一方向通信とは

内部ネットワークと外部のネットワークを繋ぐものの、ネットワークのエアギャップに匹敵するセキュリティ強度とされるのがデータダイオード（DataDiode）と呼ばれる一方向通信です。ハードウェアレベルで片方向しか通信できないように考案された特殊な通信装置で、いわゆるダイオードのように一方向にしか通信を許さない仕組みです。外部とネットワーク接続していないクローズなシステム、例えば、原⼦⼒発電所の最⾼度セキュリティレベルの内部状況に対して、安全性を損なわないで外からモニタリングすることを可能にします。

一方向通信ソリューション出現の背景

ICT 社会の中で、情報ネットワークセキュリティのリスクは高まる一方であり、重要なインフラである程、外部ネットワークと接続することは重大なリスクを伴います。サイバー攻撃に対する最大の防御は、他のネットワークと物理的に分離・遮断すること、すなわちエアギャップですが、すべての通信が不可能になります。IoT時代を迎え、特に産業制御システム＝ICS：Industrial Control Systems がビジネス系のネットワークやインターネットと相互接続して、グローバル対応することが求められる現在、重要ネットワークといえども物理的遮断・隔離だけでは済まされません。ここに物理的なアクセスや論理的なアクセスで改竄させられないようなセキュリティ耐性のあるハードウェアベースの⼀芯⼀⽅向通信装置が求められる理由があります。

OPDS-1000

データダイオードの市場での導入状況

欧米では、主要政府機関・団体が整備・運用する法律やガイドラインで、セキュリティレベルの高い重要インフラの ICS には、一方向通信（DataDiode）を導入することが明記され、対象ネットワークへの普及が進⾏しています。取り組みが遅れていた日本でも内閣官房サイバーセキュリティセンターなど各政府機関によりガイドラインが出されるようになってきたことにより、今後は普及が加速するものとみられます。

市場では先⾏する一方向ゲートウェイ製品が存在したものの、不具合の指摘も⾒られ、⽇本ダイレックスには一昨年来、顧客企業からの相談が寄せられるようになりました。要請に応えて世界のテクノロジーを渉猟する中、出会ったのがOWLの一芯一方向通信装置 DualDiode Technology です。

DualDiode のグローバルでの導入実績

OWLの DualDiode は、米国を中心に欧州、中東を含めグローバルで 2,000 以上のシステムの導入実績をもち、発電・変電・配電設備、鉱業、製造プラント、⽯油・ガスプラント、⽔処理・廃⽔処理、⾦融・銀⾏など主要インフラ事業者に幅広く導⼊されています。同社はこれまで⽇本に現地法⼈・代理店企業がなか ったために⼊札制度の問題やインテグレーション、メンテナンスサービスを実施できないことから参入が遅れていましたが、⽇本ダイレックスとの事業提携で⽇本上陸が果たせたことになります。

ネットワーク現場への導入

通信接続において、情報提供者側から情報受益者へのパケットが輻輳等でロスした場合に、情報受益者側から発信される再送要求は、一方向通信においては情報提供者側に通知することができません。このため 一芯一方向通信装置の導入には、パケットロスが生じないよう、ネットワークの実態把握（質・量・速さ）技術が不可⽋です。

日本ダイレックスは、ネットワークの実態調査（アセスメント）サービスを実施しており、計測ネットワーク設計から分析・報告のネットワークインテリジェンス技術に深い知⾒・経験を保有しています。OWLの DualDiode 導入の際には、このネットワークの計測技術を駆使して最適設計を⾏います。また最適設計において一方向通信装置のみでは解決できない場合は他のソリューションを組み合わせて提案し、インテグレーションをすることができます。

一芯一方向通信「DualDiode® Technology」

OWLの一芯一方向通信装置DualDiodeは、送信専用通信カードの発光素子（LED）と受信専用通信カードの受光素子（光検出器）を一芯光ケーブルで繋ぐ光方式を採用、両通信カードを直列に接続します。通信信号が送信→受信の逆方向に伝送されることがなく、ハードウェアベースの一方向通信を実現。受信側からの通信は、ネットワークのエアギャップに相当する分断といえる状態となります。

送信側では、産業制御システム(ICS)などが重要情報を提供する際に使用する各種プロトコルを、送信専用マザーボード上に搭載されたプロキシ機能によって、ICS 側には代理応答を返し、且つ受益者側には⼀⽅向通信をします。受信側では、受信専用マザーボード上に搭載されたプロキシ機能によって、受益者側の業務系ネットワークに使用されるプロトコルに対し、代理応答をします。それぞれはモジュール化して搭載。両側の各ネットワーク内では双方向通信をしながら各エンドポイントが終端・保護されており、境界での一芯一方向通信を実現しています。

DualDiode では、独自開発による高品質・低遅延の ATM（非同期転送モード：Asynchronous Transfer Mode)データリンクプロトコルを使って、データのみを ATM ペイロードに乗せデータストリーミング化して情報受益者側に転送します。ハードウエア・パイプライン・アーキテクチャーを採用した ATM のチャネルに載せ替えることで、TCP/IP のような階層化プロトコル､即ち通信スタック固有の脆弱性から完全にブレイク(deep protocol break:統合分断)します。

セキュリティレベルの異なるネットワークを接続する場合、その境界を明確にした上で監督管理が容易にできる必要があります。そのためアウルの DualDiode 製品 OPDS シリーズ（Owl Perimeter Defense Solution）では、電源及び管理コンソールを別々に実装し完全に独⽴して監督管理できるようにした上で⼀つの筐体に収納しています。