ファイアウォール・アーキテクチャの要約

本調査中記録されたPCN/SCADAとENを隔離する8つのアーキテクチャは、3つの一 般的な種類に分けることができる。

1. デュアルホーミングのワークステーション、ブリッジ、ルータなどの非ファイ アウォール機器を使用する分離（アーキテクチャ1～3）

2. DMZのない2ゾーン・ファイアウォールを基にした設計（アーキテクチャ4、

5）

3. DMZを有する3ゾーン・ファイアウォールを基にした設計（アーキテクチャ6

～8）

表1に、8つの隔離アーキテクチャのそれぞれに対し、セキュリティ、管理容易性、ス ケーラビリティに関する調査チームの評価を示す。図10は、同じ情報をグラフで示し ている。これらの評価はおおよそのものであり、報告書の時点で広く利用できる技術だ けが使用され、典型的な設定で利用されるという想定に基づいていることに注意するこ とは大事である。例外的な環境、技術または配備では、これらの評価を状況に合わせて 変える必要がある。

表1：PCN/SCADA隔離アーキテクチャに対するセキュリティ、管理容易性、スケーラ

ビリティの概略評価

アーキテクチャ セキュリ

ティ

管理容易 性

スケーラ ビリティ

1 デュアルホーミングのコンピュータ 1 2 1

2 パーソナル・ファイアウォールを有するデュアル ホーミングのサーバ

2 1 1

2005年2月15日 Page 25

3 パケットフィルタリング・ルータ/L3スイッチ 2 2 4

4 2ポート・ファイアウォール 3 5 4

5 ルータとファイアウォールの組み合わせ 3.5 3 4

6 DMZを有するファイアウォール 4 4.5 4

7 1対のファイアウォール 5 3 3.5

8 ファイアウォールのVLANベースの組み合わせ 4.5 3 5

0 1 2 3 4 5

デュアルホーミングのコンピュータ 1 パーソナル・ファイアウォールを有するデュア

ルホーミングのサーバ 2

パケットフィルタリング・ルータ/L3スイッチ 3 2ポート・ファイアウォール 4 ルータとファイアウォールの組み合わせ 5 DMZを有するファイアウォール 6 1対のファイアウォール 7 ファイアウォールとVLANベースの組み合わ

せ 8

評価（1＝最低、5＝最高）

スケーラビリティ 管理容易性 セキュリティ

図 10：PCN/SCADA隔離アーキテクチャ比較図

要約すると、調査チームの見解は、次のとおりである。ファイアウォールを使用しない 対策は一般に、PCN/SCADAネットワークと企業ネットワークの間に適切に隔離できな い。2ゾーン対策は辛うじて受入れることができるが、細心の注意を払って配備すべき である。最も安全で管理が容易でスケーラビリティがあるPCN/SCADA隔離アーキテ クチャは、セクション4.6、4.7、4.8で記述されたアーキテクチャのような3ゾーン・

システムである。

2005年2月15日 Page 26

ここは空白ページである。

2005年2月15日 Page 27