複雑な「インターネット分離」を手軽に実現する方法とは?標的型攻撃に効果、「テンプレート」で導入を容易に

業務ネットワークとインターネット接続環境を分ける「インターネット分離」。これをできるだけ少ない手間で、かつ従業員の利便性を損なわずに実現するにはどうすべきか。

2016年07月28日 10時00分 公開
[TechTargetジャパン]

 私たちを取り巻くサイバーセキュリティの脅威はますます巧妙かつ、危険性の高いものになっている。この数年を振り返ってみただけでも、官公庁や民間企業を狙った標的型攻撃によって大量の個人情報が流出する事態が複数発生した。2016年に入ってからは、クライアントPCやネットワークで接続されたファイルサーバ内のデータを勝手に暗号化し、元に戻すための復号鍵と引き換えに金銭を要求する「ランサムウェア」の感染報告も多数に上っている。

 このような状況に対し、セキュリティ対策の在り方にも変化が求められている。サイバー攻撃を水際で食い止めることも重要だが、残念ながらそれで全てを防げるわけではない。侵入が起こり得ることを前提に多層防御を講じ、重要な情報の外部流出を防ぐアプローチが必要だ。

 その一環として、機密情報や知的財産、個人情報、マイナンバーを含む特定個人情報を扱う業務環境と、インターネットに接続可能な環境とを分離させる、「インターネット分離」の必要性が指摘されるようになった。これにより、たとえユーザーがうっかり不審な添付ファイルを開いてマルウェアに感染してしまったとしても、重要な情報が保存されたネットワークにはアクセスできず、外部流出の恐れは低くなる。

 インターネット接続用と業務システム用とで別々のクライアントPCを使い分ける方法もある。だが関連システムの初期コストも2倍ならば必要なスペースも2倍になり、運用の手間も増加する。数ユーザー程度の小規模環境ならばともかく、ある程度以上の規模になるとあまり現実的な選択肢とはいえない。

 また「分離」を徹底するあまり、業務の効率性が下がってしまっては本末転倒だ。あまりに現実に即さない環境では、従業員自身が抜け道を作り出す恐れもある。過去には実際、セキュリティ規定上「機密情報や個人情報はインターネットに接続可能な端末で扱ってはならない」と定めていたにもかかわらず、それでは仕事にならないからとUSBメモリ経由でデータを受け渡していたクライアントPCがマルウェアに感染し、情報漏えいにつながったケースもあった。

 インターネット分離によるセキュリティの担保と利便性の確保という、相反する要求を解決できる策はないだろうか。


提供:株式会社日立製作所
アイティメディア営業企画/制作:TechTargetジャパン編集部