標的型攻撃対策の“最右翼”　「ネットワーク分離」で何が変わるのか

　インターネット閲覧環境と業務システムのネットワークを分離する「ネットワーク分離」。その採用企業が直面する大きな課題の1つが、異なるネットワーク間のデータのやりとりだ。本来であれば、分離したネットワーク間でデータをやりとりするのは避けたい。だが従業員が業務を遂行する上で、どうしても他のネットワークにあるデータが必要になる場合がある。

　データを異なるネットワーク間でやりとりするには、幾つかの方法がある。もっとも一般的な手段はUSBメモリだろう。だがUSBメモリは小型であり、盗難・紛失のリスクが高いだけでなく、社外にも比較的容易に持ち出せてしまう。中間サーバを用いるとしても、設置や運用にそれなりのコストが掛かる。

　本資料では、ネットワーク分離環境下で考慮すべき、異なるネットワーク間のデータのやりとりに潜む課題を整理し、安全性と利便性、管理性を両立できる具体的な解決策を示す。

　従来のセキュリティ対策では、インターネットとLANとの境界でいかに脅威を食い止めるかという「境界防御」が重要視されていた。だが未知のマルウェアが相次いで登場する中、境界防御だけで脅威の侵入を食い止めることは難しくなってきた。侵入した脅威に迅速に対処する「内部対策」の重要性が高まっているのは、そのためだ。

　内部対策の主要な手法として、ネットワークを流れるパケットを基に脅威の兆候を見つけ出す仕組みや、インターネット閲覧環境と業務システムのネットワークを分離する「ネットワーク分離」がある。双方とも有効な内部対策ではあるが、前者はリアルタイムの脅威検知、後者は異なるネットワーク間のデータのやりとりに課題を抱える。

　本資料では、より現実的かつ効果的な内部対策の手段として、インターネットとLANの境界ではなく、重要情報が眠る“より内部のネットワーク”を分割して保護するファイアウォールに注目し、具体例を交えて解説する。