図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

データダイオードとは?

投稿日:

データダイオードとは

データダイオード(Data Diode)とはネットワーク上でデータを一方向(片方向)のみの通信を実現させるためのアプライアンスの事を言います。一般的にFirewallはOSI参照モデルにおけるネットワーク層(レイヤ3)とトランスポート層(レイヤ4)でネットワークトラフィックを制御しますので、Firewallに脆弱性が存在する場合や、Firewallのルールに不備がある場合などは不正な通信や悪意のある通信を防ぐ事ができません。一方でデータダイオードの場合は物理層(レイヤ1)で制御しますので、より確実にネットワークの通信の方向を制御する事ができます。

データダイオードの用途

データダイオードは、オフィスなどのITネットワークと工場などの制御システムのOTネットワーク間の一方向通信を実現するために良く利用されます。工場やプラントなどのOTネットワーク上には工場の機械を制御するためのPLC(Programmable Logic Controller)などが存在していますので、攻撃者がそれらに攻撃を行った場合は工場やプラント内の機械が誤作動を起こして、人的な被害を被る場合があります。StuxnetはOTネットワーク内のPLCを狙った攻撃(マルウェア)の一例です。Stuxnetの場合はイランの核燃料施設の遠心分離機を制御するPLCに対して不正な攻撃コマンドを実行して遠心分離機に誤作動を起こさせるマルウェアでした。ですので、OTネットワークは非常に重要なシステムが多数存在しますので、よりセキュアな環境にする必要があります。その1つとしてデータダイオードによる通信の制御を行っているケースが多数あります。米国では原子力発電プラントなどの重要インフラでは一方向通信を求めているガイドランや規制があります。

データダイオードとは?

一般的にサイバー攻撃はインターネット経由で行われますので、インターネットからITネットワークに攻撃が行われて、攻撃者がITネットワークに侵入できた場合にOTネットワークに攻撃を行います。ですので、データダイオードでITネットワークからOTネットワーク方向への通信を不可能にして、OTネットワークからITネットワーク方向のみの通信を実現させることで、OTネットワーク内部を守る事ができます。

OTネットワークからITネットワークに対しては、多くの場合にOTネットワーク内のシステムのログやアラートをITネットワーク側に配置しているSIEM等に送信するために必要とされます。

広告

広告

-図解サイバーセキュリティ用語

関連記事

SYN Flood:TCP接続の3ウェイハンドシェークのSYNパケットを偽装

SYN FloodはDoS攻撃の1つです。この攻撃はTCP接続の3ウェイハンドシェークの最初のSYNパケットを偽装することで始まります。どのように偽装するかというと、SYNパケットの送信元IPを攻撃者 …

Stuxnet(スタックスネット)とは 制御システムを狙った初のマルウェア 図解サイバーセキュリティ用語

Stuxnet(スタックスネット)とは制御システムを狙った初のマルウェアと言われています。20010年9月ごろにイランのナタンスにある核燃料施設のウラン濃縮用遠心分離機に誤作動を起こさせ、約8400台 …

脆弱性診断とペンテストの違い 図解サイバーセキュリティ用語

脆弱性スキャンとペンテストを同じと思っている方も多いと思いますが、脆弱性を発見する所までは同じでもその後のプロセスが違ってきます。脆弱性スキャンは脆弱性診断とも言われますが、脆弱性を発見する事を重点に …

fiewall

Firewall(ファイアウォール)とは、パケットフィルタリングとアプリケーションゲートウェイ

Firewall(ファイアウォール)は日本語だと防火壁の事で、火の侵入を防いで火事が拡大することを防ぐ壁の事を言います。コンピュータの世界ではFirewall(ファイアウォール)は外部の不正な通信や攻 …

ヒューリスティック検知 図解サイバーセキュリティ用語

ヒューリスティック検知は、プログラムの実行ファイルの挙動を分析して通常ありえない動作、例えばOSの動作に関連するレジストリ・ライブラリなどへの書き込みや特権IDのパスワード変更など、を検知して異常とみ …