政府も推奨する、注目のセキュリティ対策を解説

新たなセキュリティ対策「インターネット分離」とは

2017.06.30 Fri連載バックナンバー

 業務利用のシステムをインターネットから切り離すことで、マルウェア感染のリスクを防ぐ「インターネット分離」の考え方が広まりつつあります。その具体的な仕組みや効果をチェックしていきましょう。さらに、セキュリティ対策を強化する仕組み「メール無害化」「ファイル無害化」についても解説していきます。

 

気になる見出しをクリック

サイバー攻撃対策として政府も推奨する「インターネット分離」とは

 インターネットを介したサイバー攻撃やそれに伴う情報漏えいにより、多くの企業が信用の失墜や莫大な賠償金の支払いなどといったダメージを受けています。代表的な事例としては、2015年に発生した公的機関における125万件の情報漏えいや、サイバー攻撃によって大手旅行代理店から793万件の個人情報が流出した事件が挙げられるでしょう。いずれも関係者を装ったメールにマルウェアを添付する、標的型攻撃の手口で機密情報を盗み出しており、あらためてセキュリティ対策の重要性がクローズアップされることになりました。

 その一方で、既存のセキュリティ対策ではサイバー攻撃を十分に防ぎきれないことも明らかになりつつあります。たとえばサイバー攻撃の大半は攻撃対象者をマルウェアに感染させることから始まりますが、現状のウイルス対策ソフトでは未知のマルウェアの多くを検知できないため、攻撃に適切に対処することができません。そのため、従来とは異なる視点のセキュリティ対策が求められているのです。

 実際、ある調査ではウイルス対策ソフトの主要ベンダー4社の製品を利用し、最新のパターンファイルを使ってインターネットから送られてくるマルウェアを検査したところ、ウイルス対策ソフトで検知することができない未知のマルウェアが90%超に達していました。

ウイルス対策の検知率について

 このような背景から、政府や独立行政法人情報処理推進機構(IPA)では「インターネット分離」の考え方を公的システムに採り入れようとしているほか、民間企業にも推奨しています。たとえば2015年7月に政府が公表した「サイバーセキュリティ戦略」の見直し案では、重要情報を扱う政府機関のシステムをインターネットから分離する対応策を盛り込む方針を示しました。

 総務省は前述した公的機関の個人情報流出事件を踏まえた緊急対策として、2015年8月に各自治体の住民基本台帳システムとインターネット用端末を完全に分けるように求めています。さらに経済産業省がIPAとともに策定した「サイバーセキュリティ経営ガイドライン」では、セキュリティ対策の例として民間企業に対してもインターネット分離を推奨しています。これを受け、特に公的機関や金融機関では、インターネット分離の考え方を採り入れたセキュリティ対策への取り組みが進みつつあります。

 「インターネット分離」とは、業務利用のシステムをインターネットから物理的に切り離すことです。金融や公共の分野に多い例であり、今までは業務用端末とインターネット接続の端末をそれぞれ別に用意することが主流でした。その際、課題となってくるのが端末の整備です。インターネット用と業務用で2台の端末を用意するのは、コスト面でも運用面でも厳しいというのが現実ではないでしょうか。

 また、インターネット端末を複数のユーザーで共有する形にすればコスト負担は抑えられますが、ほかのユーザーが端末を利用していて使えないといった状況が生まれることが想定され、業務に支障が生じることが懸念されます。場合によっては、従業員が共有のインターネット端末ではなく、個人所有のスマートフォンなどを使ってインターネットにアクセスするようになれば、今度はガバナンスの問題にも発展しかねません。

 この課題を解決する手段として、注目されているのが「ブラウザ分離」です。

ブラウザ(Web)分離ソリューションとは

「インターネット分離」を端末1台で実現する「ブラウザ分離」とは

 ブラウザ分離とは、1台の端末でインターネット閲覧用ブラウザと、信頼できるクラウドサービスおよび社内サーバーへのアクセス用ブラウザを分けて運用することです。

 前段の金融・公共分野に多い例とは異なり製造や流通業に多い例である、1台の端末において1つのWebブラウザでインターネットも業務システムも利用するシングルブラウザ端末の環境下では、ブラウザアプリケーションがマルウェアやウイルスに感染したまま同じブラウザを使って社内サーバーにアクセスすると、たちまち社内サーバーに影響を及ぼす恐れがありました。この問題を回避する手段が、1台の端末でインターネット用と業務システム用で異なるWebブラウザを利用するダブルブラウザ環境です。

ブラウザ分離のイメージ

 ダブルブラウザを実現するためには一般的に、「アプリケーション仮想化」などと呼ばれる技術が用いられます。アプリケーション仮想化とは、仮想アプリケーションサーバーで実行されているアプリケーションを遠隔操作で利用する技術になります。これを利用してクラウド上でインターネットアクセス専用のWebブラウザを実行し、仮想アプリケーションサーバーが代理でインターネットとやりとりをします。一方、社内サーバーを利用する際は、社内サーバー専用のブラウザで社内サーバーにアクセスします。これにより、悪性のWebサイトにアクセスしてしまいマルウェアに感染しても、感染先はクラウド上の仮想アプリケーションサーバーであるため、端末が被害を受けることを避けられるのです。

アプリケーション仮想化

 このブラウザ分離を使えば、従業員は自分の端末でインターネットにアクセスできる利便性を維持しつつ、インターネット分離によってマルウェア感染による情報漏えいのリスクを低減することが可能です。

ご覧いただくにはログインが必要です。

新規会員登録(無料)はこちら

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

ブラウザ分離を検討するうえでの注意点

 ブラウザ分離の導入を検討する際、重要なポイントとなるのはアプリ仮想化サーバーの同時接続数です。1台の仮想アプリケーションサーバーを同時に利用するユーザーの最大数は、そのサーバーのリソースに左右されます。できるだけ多くのユーザーが同時に利用できるようにしたい場合、潤沢なリソースを持った高性能なサーバーを利用することになりますが、その分コスト負担が高まります。逆にサーバーのリソースが十分でなければ、同時に利用できるユーザー数が限られることになり、利便性が低下してしまいます。コスト最適化を考えた場合、サーバーのリソースを柔軟に変更できることがベストですが、物理サーバーでそれを実現することは困難でしょう。

 これらの課題を解決できるのがクラウドの活用です。クラウドサービスであればリソースの調整を柔軟に行えるため、インターネットの接続数が設計当初より変化したとしても即座に対応でき、コスト最適化も図れるでしょう。

 次に、接続するためのネットワークについても意識しておくべきです。ブラウザ分離は通常のWebアクセスに比べて、画面転送通信となるため、ネットワークトラフィックを多く使用します。仮想アプリケーションサーバーがクラウドに構築されている場合、ユーザーがストレスなくWebアクセスができるよう、仮想アプリケーションサーバーと端末の間のネットワーク通信環境を良好に保つ必要があります。その手段の1つとしては、ネットワーク直結型のクラウドを選択することで、低遅延で安定した通信環境を実現することが可能です。

 続けて、さらに安全性を高めるためのソリューションを見ていきましょう。

ご覧いただくにはログインが必要です。

新規会員登録(無料)はこちら

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

ファイル・メール無害化を組み合わせて安全性を向上

 クラウド上の仮想アプリケーションサーバーで閲覧、または編集したファイルを自身の端末にダウンロードすることも可能ですが、そのファイルがマルウェアに感染している恐れがあるため、そのファイルをサニタイズ(消毒)してから端末にダウンロードさせる仕組みを組み合わせるとさらに安全性が向上します。またメール添付でマルウェアが送られてくることも想定できるでしょう。そこで組み合わせて利用したいのが、ファイル無害化やメール無害化と呼ばれるソリューションです。

 これはメールや添付されたファイル、あるいはインターネット経由でダウンロードしたファイルに対し、無害化処理を行ってマルウェア感染を防止する仕組みです。具体的には、メールに添付されたファイルをいったん取り外して画像に変換したり、あるいはHTMLメールのHTMLコンテンツを除去したり、メール本文上のURLではハイパーリンクをただの文字として変換することで無害化を行います。またファイル無害化サーバーを利用して、ファイルからexeファイルに含まれるプログラムやマクロなどを取り除き、編集できる状態でファイルを社内に取り込むといったことも実現できます。

ブラウザ分離、メール・ファイル無害化全体の流れ

 昨今では、仮想ブラウザとメール・ファイル無害化を組み合わせ、セキュリティ徹底対策として提供されているケースもあり、導入時の負担を抑えてインターネット分離を実現できる環境が整いつつあります。ウイルス対策ソフトやファイアウォールサンドボックスなどは導入しているが、手口が年々多様化するサイバー攻撃に対するさらなるリスク低減に踏み込みたいと考えているのであれば、インターネット分離は検討すべきソリューションと言えるでしょう。

※掲載されている内容は公開日時点のものです。
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります。

このテーマについてもっと詳しく知りたい

関連キーワード

Bizコンパス編集部

Bizコンパス編集部

このページの先頭へ
Bizコンパス公式Facebook Bizコンパス公式Twitter