データダイオード【data diode】
装置の内部では、光ファイバーの送信側に発光素子、受信側に受光素子だけを配置するなど、ハードウェアの構造そのものによって逆方向の通信経路を存在させない設計が採られている。ソフトウェアの設定で通信を制限するのではなく、物理的に信号の戻る道がない状態を作り出す。そのため、設定ミスや脆弱性を突いた攻撃によって防御が崩れる余地がない。
主な用途は、高いセキュリティが求められる制御システムの保護である。発電所、浄水場、鉄道といった重要インフラでは、稼働状況の監視データを外部の管理ネットワークへ送る必要がある一方、外部から制御システムへ指令やマルウェアを送り込まれる事態は絶対に避けなければならない。データダイオードを設置すると、内部から外部へのデータ送信は可能なまま、外部から内部への通信を物理的に遮断できる。防衛関連施設や機密情報を扱う機関・組織でも、同様の目的で導入される。
一方向通信には運用上の制約が伴う。標準的なTCP/IP通信は、データが正しく届いたかを確認する応答を受信側が返す仕組みになっているが、データダイオードはその応答すら通さない。このため、専用のプロトコルや中継装置を用いてデータを送りっぱなしにする形式での運用が必要になる。また、双方向のファイル共有や遠隔操作には対応できず、導入コストも一般的なネットワーク機器より高くなりやすい。
共有ボタンをタップ