ファイアウォール vs. データダイオード

百聞は一見に如かず

データダイオードについて語るとき、頻繁に受ける質問が「それでは、ファイアウォールとデータダイオードの違いは何か」ということです。

当社は、この二つは補完的であると見ています。データダイオードは、特に脆弱なネットワークセグメントに追加のセキュリティ施策を提供するからです。しかし、さらに詳細に目を向けると、ファイアウォールとデータダイオードの概念は全く異なることがわかります。

ファイアウォールは二つのネットワークやシステムを分離しますが、両者の間で限定した双方向のデータ流通を許可します。事前に設定したルーティングルールに基づいて、貴社ITとOTの間でデータを流通できるか否かを判別します。すべてのファイアウォールはこの機能をソフトウェアにより実現しています。専用ハードウェア上で動作するものはあっても、ソフトウェアドリブンであることに変わりはなく、ソフトウェアとハードウェアが分離されているだけです。ファイアウォールは、データの双方向流通を可能にするため、オープンネットワークからの潜在的な干渉が重要な運用ネットワークに侵入することも可能となります。その中では何が起こっているか、知る由もありません。設定がおろそかであったり内在的な脆弱性があったりすると、ファイアウォールはリスク要因にもなりかねません。

ファイアウォールとは対照的に、データダイオードは二つのネットワークの分離に物理層での分離という異なるアプローチを用います。データは、セキュリティ保護されたサイトからオープンネットワークへの片方向にしか流れず、逆方向のデータ転送はありません。そもそもこのルートへのドアがないからです。OTとITにあるプロキシサーバーは互いに独立して動作し、OTのデータをIT側に送信します。明らかに、この仕組みによりシステムの柔軟性は低下しますが、セキュリティレベルは高まります。ITのプロキシサーバーが侵害された最悪の場合においても、OT側の重要な設備資産やシステムは保護されます。データダイオードは、エアギャップのアプローチに非常に似ていますが、リアルタイムのデータ伝送を可能にします。

ファイアウォールとデータダイオードの比較詳細については、下記をご確認ください。