近年、企業が矛先となったサイバー攻撃が頻出しています。ひとたび被害にあってしまうと、社内の機密情報や個人情報の漏洩により社会的信用さえも失ってしまう危険性があります。本記事では、政府も推奨するインターネット分離の基礎的な知識や最新のインターネット分離ソリューションなどについて説明していきます。
インターネット分離とは?
インターネット分離は、2つのネットワーク環境を持つことです。例えば地方自治体なら、個人情報を取り扱う内部の情報システムと、職員がインターネットを使用するネットワークを切り離して設けることです。これにより、万が一職員が使うインターネット網がサイバー攻撃を受けたとしても、機密情報のあるネットワークへの侵入は防ぐことができます。
サイバー攻撃を受けないように対策することは必要不可欠ですが、いつ、どのようなサイバー攻撃やマルウェア感染の被害を受けるのかをすべて予測するのは困難です。そのため、危機管理対策の1つとしてインターネット分離が推奨され、外部脅威の侵入や情報漏洩の防止に効果的とみられています。
どうしてインターネット分離が注目されるのか?
かつて、サイバー攻撃に踏まえてウイルス対策ソフトを導入しておけば、ある程度は対応できるものでした。しかしマルウェアそのものの種類は日々増えており、また手口も巧妙化しているため検知・対策と新しいマルウェアの登場はいたちごっこの状態と言えるでしょう。
そのような中、インターネット環境と社内の機密情報を取り扱う環境に一線を画すインターネット分離を取り入れることで一度の攻撃ですべてのネットワーク環境が損害を被るのを防げるようになりました。
インターネット分離は、企業の機密情報や個人情報流出を抑える手法として、総務省や文部科学省、金融庁、IPA(情報処理推進機構)もサイバーセキュリティのガイドラインで推奨している対策方法です。最近のトピックとしては、総務省の「自治体情報セキュリティ対策の見直しのポイント(2020年5月)」で「三層の対策」によるセキュリティ強化について触れられています。これはインターネット分離と業務効率化の両方を実現できる新たなモデルとして提示されています。
具体的には、税や住民基本台帳などのマイナンバーを使用する事務系情報と、ホームページの管理にグループウェアを加えたインターネットを介する情報を分離した上で、人事給与や財務関係などの職員が組織内の機密情報 を扱うLGWAN(総合行政ネットワーク)を置き、インターネットを介する環境とだけ無害化通信するように分離と分割の三層式で整備する仕組みです。LGWANに置かれていたグループウェアと一部端末をインターネット環境に移すことで、テレワークなどオフィス外からアクセスすることが可能となります。
参照:「自治体情報セキュリティ対策の見直しのポイント(2020年5月)」 総務省
今、主流のインターネット分離方式
自社にインターネット分離導入を検討する際、どのような方式があるかも押さえておきたいところです。ここでは従来採用されていた「物理分離方式」と、新たに注目されているソリューションや分離方式についてご紹介します。
今までの分離方式~物理分離方式~
「物理」という名前からも分かるとおり、インターネットに接続する端末を限定することで、内部ネットワークとの関わりを遮断する方式です。当然、社内情報を取り扱う端末と、インターネットを使用する端末が交わることがないため、同時に双方ともサイバー攻撃を受けることはありません。
しかし単純に考えると、必要に応じて端末を2倍準備することになります。よって、費用負担が大きいことがデメリットとされていました。また業務を行う上で、仕事によって端末を使い分けなければならないため利便性が悪く、作業効率が落ちてしまいます。これらの理由からあまり普及しませんでした。
注目されるインターネット分離ソリューション
現在、注目されるインターネット分離ソリューションは、「Web無害化」の観点から対策する方法です。その中でも「画面転送方式」と「実行環境分離方式」に大別されます。
画面転送方式は、分離している環境下で表示したコンテンツを、画像データとしてユーザーのローカル端末に送る方式です。
実行環境分離方式は、Webページにアクセスする実行環境だけを切り離し、サーバーサイドでレンダリングや画像化を行ったものをHTML化してユーザー側のブラウザに表示します。これは既存のブラウザをそのまま使用して実行できるため比較的コストを抑えられ、運用しやすいとされています。
新しいインターネット分離方式とは
インターネット分離の実現方法として、仮想デスクトップ方式や仮想ブラウザ方式、アプリケーションラッピング方式、セキュアブラウザ方式などさまざまな新しい手段が登場しています。
仮想デスクトップ方式は、物理サーバ上にWindows OSなど仮想のマシンを置き、ユーザーが使う端末(ローカル端末)からそのOSを遠隔操作する方式です。仮想ブラウザ方式は専用のブラウザを介してインターネット閲覧やWebブラウザで動作可能なアプリケーションを遠隔操作する方式。そのほか、1つの端末で保護する領域とローカル領域に分けるアプリケーションラッピング方式や、通常のWebブラウザよりもさらにセキュリティ機能を施すことで脅威から守るセキュアブラウザ方式も普及しつつあります。
新しいインターネット分離の特徴は、物理分離方式のように多くの端末を必要とせず運用コストが抑えられることと、1台の端末で分離が完結することで、業務によって端末を入れ替えるなどの業務負担がかからず、利便性向上のメリットが期待できることです。
インターネット分離で残る課題
インターネット分離を実行したからといって、サイバー攻撃を受けなくなるわけではありません。社内で体制を整えた上でインターネット分離を導入することで、その効果が最大限発揮されるのです。ここでは分離する際に出てくる課題について説明していきます。自社の状況を鑑みながら、対応策を思案してください。
インターネット分離以外のコスト
インターネット分離をしたネットワークに、別の社内システムや業務内容によって入り込む余地がないかを十分に確認することが重要です。脆弱な部分があると、そこからサイバー攻撃を受けてしまうことも考えられます。そのため、設計の段階から起こり得る状況を想定し、意識しておかなければなりません。
さらに、社内システムやネットワークと切り離した時に、業務効率が落ちる、業務プロセスに新たな工程が加わってしまうことがないかも注意しておく必要があります。セキュリティ対策によって業務全体のスピードが落ちることのないように留意しておいた方がよいでしょう。
専門的人材の確保とツール
インターネット分離により、ネットワーク構造が複雑になります。そのため知識を十分に備えた人材を配置することも必要となるでしょう。しかし、なかなか適した人材が見つからない可能性もあります。運用について外部委託することや、セキュリティ対策ツールを取り入れることも視野に入れて検討してみてください。
データ取り扱いの教育。ルールの見直し
インターネット分離を取り入れても、社員の危機管理ができていないと人的ミスやマルウェア感染が発生する可能性があります。そのため、セキュリティに対する意識を高め、日常業務に活かせる知識を醸成する場を作ることが重要となるでしょう。従来の方法を見直して、データの取り扱いに関するルールを策定することに加え、社内研修や周知徹底を促す情報発信の仕方についても再考することをおすすめします。
まとめ
インターネット分離は、昨今取り沙汰されることの多いサイバー攻撃やマルウェア感染の脅威から企業の機密情報や個人情報を守るのに非常に有効な手段です。分離する方式もさまざまな手法が登場しており、多くの端末や専用のソフトウェアを導入しなくてもコストを抑えて運用できます。自社のシステム環境との相性も鑑みた上で、インターネット分離の導入を検討してみてください。
