NTTコミュニケーションズ

Bizコンパス

サイトメンテナンスのお知らせ(2020年9月23日(水)予定)
新たなセキュリティ対策「インターネット分離」とは
2017.06.30

政府も推奨する、注目のセキュリティ対策を解説

新たなセキュリティ対策「インターネット分離」とは

著者 Bizコンパス編集部

 業務利用のシステムをインターネットから切り離すことで、マルウェア感染のリスクを防ぐ「インターネット分離」の考え方が広まりつつあります。その具体的な仕組みや効果をチェックしていきましょう。さらに、セキュリティ対策を強化する仕組み「メール無害化」「ファイル無害化」についても解説していきます。

サイバー攻撃対策として政府も推奨する「インターネット分離」とは

 インターネットを介したサイバー攻撃やそれに伴う情報漏えいにより、多くの企業が信用の失墜や莫大な賠償金の支払いなどといったダメージを受けています。代表的な事例としては、2015年に発生した公的機関における125万件の情報漏えいや、サイバー攻撃によって大手旅行代理店から793万件の個人情報が流出した事件が挙げられるでしょう。いずれも関係者を装ったメールにマルウェアを添付する、標的型攻撃の手口で機密情報を盗み出しており、あらためてセキュリティ対策の重要性がクローズアップされることになりました。

 その一方で、既存のセキュリティ対策ではサイバー攻撃を十分に防ぎきれないことも明らかになりつつあります。たとえばサイバー攻撃の大半は攻撃対象者をマルウェアに感染させることから始まりますが、現状のウイルス対策ソフトでは未知のマルウェアの多くを検知できないため、攻撃に適切に対処することができません。そのため、従来とは異なる視点のセキュリティ対策が求められているのです。

 実際、ある調査ではウイルス対策ソフトの主要ベンダー4社の製品を利用し、最新のパターンファイルを使ってインターネットから送られてくるマルウェアを検査したところ、ウイルス対策ソフトで検知することができない未知のマルウェアが90%超に達していました。

ウイルス対策の検知率について

 このような背景から、政府や独立行政法人情報処理推進機構(IPA)では「インターネット分離」の考え方を公的システムに採り入れようとしているほか、民間企業にも推奨しています。たとえば2015年7月に政府が公表した「サイバーセキュリティ戦略」の見直し案では、重要情報を扱う政府機関のシステムをインターネットから分離する対応策を盛り込む方針を示しました。

 総務省は前述した公的機関の個人情報流出事件を踏まえた緊急対策として、2015年8月に各自治体の住民基本台帳システムとインターネット用端末を完全に分けるように求めています。さらに経済産業省がIPAとともに策定した「サイバーセキュリティ経営ガイドライン」では、セキュリティ対策の例として民間企業に対してもインターネット分離を推奨しています。これを受け、特に公的機関や金融機関では、インターネット分離の考え方を採り入れたセキュリティ対策への取り組みが進みつつあります。

 「インターネット分離」とは、業務利用のシステムをインターネットから物理的に切り離すことです。金融や公共の分野に多い例であり、今までは業務用端末とインターネット接続の端末をそれぞれ別に用意することが主流でした。その際、課題となってくるのが端末の整備です。インターネット用と業務用で2台の端末を用意するのは、コスト面でも運用面でも厳しいというのが現実ではないでしょうか。

 また、インターネット端末を複数のユーザーで共有する形にすればコスト負担は抑えられますが、ほかのユーザーが端末を利用していて使えないといった状況が生まれることが想定され、業務に支障が生じることが懸念されます。場合によっては、従業員が共有のインターネット端末ではなく、個人所有のスマートフォンなどを使ってインターネットにアクセスするようになれば、今度はガバナンスの問題にも発展しかねません。

 この課題を解決する手段として、注目されているのが「ブラウザ分離」です。

ブラウザ(Web)分離ソリューションとは

SHARE

関連記事

事業継続のためのセキュリティ対策を考える

2017.06.02

エバンジェリストに聞く!セキュリティ最新トレンド

事業継続のためのセキュリティ対策を考える

今すぐ見直したい!IoTセキュリティのあるべき姿

2017.05.19

狙われるインフラ、工場、プラント…

今すぐ見直したい!IoTセキュリティのあるべき姿

毎日のサイバー攻撃は当たり前!?セキュリティの現場

2017.05.12

担当者が語る◯◯の現場第1回

毎日のサイバー攻撃は当たり前!?セキュリティの現場

セキュリティ対策「まず何をすべきか」の最適解!

2016.11.09

サイバー攻撃から企業を守るために今何をすべきか前編

セキュリティ対策「まず何をすべきか」の最適解!

在宅勤務に潜む「情報漏えい」の恐怖をどう防ぐ?

2020.05.15

テレワーク導入の“壁”を解決第5回

在宅勤務に潜む「情報漏えい」の恐怖をどう防ぐ?

AWS導入を成功させるには、3つのフェーズの攻略がカギ

2020.04.03

DXを加速させるITシステムの運用改革第20回

AWS導入を成功させるには、3つのフェーズの攻略がカギ

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

2020.03.19

セキュリティ対策に求められる新たな視点第15回

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る