総務省セキュリティー対策で注目のインターネット分離(Web分離)について詳しく解説します。
コンピューターウィルスは「メール開封で感染」「インターネット閲覧だけで感染」といった悪質で巧妙なものが年々増えており、「感染に気が付かないまま業務を行っていた」といった事例も少なくありません。感染した事に気が付かない場合、その様々な攻撃は企業にとって大きなリスクになります。そういったマルウェア対策として、インターネット通信へのセキュリティー対応はどんな業態でも今後、必須といえるでしょう。現状の対策だと、ウィルスソフトやフィルタリングなどをベースとしたソリューションを組み合わせた対策が一般的です。しかし、攻撃と防御のイタチごっこで、中小企業などでは対策が追い付かないの実情です。
(経済産業省が2016年12月に発表した「サイバーセキュリティー経営ガイドライン」にも推奨されています。)
インターネット分離(web分離)の一般的な仕組みなどを以下でご紹介します。
Table of Contents
インターネット分離(Web分離)とは
インターネットからの攻撃や不正アクセス対策として、社内ネットワークとインターネット閲覧を分離することを「インターネット分離またはWeb分離といいます。 社内ネットワークとインターネットへの閲覧を行っている環境を分離することで、マルウェアの侵入や、サイバー攻撃のリスクを抑えます。
インターネット分離(Web分離)の仕組み
調べ事などでインターネット環境に接続し、同じ端末で社内のネットワークを使い機密情報を閲覧する。特にマルウエア対策をしないままこのような使い方をすると、インターネットから社内ネットワークにウィルスが侵入してしまいます。
インターネット分離は、業務用の端末と、インターネット閲覧を分け、ウィルス侵入を防ぐ方法のことを言います。同じネットワーク間のアクセス制御(分離)を行う考えは、特に新しい考えではなく20年ほど前から存在していました。しかし、インターネット分離(Web分離)は低コストで、導入の手間がかからず管理も最小限で済む。と言った理由から近年また注目されている手法の一つとなっています。
インターネット分離(Web分離)の手法
大まかにわけてインターネット分離(Web分離)には以下の方法があります。
物理分離
業務用端末とインターネット閲覧用端末を2台用意し物理的に使い分けます。
メリット:
業務用の端末とエンターネット閲覧用端末を分けています。インターネットから重要なシステムにアクセスすることができず、物理的に分かれているのでインターネット経由からの攻撃やデーター漏洩がありません。
デメリット:
インターネット、または社内ネットワークサーバーにアクセスするために、移動する必要があります。台数が少ないと端末を使用するために、渋滞がおきてしまい、業務が滞ってしまいます。渋滞を避けるため一人2台づつ端末を持ち使用する方法も可能ですが、相当なコストが必要となります。さらに、USBメモリなどからのコピーや漏洩といった感染リスクは避けられません。
論理分離(仮想的なネットワーク分離)
業務用端末とインターネット閲覧用端末を2台用意し物理的に使い分けます。
メリット:
業務用の端末とエンターネット閲覧用端末を分けています。インターネットから重要なシステムにアクセスすることができず、物理的に分かれているのでインターネット経由からの攻撃やデーター漏洩がありません。
デメリット:
インターネット、または社内ネットワークサーバーにアクセスするために、移動する必要があります。台数が少ないと端末を使用するために、渋滞がおきてしまい、業務が滞ってしまいます。渋滞を避けるため一人2台づつ端末を持ち使用する方法も可能ですが、相当なコストが必要となります。さらに、USBメモリなどからのコピーや漏洩といった感染リスクは避けられません。
論理分離(仮想的なネットワーク分離)
仮想パソコンの画面データーの転送や、実行環境を分離する方法などがあります。
メリット:
画面を転送している状態ですが、操作感に違和感を感じません。1台の端末でインターネットと業務システムに接続できるので、コスト削減と管理の軽減が期待できます。
デメリット:
論理分離の手法も様々なので、手法によっては高額な費用が掛かる場合もあります。
論理分離には2つの手法がある
先ほど説明した、論理分離には主に2つの手法があります。
| 方式 | メリット | デメリット | |
|---|---|---|---|
| 仮想デスクトップ方式 | 画面情報だけを端末側に転送 |
・1台でインターネットと社内システムに接続可能 ・ブラウザ以外の製品利用できる |
・コストが高い ・ブラウザの操作に遅れが生じるときがある |
| 仮想ブラウザ方式 | 描画の情報だけをブラウザに表示 |
・1台でインターネットと社内システムに接続可能 ・ブラウザの操作に違和感がない ・1つのサーバーで多くのセッションを実行ができる |
サーバーOS側がマルウェア感染すると、全体に影響が及ぶ |
環境や社内の利用状況によって、 インターネット分離(Web分離)の方式を検討するのがよいでしょう。
その他に「Docker型のセキュアブラウザ」「html5型のセキュアブラウザ」も存在します。 どちらも低価格なセキュリティーブラウザとして利用されています。しかし、Docker型のセキュアブラウザ」はIE専用のサイトの閲覧に対しては動作保証がない。html5型のセキュアブラウザは印刷がうまくいかない。などの制限事項があります。
インターネット分離(Web分離)に掛かる費用
物理分離の場合
業務用端末とインターネット接続端末を2台用意する必要があり100人いれば200台パソコンが必要になりますのでそのコストは膨大です。
インターネット分離(Web分離)の場合
一般的にユーザーの数で月額の利用などが決定します。 しかし、その決定方法も様々で、100ユーザー分購入したくても、500ユーザー単位からの購入が求められたりする場合もあります。 細かく設定できない場合は余計なコストがかかります。 その他にサーバーへのライセンス費用、システムのライセンス費用、画面転送を使う時に利用するライセンス費用などが、掛かる場合もあります。 提供しているインターネット分離のサービス内容をしっかり確認してランニングコストを含め検討が必要となります。
インターネット分離(Web分離)を検討する際の3つのポイント
インターネット分離を導入する際は以下の3つのポイントを抑えましょう
(1) 操作に違和感がない
(2) 短期間で導入可能
(3) セキュリティーが高い
それでは上記のポイントをひとつひとつ見ていきましょう
インターネット分離(Web分離)に最適なツールのGO-Global
上記のポイントを抑え中小企業向けにお勧めできるのがGO-Globalです。 20年前から、シンクライアント技術に着目しており、 その歴史から得た実務経験と技術ノウハウが蓄積しています。
しかも、GO-Globalはあらゆる場所、プラットフォーム、OSからWindows、UNIX、Linuxアプリケーションへの 即時アクセスを提供できるのが最大の特徴です。
GO-Globalを利用したインターネット分離環境
GO-Globalは、仮想ブラウザ方式。描画処理のデーターを通信しているため第三者に覗かれた場合でも解読することは困難です。
●GO-Globalの通信プロトコルRapid-XはGraphOn社の独自の技術となり仕様は公開されていません。他社製品ではMicrosoftのリモートデスクトップの機能を利用して端末に配信しています。 機能の通信プロトコルは公開されているので、リモートデスクトップの仕様を解読し攻撃を受ける場合があります。
●GO-Globalはデバイスを選びません。iPadでエクセルを閲覧。外出先からモバイルで入力作業。といった場合にデバイスを選ばず1台のサーバーにのみに利用したいデーターやアプリをインストールで使用可能です。iPad/iPhone/Androidからは専用アプリでログインし、スムーズに操作ができます。
●システムコストが抑えられます。アプリケーションのインストールやバージョンアップもサーバー側の作業で行うので時間が短縮できます。
GO-Globalならセキュアな環境を素早くご提供できるWEB分離に最適なツールといえます。