ファイナルウォールは、絶対に外部からの攻撃や不正アクセス(サイバー攻撃)をされてはならない、という使命を果たすためにNHKと共同で開発した、最も堅固なネットワーク防御装置です。
　ファイナルウォールは、その名の通り『最後の防御壁』として一般の防御装置(ファイアウォール)では防ぎきれないサイバー攻撃を、根本的なレベルで(物理的に)強固にブロックしてくれます。

業務システムをサイバー攻撃から防御するもっとも効果的な方法は、インターネットに接続されている社内LANとの接続を切り離すことですが、それではデータ交換ができないので、CDなどで手渡しするしかなく非常に不便です。しかし、この両者をファイナルウォールで接続すれば、LANの接続を切り離したのと同等の安全性を保持しつつ、自由にデータ交換ができます。また業務システム側はインターネットに接続することはできませんが、社内LAN側からインターネットのデータをファイナルウォール経由で安全に受け取ることができます。

インターネット

ファイナルウォールで社内LANと接続

サイバー攻撃を
完全にブロック

絶対に攻撃されない
業務システム

社内LAN

自由にデータ交換

ファイナルウォールは、置いておくだけで社内LANとの接続を切り離した状態と同じ安全性が得られると同時にデータ交換が自由にできます。

業務システム

LAN

社内LANと業務システムをLANで接続している場合、サイバー攻撃を完全に防ぐにはLAN接続を切り離すしかありませんが、それではデータ交換ができません。

　ファイナルウォールの最大の特長は、サイバー攻撃の常套手段であるTCP/IPが全く通じないということです。下の図に例えて説明すると、A地点からB地点に渡るにはファイナルウォールというケーブルカーに乗る以外に方法がない、ということです。つまり通信経路である道路がないのでTCP/IPという車では絶対に渡れません。このことは、一般のファイアウォールでは受けるおそれのあるB地点に対するTCP/IPによる侵入、攻撃がファイナルウォールの場合は根本的に不可能であることを意味します。なおこの図からもおわかりの通り、乗り換えの中に不審者(ウイルス、ワームなど)が混じっているおそれがありますが、その場合でもB地点からは何も持ち出すことはできません(一方通行)。このようにB地点に運ばれた不審者対策(ウイルス駆除など)は別途必要としますが、まずここではTCP/IPによる攻撃がまったく無効であるということと、Bからの持ち出し(漏洩)が不可能であることが保証されます。

ファイナルウォールの場合

(ファイナルウォール)

　緊張関係にある国境の検問所を想定してください。検問所がファイアウォールです。ここを通過するにはパスポートや通行許可証が必要ですが、これらを偽造したり、さらには強行突破したりと検問所をすりぬけて侵入する手口は様々存在します。しかし「ファイナルウォール」に対しては、前項の図で理解していただいた通り、ファイアウォールと同じ手段(TCP/IP)で突破することは不可能です。

ファイアウォールの場合

偽装通過、強行突破

侵入

ゲート(検問所)

　こちらは「通知なし郵便局止め」の小包み(荷物)を想像してください。郵便局がファイナルウォールです。Aから配送(書込み)された小包み(データ)は、郵便局(ファイナルウォール)に留め置かれ、Bから引取り(読み出し)があるまで決して配達されることはありません。つまり受け取り側の意思に反して不審な荷物(ウイルス、ワームなど)が送りつけられたとしても、引取りしない限り危険はありません。こうした仕組みは、この郵便小包みの例に限定されることなくユーザ側で自由に構築できます。(※)

ファイナルウォールの場合

集積、積み替え(引渡し)

荷降し

引取り

ファイナルウォール

直接配達される
ことはありません。

(※)引取りのタイミングは互いの約束(アプリケーション)で自由に取り決めできます(定時刻, 周期的にチェックなど)。

　ファイナルウォールにおいて、データの転送方向は随時切り替えが可能ですが、指定した転送方向以外(逆方向)の転送ができない一方通行です。ですから必要に合わせて転送方向を指定して一方通行(たとえばA→B)にすることで、逆の転送(A←B)を完全に防止することができ、これを利用するとデータの漏洩を完全に防止することができます。

LAN

Readのみ

Read/Write OK

Write(漏洩)不可

LAN

　代表的な例として、業務システムと社内LANとのデータ交換において、安全のためこれまでCDなどのメディアで手渡ししていた作業が、ファイナルウォールにより、手渡しの場合と同等の安全性と、LANで接続した場合と同等の利便性が得られます。ファイナルウォールは一方通行なので、たとえば下の図の場合、業務システムのデータが社内LAN側に持ち出される(漏洩する)危険はありません。もちろん業務システムのデータを社内LANに受け渡す場合も、業務システム内にスパイがいない限り安心です。

メディアの受け渡し(手渡し)

ファイナルウォール経由でデータを
受け渡しできます。

書込み

データ

読込み

(社内LAN)

(業務システム)

　A側が読み書き(Read/Write)可能でB側は読み取りのみ可能(ReadのみWrite不可)です。

Readのみ

Read/Write OK

Write不可

　ファイナルウォールはCDなどと同じ大容量リムーバブルメディアとして認識されます。まずA側でファイナルウォールに対して「Eject」を発行して書き込みの権利を放棄します。Ejectはマイコンピュータの「取り出し」、もしくは付属のユーティリティプログラムから手動で、またはバッチプログラムなどから付属のユーティリティプログラムを呼び出すことにより発行できます(自動化できます)。

「取り出し」で
Eject発行

ユーティリティで
Eject発行

Readのみ

Write不可

A側が読み書き(Read/Write)可能状態でEjectを発行すると、書き込みの権利を放棄したことになり、A側はReadのみ可能な状態(Write不可)になります。B側はそのまま。

A側が書き込みの権利を放棄した状態(Readのみ可能な状態)でB側がEjectを発行すると、発行した側(B側)が書き込みの権利を獲得することができます。以後この繰り返しで随時転送方向を切り替えることができます。

Eject発行

Readのみ

Read/Write OK

相手(A側)がReadのみ可能な状態でB側がEjectを発行するとB側は読み書き(Read/Write)可能になります。

　絶対に攻撃されてはならない業務システムと、社内LANそれぞれのPC1台(PC-BとPC-A)をファイナルウォールにUSBで接続するだけでOKです。

(背面)

インターネット

USB2.0

PC-B

非公開ネットワーク
(業務システム)

安全かつ自由に
データ交換

PC-A

インターネットに接続されたネットワーク
(社内LAN)

☆　ファイナルウォールはNHKが認めた世界的にも類のない
究極のサイバー攻撃防御装置です。