原子力発電所や化学プラント、ガスの貯蔵施設、航空管制設備など、いわゆる重要インフラのサイバーセキュリティ対策が急務だ。万一、破壊や乗っ取りにあえば人命に関わる事態を招くからである。セキュリティだけに決め手があるわけではないが、「データダイオード」というソリューションが新たな手段の1つとして注目を集め、米国では普及し始めている。それは一体、どういうものなのか。専門家が解説する。(IT Leaders編集部)
このような状況下で注目されているセキュリティ技術の1つがデータダイオードです。ダイオードについてはご存じの方も多いと思いますが、電流を一方向にしか流さない電子素子です。この考え方を通信に応用したのがデータダイオードで、双方向ではなく、片方向のみの通信を物理的に許可する技術です。
例えば、現場系ネットワークと管理系ネットワークの間にデータダイオードシステムを設置すれば、現場系から管理系への通信は許可され、管理側は現場で起きていることを何ら制限なく把握できます。しかし、管理系から現場系への通信は許可しません。従って、外部とつながっている管理系ネットワークがサイバー攻撃を受けても、現場系へは通信ができないため、現場系ネットワークの安全性が維持されるという理屈です(図2)。もちろんインターネットから現場系への通信もできません。
図2:データダイオードの”片方向通信”による遮断の仕組み拡大画像表示
実際にどのように設計・製造されているかはともかく、データダイオードはネットワークの途中に入る“物理的な素子”という位置づけです。事実上、ハードウェアですので、ソフトウェアにつきまとう脆弱性を払拭できます。OSのアップデートといったメンテナンス保守および維持費を軽減できるメリットもあります。
欧米では、既に政府機関・団体が重要インフラに対して法律やガイトガイドラインなどを発令し、対象ネットワークにデータダイオードによる片方向通信を普及させるべく強力に推進しています。例を挙げると、国際原子力機関の「IAEA Nuclear Security Series No.17」、米国原子力規制委員会の「REGULATORY GUIDE 5.71」、米・国土安全保障省の「Seven Strategies to Defend ICSs」、北⽶電⼒信頼度評議会の「Compliance Application Notice - 0024 CIP-002 R3 Routable Protocols and Data Diode Devices」などです。
今後は日本でも、政府機関・団体から、欧米の動向に合わせた規制・ガイドラインが発令され、重要な社会インフラには片方向通信が義務付けられる動きが予想されます。
単純に片方向通信を実現しても実運用には支障がある
このデータダイオード、実現は一見簡単そうですが、単純に片方向だけの通信経路を構築すればよいというものではありません。そもそも通信は、双方向を基本的な運用としており、双方向によるアクティブ確認(IPアドレス、通信速度、接続状況など)を常時、行っています。したがって片方向通信といえども、アクティブ確認を実現する必要があります。
会員登録(無料)が必要です
- > 前へ
- 1
- 2
- 3
- 次へ >
