OT環境を守るための選択肢 OPSWAT「MetaDefender Netwall/FEND」データダイオード製品とは?
OPSWATと聞くと、IT業界ではファイルセキュリティ分野のベンダーとして認識されている方も多いのではないでしょうか。
マルウェア対策やCDR(コンテンツ無害化)を中心としたソリューションは、国内でもメールやファイル連携のセキュリティ対策として導入が進んでいます。
その一方で、OPSWATは近年、OT(Operational Technology)環境向けのセキュリティ領域にも注力しています。製造業や社会インフラ分野では、IT環境とは異なる制約やリスクが存在し、従来のIT向けセキュリティ対策をそのまま適用することが難しいケースも少なくありません。
こうした取り組みを象徴する動きの一つが、データダイオード製品を手がける Bayshore Networks社とFEND社の相次ぐ買収です。これによりOPSWATは、ファイルセキュリティで培ってきた技術や知見に加え、OT環境で求められる「物理的な一方向通信制御」を、製品ラインナップとして本格的に取り込む形となりました。
現在は、MetaDefender Netwall/FENDの名称のもと、複数のデータダイオード製品が提供されており、用途や設置環境に応じた選択が可能となっています。
目次
なぜOT環境にデータダイオードが必要なのか
製造業や社会インフラの分野では、これまで完全に分かれていたOT環境とIT環境を、OT設備データの可視化やリモート監視、保守効率化などを目的に、連携させるケースが増えています。
一方で、その接続点はサイバー攻撃の侵入口になり得るというリスクも同時に抱えることになります。
ファイアウォールやVPNといった従来のセキュリティ対策は有効ではあるものの、「設定ミス」や「未知の脆弱性」を完全に排除することはできません。
特に、停止することが許されないOT環境では、侵入を前提とした対策だけでは不十分とされる場面も少なくありません。
こうした背景から注目されているのが、物理的に通信方向を限定する「データダイオード」という考え方です。
一方で、その接続点はサイバー攻撃の侵入口になり得るというリスクも同時に抱えることになります。
ファイアウォールやVPNといった従来のセキュリティ対策は有効ではあるものの、「設定ミス」や「未知の脆弱性」を完全に排除することはできません。
特に、停止することが許されないOT環境では、侵入を前提とした対策だけでは不十分とされる場面も少なくありません。
こうした背景から注目されているのが、物理的に通信方向を限定する「データダイオード」という考え方です。
データダイオードとは?
データダイオードは、通信を一方向のみに制限することで、逆方向からのアクセスを根本的に防ぐセキュリティ技術です。
ソフトウェア等による論理的な制御ではなく、ハードウェア構造そのものによって通信方向を固定する点が大きな特徴です。
具体的には、以下のような場面で利用されます。
ソフトウェア等による論理的な制御ではなく、ハードウェア構造そのものによって通信方向を固定する点が大きな特徴です。
具体的には、以下のような場面で利用されます。
「通信を監視・遮断する」のではなく、「そもそも通れない構造を作る」。
これがデータダイオードがOTセキュリティで重視される理由です。
これがデータダイオードがOTセキュリティで重視される理由です。
MetaDefender Netwall / FEND の製品ラインナップ
OPSWATは、重要インフラ向けセキュリティを主軸とするベンダーとして、MetaDefender Netwall ブランドで複数のデータダイオード製品を提供しています。
ここで押さえておきたいのは、MetaDefender Netwallが単一製品ではなく、用途や設置環境に応じて選択できるラインナップ構成になっている点です。
ここで押さえておきたいのは、MetaDefender Netwallが単一製品ではなく、用途や設置環境に応じて選択できるラインナップ構成になっている点です。
すべての製品に共通するのは、一方向通信を強制する設計思想です。
そのうえで、スループット、設置形態、対応用途といった観点から、複数の選択肢が用意されています。
そのうえで、スループット、設置形態、対応用途といった観点から、複数の選択肢が用意されています。
主な製品とその違い(使い分けの視点)
Optical Diode / Optical Diode Din Rail
Optical Diodeシリーズは、光学的に一方向通信を実現する、データダイオードの中核となる製品です。
100M/1G/10Gといった高スループットに対応しており、基幹系OTネットワークや重要インフラ用途を主な対象としています。
Din Railモデルは制御盤への組み込みを想定した設計となっており、産業現場での実装性を重視する場合に適しています。
「とにかく強固な一方向分離を実現したい」という要件に対して、最適なモデルです。
XE / SE(FEND)
XE / SE(FEND)は、H/Wによる一方向通信という基本思想を維持しつつ、小型・省スペース化を重視したモデルです。
中規模から小規模のOT環境や、設置スペースに制約がある現場での利用が想定されています。
重要インフラ向けの機能を確保しながらも、現場実装のしやすさを意識した位置付けの製品です。
Transfer Guard
Transfer Guardは、Optical Diodeの機能に加え、MetaDefender Coreというファイルセキュリティ製品を搭載しているモデルです。単純な一方向通信に加え、無害化(CDR)やマルチスキャンいった機能と連携させることで、「安全にデータを受け渡す」ことを重視した構成を実現します。
OT環境からIT環境へ、ファイルやログを定期的に連携する必要があるケースに向いています。
MetaDefender Core製品の概要については、以下をご参照下さい。
Optical Diodeシリーズは、光学的に一方向通信を実現する、データダイオードの中核となる製品です。
100M/1G/10Gといった高スループットに対応しており、基幹系OTネットワークや重要インフラ用途を主な対象としています。
Din Railモデルは制御盤への組み込みを想定した設計となっており、産業現場での実装性を重視する場合に適しています。
「とにかく強固な一方向分離を実現したい」という要件に対して、最適なモデルです。
XE / SE(FEND)
XE / SE(FEND)は、H/Wによる一方向通信という基本思想を維持しつつ、小型・省スペース化を重視したモデルです。
中規模から小規模のOT環境や、設置スペースに制約がある現場での利用が想定されています。
重要インフラ向けの機能を確保しながらも、現場実装のしやすさを意識した位置付けの製品です。
Transfer Guard
Transfer Guardは、Optical Diodeの機能に加え、MetaDefender Coreというファイルセキュリティ製品を搭載しているモデルです。単純な一方向通信に加え、無害化(CDR)やマルチスキャンいった機能と連携させることで、「安全にデータを受け渡す」ことを重視した構成を実現します。
OT環境からIT環境へ、ファイルやログを定期的に連携する必要があるケースに向いています。
MetaDefender Core製品の概要については、以下をご参照下さい。
USG / BSG
USG(Unidirectional Security Gateway)およびBSG(Bilateral Security Gateway)は、一方向/双方向を用途に応じて選択できるゲートウェイ製品です。
上記の光学的に一方向通信を実現する4つのモデルに対し、USG/BSGはソフトウェアによる一方向通信を実現しています。
そのため、ネットワークセグメントの分割や、より柔軟な通信制御を組み合わせたい場合に利用されます。
物理的な一方向分離を最優先するケースとは異なり、ソフトOT環境全体の通信設計の中で役割を持たせる製品と言えます。
USG(Unidirectional Security Gateway)およびBSG(Bilateral Security Gateway)は、一方向/双方向を用途に応じて選択できるゲートウェイ製品です。
上記の光学的に一方向通信を実現する4つのモデルに対し、USG/BSGはソフトウェアによる一方向通信を実現しています。
そのため、ネットワークセグメントの分割や、より柔軟な通信制御を組み合わせたい場合に利用されます。
物理的な一方向分離を最優先するケースとは異なり、ソフトOT環境全体の通信設計の中で役割を持たせる製品と言えます。
ファイアウォールやIDS/IPSとの違い
ファイアウォールやIDS/IPSといった対策は、L3-L7における通信を「制御・検知」するためのものです。
一方、MetaDefender Netwall / FENDのデータダイオード製品は、物理的に(L1)通信経路を制限するという、異なるレイヤーの対策になります。
そのため、これらは排他的な関係ではなく、多層防御の中で補完関係にあります。
特に、「絶対に侵入させたくない境界」においては、データダイオードが最後の砦として機能します。
一方、MetaDefender Netwall / FENDのデータダイオード製品は、物理的に(L1)通信経路を制限するという、異なるレイヤーの対策になります。
そのため、これらは排他的な関係ではなく、多層防御の中で補完関係にあります。
特に、「絶対に侵入させたくない境界」においては、データダイオードが最後の砦として機能します。
まとめ:どの製品を選ぶべきか
MetaDefender Netwall/FENDの製品は、「何を守り、どれくらいの通信量を一方向に流したいのか」という視点で選ぶことが重要です。
• 強固な物理分離を最優先するなら Optical Diode
• 省スペース・現場実装性を重視するなら FEND
• ファイル転送が主目的なら Transfer Guard
• OTネットワーク全体の制御設計なら USG / BSG
OT環境は一様ではなく、要求されるセキュリティもさまざまです。
データダイオードを「一つの製品」として捉えるのではなく、ラインナップ全体として設計に組み込むことが、実運用では重要になってきます。
弊社ネットワンパートナーズはOPSWAT JAPAN社の販売パートナーとして
これまで数多くのお客様や業種・業界に対し、PSWAT社製品を通じた「無害化」「ゼロトラスト」の実現を支援してまいりました。また、それ以外にも、さまざまな角度からプロフェッショナルなセキュリティのご提案・販売支援を行っております。
本ブログにてご紹介したソリューションの導入・販売・提案をご検討中のお客様は、ぜひお気軽に、弊社営業担当または以下お問い合わせページまでご連絡ください。
• 強固な物理分離を最優先するなら Optical Diode
• 省スペース・現場実装性を重視するなら FEND
• ファイル転送が主目的なら Transfer Guard
• OTネットワーク全体の制御設計なら USG / BSG
OT環境は一様ではなく、要求されるセキュリティもさまざまです。
データダイオードを「一つの製品」として捉えるのではなく、ラインナップ全体として設計に組み込むことが、実運用では重要になってきます。
弊社ネットワンパートナーズはOPSWAT JAPAN社の販売パートナーとして
これまで数多くのお客様や業種・業界に対し、PSWAT社製品を通じた「無害化」「ゼロトラスト」の実現を支援してまいりました。また、それ以外にも、さまざまな角度からプロフェッショナルなセキュリティのご提案・販売支援を行っております。
本ブログにてご紹介したソリューションの導入・販売・提案をご検討中のお客様は、ぜひお気軽に、弊社営業担当または以下お問い合わせページまでご連絡ください。
最後までご覧いただき、ありがとうございました。
