【セキュリティ文明開化シリーズ】
情報セキュリティ専門家として30年以上の経験を持つ山崎文明が、セキュリティ分野における世界での出来事を新たな視点や切り口でお届けします。
-------------------------------------------------------------
前回のブログは、SBOM(Software Bill of Materials)について考えました。日本でのSBOM普及はこれからですが、脆弱性の管理には不可欠です。ソフトウェアの開発に当たり前のように用いられる時代が早急に来ることを願っています。SBOMの必要性が訴えられ始めたのは最近のことですが、30年以上も前からあるセキュリティ技術で、いまだに一般化していない技術もあります。
その一つが『データダイオード(Data Diode)』です。
データダイオードは、セキュアなネットワークへのデータ伝送を可能としつつ、逆向きの転送を不可能にする技術であり、システムの堅牢性を確保する重要な装置です。
本記事ではデータダイオードの基本的な原理や実証済みの堅牢性、さらには最近の応用事例について解説します。
- ライター:山崎 文明
- 情報セキュリティ専門家として30年以上の経験を活かし、安全保障危機管理室はじめ、政府専門員を数多く勤めている。講演や寄稿などの啓発活動を通じて、政府への提言や我が国の情報セキュリティ水準の向上に寄与している
目次
データダイオードとは
データダイオード(Data Diode)、または一方向ネットワーク(Unidirectional Networks)とは、セキュアではないネットワークからデータを収集し、セキュアなネットワークへのデータ伝送を可能としつつ、セキュアなネットワークからのデータ転送を不可能にする技術の総称です。例えば、光ケーブルのように一方向にしか光信号が流れない特性を利用して、物理的に信号を一方向にしか流れないようにした装置をいいます。
一方向通信ゲートウエイ(Unidirectional Gateway)とも呼ばれるこれらの装置は、情報系システムと制御系システムの間に設置され、あらゆるサイバー攻撃からシステムを守る役割を果たしてくれる非常に堅牢な装置です。データダイオードには、データダイオードの機能がソフトウェアとして書き換えが不可能であることという大原則があります。この大原則はいわゆる遠隔地からのサイバー攻撃を防ぐ上で大変重要です。
一方向ネットワークによってセキュリティを向上させるアイデアは1960年代から存在していましたが、実現したのは1990年代にオーストラリアの軍事科学技術院(DSTO)が開発したデータダイオードが最初です。米国では一時期ネットワーク・ポンプ(Network Pump)と呼ばれていました。
光ケーブルを利用したデータダイオード
初期のデータダイオードの写真をお見せしましょう。
筐体に繋がれた通信ケーブルは、Input側は赤と黒の2本の線が繋がれていますが、Output側は赤い線しか繋がれていません。筐体の中には、光ケーブルの通信線が1本だけ繋がっているだけの装置ですから、冷却ファンもなく筐体を持ち上げるとその軽さに驚いた経験があります。
【出典】筆者提供 初期の光ケーブルを使用したデータダイオード
実証済みのデータダイオードの堅牢性
筆者は、今から29年前の1995年に通産省(現 経済産業省)が行った大規模サイバーテロ実験の第三者評価委員を努めたことがあります。数億円もの予算を模擬石油精製プラントの構築にあて、そこにデータダイオードを設置し、ハッカーが攻撃を行うという実験でした。実験結果はもちろんハッカーがデータダイオードを破れるはずもなく、無事終了しました。この実験ではプラントの安全性を担保するための沢山の教訓が得られたのですが、実験報告書は大半が黒塗りで、読む人に相当な想像力を求めるものだったことを覚えています。別の機会があればこの実験で得られた知見についてお話しすることにします。
現在では鉄道や航空管制システム、防衛システム、水道管理システムなど、いわゆる重要インフラと呼ばれるシステムに設置されています。航空機を例に挙げるとコックピットの制御系システムと機内のエンターテインメントシステムはデータダイオードで接続されていますので、機内から航空機を乗っとるというようなことはできません。また、交通管制システムの場合、渋滞情報などの情報を表示するシステムにはデータダイオードが設置されています。
電力業界では実質義務化
筆者の知る限りでは、データダイオードの設置を法律で義務付けている国はありませんが、いわゆるソフトロウ(Soft Law)とよばれる各種のガイドライン等で設置を推奨している例はあります。
米国の原子力規制委員会は、2010年1⽉に発行した「原⼦⼒施設向けサイバーセキュリティプログラム規制ガイド 5.71」でデータダイオードの使用を推奨しています。このガイドラインがきっかけとなったのかはわかりませんが、日本でも2017年に経済産業省が発行した「重要インフラにおけるサイバーセキュリティ対策ガイドライン」で、外部ネットワークと内部ネットワークの間でデータを一方向にのみ送信できる装置の使用が推奨されています。日本電気協会(JEAC)が発行しているガイドラインなどもデータの一方向通信を保証する装置の利用が謳われています。
【出典】CYBER SECURITY PROGRAMS FOR NUCLEAR FACILITIES REGULATORY GUIDE 5.71
データバックアップにデータダイオード
データダイオードの導入事例として制御系システムの例を挙げましたが、価格の低廉化とともに応用範囲も徐々に広がってきています。制御系システム以外に時刻同期データの受け取りやソフトウェアパッチ更新データの受け取り、レプリカデータベースの作成をする際にも用いられています。
最近ではランサムウェアがバックアップデータまで暗号化するという事例が知られてきたために、システムログの書き出しやバックアップデータの作成にも応用されています。
ランサムウェア対策としてイミュータブルストレージ(Immutable Storage)のようにバックアップ専用に作成されたストレージを使用するのも一つの手ですが、一般的なストレージと比べて専用の管理ツールやソフトウェアが必要になるケースが多く、導入や管理コストがかかります。データダイオードを使用すれば一般的なストレージを安心して使用することができます。
皆さんの企業でもデータダイオードの応用できそうなポイントがないか、今一度検討されてはいかがでしょうか。
データダイオードは、データ転送速度や利用するプロトコルの種類などで価格が変わります。個人で使用する数千円台のものから、10数万円台から1千数百万円程度で調達することができます。国産のデータダイオードを作成している企業も複数社あり、相談に乗ってくれます。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
