ページの本文へ

セキュリティ

なぜ必要? 仮想ブラウザによるインターネット分離

高度化・巧妙化するサイバー攻撃に対抗するには、従来のセキュリティ対策に加えてインターネット分離という環境を整えることが急務だといわれています。中でも低コストかつ利便性の高い手法として注目されているのが「仮想ブラウザによるインターネット分離」です。インターネット分離はなぜ必要なのか、それを実現するために何をすべきなのか、概要を解説します。

  1. なぜインターネット分離が必要なのか
  2. インターネット分離とは
  3. 仮想ブラウザによるインターネット分離の仕組み

なぜインターネット分離が必要なのか

インターネット分離とは何かを説明する前に、なぜインターネット分離が必要なのかという点について述べます。

昨今、機密情報や個人情報など重要な情報を狙うサイバー攻撃の手法は高度化・巧妙化の一途をたどっています。中でも脅威となっているのが特定企業や組織、個人をターゲットとする標的型攻撃です。

これに対し、長年にわたって主流とされてきたセキュリティ対策は、社内ネットワークとインターネットの境界にファイアウォールやWebフィルタリング、メールの添付ファイルブロックなどを設置し、端末(PC)にはアンチウイルスソフトをインストールしてマルウェアの侵入を阻止するというものでした。

しかし昨今のサイバー攻撃は、そうした従来型のセキュリティ対策をすり抜けることをむしろ得意としています。標的型メールなどによる初期潜入、遠隔操作ツールを使った端末制御、情報探索から情報送出に至るまで、そのプロセスは綿密にデザインされており、攻撃を受ける側が攻撃されている事実にすら気づかないうちに情報が持ち出されていることもめずらしくありません。従来型のセキュリティ対策では高度化・巧妙化が進むサイバー攻撃を完全には防ぎきれないというのが現状です。

こうした事態に対し、攻撃を受ける側も手をこまねいているわけではありません。自治体は、総務省が取りまとめた「新たな自治体情報セキュリティ対策の抜本的強化に向けて」(平成27年11月)という報告に基づく対応を進めてきました。その中で注目したいのが、「インターネットのリスクへの対応」の一つとして示されている「マイナンバー利用事務系」と「LGWAN(統合行政ネットワーク)接続系」、「インターネット接続系」とを分離する「三層の構え」による施策です。

同様の対策は一般企業でも採用されています。経済産業省がIPA(独立行政法人情報処理推進機構)と共同で策定した「サイバーセキュリティ経営ガイドライン」の中でも、ネットワークを分離することの有用性が示されています。従来型のセキュリティ対策も維持しながら、インターネットを使用するネットワークと重要な業務を行うネットワークを分離することにより、対サイバー攻撃用の多層防御の構築が可能になると考えられています。

インターネット分離とは

インターネット分離とは、企業や組織内で重要な情報を扱うネットワークを、インターネットに接続できる環境にあるネットワークから切り離すことによって、標的型攻撃をはじめとするサイバー攻撃によるリスクを排除する仕組みのことを指します。Web分離、ネットワーク分離という呼び方をすることもあります。

たとえば個人情報や機密情報を扱う重要な業務環境を、インターネットに接続してメールの送受信やWebサイト閲覧ができる業務環境と切り離しておけば、重要な業務環境で使用している端末がマルウェアに感染するリスクを軽減できます。また、たとえ端末がマルウェアに感染したとしても、個人情報や機密情報がインターネットを通じて漏えいする可能性を抑え込むことができます。インターネット分離を厳密に行うことができればできるほど、サイバー攻撃から重要な情報を守ることができるわけです。

インターネット分離を実現するにはいくつか方法があります。最も単純な手法として挙げられるのは、業務用の端末とインターネット接続用の端末を2種類用意して使い分ける「物理分離」です。しかし物理分離は端末を2台用意し、必要に応じてどちらかの端末を使わなくてはならないことから業務効率は低下してしまいます。端末だけではなくネットワークも2重に用意することになり、導入・運用コストもかさみます。

そこでもう一つの方法として注目されるようになったのが、仮想化技術を利用したインターネット分離です。その代表としてはWebブラウザを仮想環境で実行し、その画面のみを端末に転送する「仮想ブラウザ」が挙げられます。仮想ブラウザを使ったインターネット分離の仕組みについては次で説明します。

仮想ブラウザによるインターネット分離の仕組み

まず専用のサーバー上でブラウザ(仮想ブラウザ)を稼働させます。次にそのブラウザの画面を転送し、社内の重要な情報を取り扱う業務用のネットワークに接続された端末に映し出します。端末では画面を見ながらインターネット検索やWeb閲覧などができます。Webメール、ローカルメールも使用可能です。そして操作感は通常のPCでブラウザソフトを使うのとほとんど変わりません。

専用サーバーのブラウザから端末へは画面のみが転送され、サーバーから端末や社内ネットワークにアクセスすることはできません。そのため、仮にサーバーがマルウェアに感染したとしても被害が社内ネットワークや端末に及ぶことはありません。これが仮想ブラウザによるインターネット分離の基本的な仕組みです。

また、ブラウザでインターネットからファイルをダウンロードできるよう設定することも可能です。その場合はダウンロードしたファイルをウイルススキャンし、さらにサンドボックスでチェックしてから共有フォルダなどに保存される、といったプロセスを踏むことになります。

物理分離と比べると、仮想ブラウザを使う方式は使い勝手が洗練されていて、従来の方式からの移行もスムーズに進むはずです。仮想ブラウザによるインターネット分離ソリューションを活用すれば、業務効率を低下させることなく、導入・運用コストも抑えつつ、しかも比較的短期間にインターネット分離環境を構築できるでしょう。

インターネット分離は企業や組織が重要な情報を守るために欠かせない手法の一つとなりつつあります。サイバー攻撃対策の一貫として、仮想ブラウザによるインターネット分離ソリューションの導入を検討してみてはいかがでしょうか。

当社の関連ソリューション/サービス

関連記事はこちら

詳細はこちら