エアギャップ

エアギャップ（英語: air gap）^[1]とは、コンピュータネットワークにおいてセキュリティを高める方法の一つであり、安全にしたいコンピュータやネットワークを、インターネットや安全でないLAN^[2]といったネットワークから物理的に隔離することを指す。エアギャップという語は、コンピュータやネットワークが、他のネットワークから切り離されていることを意味している。

エアギャップという用語は、もともとは水道の水質を保つための手法を指す用語であったが、それとのアナロジー（類比）で、つまり概念的あるいは物理的に水道のエアギャップに似ていることからコンピュータセキュリティ分野でも使われるようになった。

セキュリティクラスの設定された環境での利用

エアギャップで守られているコンピュータやネットワークには、有線にしろ無線にしろ、外部のネットワークに接続されたネットワークインタフェースは存在しない。

コンピュータの中には、有線ネットワークに接続していなくても実際には無線ネットワークインタフェース（Wi-Fi）を通じてインターネットに常時接続しソフトウェアをアップデートしているものも多いが、このような状態はセキュリティ上の脆弱性をかかえており、もしそのコンピュータにセキュリティ確保のためにエアギャップを設ける場合は、ワイヤレスインタフェースコントローラの機能を恒久的に停止させるか、あるいはそのコントローラを物理的に除去する必要がある。

2つのネットワークやデバイスが、異なるセキュリティクラスの情報を扱っている場合、セキュリティクラスのより低い情報を扱っている方は"low side"、セキュリティクラスのより高い情報（機密性の高い情報）を扱っている方は"high side"と呼ばれる（セキュリティクラスの付与された情報を"red"、付与されていない情報を"black"と呼ぶこともある）。エアギャップで守られているシステムと、外の世界との間でデータを移動するには、データを物理的なメディアに書き込んで、物理的に移動する必要がある。アクセスポリシーは、しばしばベル・ラパドゥラモデルに基いたものが採用され、この場合はセキュリティクラスの低いほうから高いほうへは最小限の手続きだけでデータを移動できる一方で、高いほうから低いほうへデータを移動する際はセキュリティクラスの高い情報を守るためにより厳格な手続きが必要となる。だが、いくつかのケース（たとえば産業用の重要なシステム）では、ポリシーが異なることがあり、データはhigh sideからlow sideへ最小限のセキュリティ対策で移動できるが、low sideからhigh sideへの移動には高いレベルの手続きが必要、とすることがあり、これは産業安全システムの整合性を確保する目的の場合に採用される。

エアギャップという考えかたは、ひとつのネットワークを他のネットワークから守る方法としては、ほぼ最大の防御法といえる（あとは装置の電源を切るという方法もある）。エアギャップで守られているシステムにおいて、外の世界とデータを転送する唯一の方法は、データをリムーバブルディスクやUSBフラッシュドライブなどのリムーバブルメディアに書き込んで、物理的に移動させる方法である。この種のアクセスはより容易にコントロールできる。この方法のメリットは、一般的にそのようなネットワークを、外の世界からアクセスできない（情報セキュリティ、信号セキュリティ、放射セキュリティの分野における）クローズドシステムとみなすことができる点にある。一方で、この方法のデメリットは、セキュアなネットワークで処理される情報を外の世界から転送する作業が非常に労働集約的である点にある。外部の情報をセキュアなネットワーク上のコンピュータで解析しようとする場合、その情報を転送する作業に非常に手間がかかることであり、しばしば空間的に隔離されたネットワークに入力する予定のプログラムやデータについて、人間によるセキュリティ分析を行うことになり、場合によってはセキュリティ分析を経たうえでデータを手作業で再入力する必要がある^[3]。

注意点

なお、最高レベルの防御方法と言えるエアギャップだが、それを使ったからと言って手放しに完璧（無敵）のセキュリティというわけではなく、Stuxnet^[4]やAgent.BTZ（英語版）のようなマルウェアは、リムーバブルメディアの処理に関連したセキュリティホールを突いてエアギャップを越えることが知られている。

エアギャップを突破して情報を盗もうとする各種手法に関しては、#考慮すべき点で解説。

事例

エアギャップで守られているシステムとしては以下のような実例が挙げられる。 なお、下で挙げるシステムすべてでエアギャップが採用され護られているという意味ではなく、下で挙げるシステムの"一部でエアギャップが採用されているものがある"、という意味である。

• 軍事用・政府用のコンピュータネットワーク・コンピュータシステム^[5]
• 証券取引所などの金融向けコンピュータシステム^[6]

• 産業向け制御システム。油田やガス田で使われるSCADAなど^[7]

• 以下に示すようなライフクリティカルなシステム
  • 原子力発電所の制御システム
  • FADECや アビオニクスなどの航空用コンピュータ^[8]
  • コンピュータ制御の医療機器

• 以下に示すような、非常に単純で、そもそもセキュリティに関して考慮する必要がないシステム
  • エンジンコントロールユニットなど、自動車のCANバスに接続されているデバイス
  • 家庭用空調機や冷蔵庫で温度やコンプレッサーを制御するデジタルサーモスタット
  • 芝生の水やり用の電子制御式スプリンクラー

だが、インターネットに接続できるサーモスタットや、Bluetooth・Wi-Fi・携帯電話網への接続が可能な自動車など、近年ではこのようなシステムの多くにはパブリックなインターネットに接続する機能（IoT機能など）が付け加えられることが増えてきており、ユーザが気づかないうちにエアギャップは失われてしまっていることが増えてきている。

考慮すべき点

情報を盗み取るために特殊な手法を使う相手に対してセキュリティ上の防御を完璧にするには、エアギャップだけでは足りない場合がある。エアギャップで護られたシステムから情報を盗み出す手法を研究している研究者、情報機関の職員、ハッカーなどがいるのである。

一般的に言って、マルウェアはさまざまなハードウェアを組み合わせて"air-gap covert channels"を構成し、機密情報をエアギャップで守られたコンピュータから抜き出すことができる。^[9] このようなケースでは、エアギャップを乗り越えるために、音、光、振動、磁気、温度、無線周波数などさまざまな媒体が利用される。^[10][11]

電磁波の漏れを傍受して情報を盗もうとするハッカーに対する防御を高めることもまで考えるならば、ファラデーケージを使って電磁波漏れを抑えることで情報を護る必要があるかも知れない。TEMPESTも参照。

さらに、2013年には研究者によってエアギャップによる隔離を音を使った通信によって突破するエアギャップ・マルウェア（英語版）の実現可能性が実証されている。^[12]

また同年、する後には、ネットワークセキュリティ研究者のDragos RuiuによるBadBIOS（英語版）が注目を集めた。^[13]

2014年には、研究者によってAirHopperが提案された。これは、隔離されたコンピュータから近傍にある携帯電話へFM変調した信号を送ってデータを盗み出す方法の実現可能性を示した。^[14][15]

2015年には、温度を制御することでエアギャップに守られたコンピュータ間で通信を行う内密チャネルBitWhisperが提案された。BitWhisperは双方向通信をサポートしており、専用のハードウェアを追加する必要もない。^[16][17]

2015年後半には、研究者によってGSMemが提案された。これは、携帯電話の周波数帯を使って、エアギャップで守られたコンピュータからデータを盗み出す手法である。データの送信には、一般的な内部バスで電波を生成することで、コンピュータを携帯電話の送信アンテナとして使う。^[18][19]

2016年に発見されたマルウェア「ProjectSauron」は、感染したUSBデバイスを用いてエアギャップに守られたコンピュータからデータを漏洩させる方法を示した。このマルウェアは5年のあいだ検出されずにいた。Windowsからは見えない隠しパーティーションを、エアギャップで守られたコンピュータとインターネットに接続されたコンピュータとのあいだの通信チャネルとして使っており、この隠しパーティーションは、互いのシステムのあいだでファイルを共有するのに使用されていたと見られる。^[20]

その他

エアギャップで護られているシステムであろうが、出入りの際に警備員が所持品検査やレントゲンによるボディチェックまでして "鉄壁のセキュリティで護られている"と信じられている施設であろうが、もし組織側が違法な行為や憲法違反の行為をやらかして、組織内部のシステム担当者（システムエンジニア。特に高いセキュリティ権限を持つエンジニア）の憎悪の対象となり、そのシステム担当者が本気で情報を盗もうと思うようになると、情報はいとも簡単にシステムから盗まれる。エドワード・スノーデンはある日、アメリカ国家安全保障局（NSA）がアメリカ合衆国憲法に背いて、監視システム「PRISM」を使い、アメリカ国民や全世界の人々を監視下に置いていることに気づき強い反感（憎悪）をいだき、その憲法違反状態をマスコミに暴露しようと計画し、システム内の情報をmicroSDメモリにコピーしそれをルービックキューブの中心に潜ませて、警備担当者にあえてキャッチボールのように手渡して、ボディチェックのゲートの脇をすりぬけさせてmicroSDにコピーした機密情報を持ち出した。一般に、組織内部のシステム担当者が何らかの事情で本気で腹を立てて本気で情報を盗む気になったら、エアギャップを設けていようがボディチェックをしようが、情報の盗み取り（情報漏洩）を阻止することはほぼ不可能である。