特集
» 2017年08月07日 10時00分 公開

IT導入完全ガイド:インターネット分離の“困った”を解決する最新製品の実力は? (1/2)

業務ネットワーク環境とインターネット接続環境を異なるセグメントとして扱う「インターネット分離(アイソレーション)」。2つの最新製品に注目した。

[宮田健,キーマンズネット]

 最近、注目を集めているインターネット分離(アイソレーション)。技術的には古くからあるものだ。前編「業務効率を落とさない『インターネット分離』の基礎」で紹介したように、自治体だけでなく一般企業においても情報漏えい対策や標的型攻撃対策、ランサムウェア対策の選択肢の1つとして再び検討され始めている。しかし、セキュリティの強化策によって業務効率を著しく損なってしまうのは良くない。本稿では最新ソリューションを取り上げ、どのように利便性を確保できるかを解説する。

 社内ネットワークを「基幹システムにつながる業務系セグメント」と「インターネットにつながるセグメント」に分けるインターネット分離を行うためにはコスト面と運用面が気になる。物理的に分離したネットワークを複数用意する方法は一般企業にとっては現実的ではない。おのずと選択肢は論理分離型のソリューションとなる。VDI(デスクトップ仮想化)という選択肢もあるが、できればもう少しコストや運用負荷がかからずにインターネット分離を行う方法はないだろうか。

 運用面でいえば、2つのネットワークセグメントを超えたデータを安全にやりとりする手法も必要だ。例えば、メールやファイル共有サービスなどで入手したファイルをローカル環境に保存したり、反対に基幹システムから出力したデータをインターネットを使って外部に送信したりといった業務を行うために、ひと手間を加えなければならない。この手だてがなければ、従業員はUSBメモリによるデータのやりとりなど“抜け道”を使い始めることだろう。

例えるなら「出島」、Webブラウザを仮想化する方法

インターネット用とイントラネット用、2つのブラウザを使い分ける

 アシストが提供する「ダブルブラウザ・ソリューション」は、その名の通りインターネット閲覧には仮想化された専用Webブラウザを用い、イントラネット利用には既存のWebブラウザを使うことでインターネット分離を実現する。

 ユーザー(従業員)は、業務に応じて2つのWebブラウザの使い分けることになるが、ダブルブラウザの「URL自動判別オプション」を使えば、インターネットサイトのURLが要求された際に仮想ブラウザが自動的に起動し、URLをリダイレクトして目的のページを表示するため、ユーザーがブラウザの使い分けを意識する必要はない。

 技術的には、クライアント仮想化技術を使ってWebブラウザを仮想化し、画像転送方式でインターネット閲覧を分離する。Web閲覧時に万が一マルウェアをダウンロードし、悪意のあるスクリプトを実行してしまったとしても、それは仮想ブラウザサーバ内で実行されるため内部ネットワークにあるローカルPCや業務システムに影響を与えない。

 例えるならば、内部ネットワークは鎖国された状態で、仮想ブラウザサーバが「出島」だ。出島と内部ネットワークの間の通信は独自通信(Ericom Blaze)のみが許可され、業務端末からのインターネットアクセス(HTTP/HTTPS)を遮断する。

 仮にUSBメモリ経由などでマルウェアが内部ネットワークに感染を広げても、内部からC&Cサーバへの通信が遮断されるので被害の拡大を防げる。ただし、業務端末にはこれまで通りセキュリティ対策ソフトのインストールと適切なアップデートは必須である。

図1 ダブルブラウザ・ソリューション 図1 ダブルブラウザ・ソリューション(出典:アシスト)

仮想ブラウザサーバのOSでコストが大きく変わる

 導入時の検討ポイントの1つとして、仮想ブラウザサーバのOSの選択が挙げられる。もしもインターネット閲覧時にActiveXやWindows Media Playerといったマイクロソフトの独自技術が必須であれば、Windows環境で構築しなければならない。この場合、Windowsのリモートデスクトップサービス機能をベースとして動作するため、ユーザー分の「リモートデスクトップサービス クライアントアクセスライセンス(RDS CAL)」が必要となり、コストもそれなりの金額となる。一方でLinuxを選べばコストを安くできるが、Windows機能は利用できなくなる。

Active Directoryは2台体制を推奨

 ID管理のためのActive Directory(AD)の構成については、インターネット分離ならではの運用体制を考える必要がありそうだ。仮想ブラウザサーバへの認証に、内部ネットワークで運用している既存のADサーバを使うこともできるが、これではせっかく分断した内部ネットワークに向けて穴を空けることになる。そこでアシストでは、インターネット接続ネットワーク用に別のADサーバを立てることを推奨しつつ、仮想ブラウザ利用時のID・パスワード入力の手間を省くため、仮想ブラウザサーバに自動ログインさせる機能を提供する。

ファイル共有は別ソリューションが必要

 ダブルブラウザは、インターネット分離環境におけるWeb閲覧の利便性を上げるソリューションだ。そのため、インターネット接続用ネットワークと業務システム用ネットワークの壁を超えてファイルのやりとりを行うためには、別の専用ソリューションを導入しなければならない。アシストでは、VOTIROのファイル無害化ソリューション「Secure Data Sanitization(SDS)」やプロットの「SmoothFileネットワーク分離モデル」との連携を推奨する。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。