、監視、動画セミナーなどのストリーミングメディアの利用には対策を講じることが重要です。データダイオードの使用により、これらのメディア利用を一切妨げることなく、必要なあらゆる対策を講じることができます。

 

一元化された印刷ソリューション

 

一方向ネットワークを使用しない場合には、設置する分離ネットワークとプリンタープールの数が増えてしまいます。従業員がネットワークから情報を印刷できるようにするには、隔離ネットワークごとに独自のプリンター設備一式が必要となります。Arbit Securityのデータダイオードでは、複数のネットワークをカバーして「印刷のフォロー」までサポートする一元化印刷ソリューションをし、設定することができます。

 

管理者にとってのデータダイオードのメリットは?

 

手動による転送なしに、セキュアなデータアクセスを実現することで、管理者は自分の業務をより効率的に遂行できます。たとえば次のようなものがあります。

 

●Windowsサーバ更新サービス (WSUS) の実行

●アンチウィルスソフトのアップデートやソフトウェアリポジトリ

●ダウンロード済みのアップデートを取得してそのデータを保護されたネットワークに転送するようダイオードを設定することで、日々の作業が簡単となり、時間を節約できます。

●ログデータの確保、一元化

●一方向ネットワークにより、分離ネットワークがログデータを1つの総合ログにコンパイルすることができます。これにより、管理者のネットワークの分析や監視の作業が簡単になります。

●バックアップデータの確保、一元化

●ネットワークのいずれかで何らかの障害が発生した場合にも業務を継続するには、最新のバックアップ/ログデータが欠かせません。このため、バックアップはセキュリティおよび運用面で優先度の高い問題となります。Diodeソリューションにより、このような種類のデータをほぼ「オンライン」で移行し、安全を確保することができます。

●時間同期

●複数の分離ネットワークを扱う管理者が熟知しているように、異なるネットワークでの同時刻ソースは、とくにログデータを比較する場合に、重要です。

 

データダイオードで脅威ゼロの転送を保証するには?

 

データダイオードを使用すると、セキュアなネットワークからデータが外に出ていくことはありませんが、ネットワークに入ってくるデータが脅威ゼロであるのを保証することは、やはり大切です。だからこそ、最新のマルウェア対策ソリューションを使用して、セキュアなネットワークに入ってくるデータにマルウェアの脅威がないことを保証するのが大切なのです。

 

データダイオードでポータブルメディアのセキュリティを向上するには?

 

ポータブルメディアからセキュアなネットワークにデータを取り込む必要が生じることもあるでしょう。このメディアにマルウェアの脅威が潜んでいる可能性もあるので、すべてのマルウェア除去が可能なメディアでマルウェアを完全にチェックした上で、セキュリティレベルの高いネットワークへの接続を許可することが大事です。

 

ファイルに問題がないことが確認されたら、データダイオードとセキュアなファイル転送システムを使用して、データを安全な領域に転送します。メディアを物理的に持ち込んで接続する必要はありません。これにより、生産性が向上するだけでなく、新たなセキュリティリスクの可能性を排除します。排除できるセキュリティリスクの具体例として、隠しデバイスがあります。これがマルウェア対策ソリューションで検知されずネットワークに接続されると、大きなダメージが発生してしまうことになります。

 

つまり、隔離ネットワーク間でのデータフローを管理することが、セキュリティ上の課題であり、ユーザと管理者にとっては時間のかかる業務となっています。データダイオードや一方向ゲートウェイの分野におけるArbit Securityの専門知識を、OPSWATの強力なマルチスキャン、データサニタイズ、ポータブルメディア向けのセキュリティ技術と組み合わせることで、高セキュリティネットワークにおける、信頼性と効率性に優れた脅威ゼロのデータ転送の自動化を実現できます。このようにして、ユーザと管理者は、貴重な時間を手動によるデータ転送に割くことなく、もっと重要な業務に集中することができるのです。

 

作者について

 

Søren Elnegaard Petersen氏は、Arbit Securityの主要アカウントマネージャーです。2006年設立時、Arbit Securityは、一方向のデータダイオードソリューションなど、ハイエンドのセキュリティ製品を専門としていました。Arbit Securityが提供するデータダイオードは、セキュアなネットワークへの一方向転送にくわえて、Arbit Trust Gatewayテクノロジを利用したセキュアなネットワークからのデータ送信を提供します。Arbit Securityの本社はデンマークにあり、世界中のセキュアなセキュリティレベルの高いネットワークの安全性を支援しています。

 

原文はこちらです。

PAGE TOP