エアギャップネットワーク
エアギャップネットワーク とは何ですか?
エアギャップネットワーク他のネットワーク (とくにインターネット) と物理的・論理的に完全に分離されたネットワーク。ICS、機密ネットワーク、鍵金庫など高機密システムを守るために用いる。
エアギャップネットワークは、より低信頼のネットワークと直接接続を持たず、データはリムーバブルメディア、データダイオード、キオスク型転送ステーションなど制御された経路でのみ境界を越えます。原子力発電所の安全系、機密軍事ネットワーク、暗号資産のコールドストレージ、選挙インフラ、一部の ICS で利用され、「物理的隔離が攻撃者にギャップ越えを強いる」ことを前提とします。しかし Stuxnet、agent.btz、音響・熱・磁気・光学などを使った学術的な秘匿チャネル研究は、感染 USB、サプライチェーンインプラント、侵害された保守ノート PC を通じてエアギャップを越えうることを示しました。実効的な運用では、エアギャップに加え、媒体管理ポリシー、署名済みファームウェア、ホスト型 IDS、デバイスや RF の異常監視を組み合わせます。
● 例
- 01
SIS ロジックを開発するためのオフラインのエンジニアリングワークステーション網と、署名 USB による移送。
- 02
ファラデーシールドルーム内に置かれ、ネットワーク接続を一切持たない暗号鍵のコールドストレージ金庫。
● よくある質問
エアギャップネットワーク とは何ですか?
他のネットワーク (とくにインターネット) と物理的・論理的に完全に分離されたネットワーク。ICS、機密ネットワーク、鍵金庫など高機密システムを守るために用いる。 サイバーセキュリティの OT / ICS / IoT カテゴリに属します。
エアギャップネットワーク とはどういう意味ですか?
他のネットワーク (とくにインターネット) と物理的・論理的に完全に分離されたネットワーク。ICS、機密ネットワーク、鍵金庫など高機密システムを守るために用いる。
エアギャップネットワーク はどのように機能しますか?
エアギャップネットワークは、より低信頼のネットワークと直接接続を持たず、データはリムーバブルメディア、データダイオード、キオスク型転送ステーションなど制御された経路でのみ境界を越えます。原子力発電所の安全系、機密軍事ネットワーク、暗号資産のコールドストレージ、選挙インフラ、一部の ICS で利用され、「物理的隔離が攻撃者にギャップ越えを強いる」ことを前提とします。しかし Stuxnet、agent.btz、音響・熱・磁気・光学などを使った学術的な秘匿チャネル研究は、感染 USB、サプライチェーンインプラント、侵害された保守ノート PC を通じてエアギャップを越えうることを示しました。実効的な運用では、エアギャップに加え、媒体管理ポリシー、署名済みファームウェア、ホスト型 IDS、デバイスや RF の異常監視を組み合わせます。
エアギャップネットワーク からどのように防御しますか?
エアギャップネットワーク に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
エアギャップネットワーク の別名は何ですか?
一般的な別名: エアギャップ, 隔離ネットワーク, スタンドアロンネットワーク。
● 関連用語
- ot-iot№ 762
制御技術 (OT)
工場、発電所、ユーティリティなどの物理プロセス・機器・インフラを監視・制御するハードウェアとソフトウェアの総称。
- ot-iot№ 529
産業用制御システム (ICS)
産業プロセスを自動化・監視するシステムの総称で、SCADA、DCS、PLC、RTU、安全制御システムなどを含む。
- network-security№ 723
ネットワークセグメンテーション
ネットワークを複数のゾーンに分割し、ゾーン間の通信を制御することで侵害を封じ込め、最小権限を強制する設計手法。
- ot-iot№ 1111
Stuxnet
2010 年に明らかになった高度なワーム。Siemens 製 PLC を再プログラムしてイランのウラン濃縮遠心分離機を破壊し、米国とイスラエルの関与が広く指摘されている。
- ot-iot№ 881
Purdue エンタープライズリファレンスアーキテクチャ
業務 IT とプロセス制御を分離する産業ネットワークの階層型参照モデルで、ICS のネットワークセグメンテーション設計に広く利用される。
- ot-iot№ 957
安全計装システム (SIS)
監視変数が定められた限界を超えたときにプロセスを安全状態へ導く独立した制御システム。人・環境・設備を保護する。