ホーム > PC-Webzineアーカイブ > 【セミナーレポート】ソリトンシステムズ主催『セキュリティ対策セミナー テーマ』~生産性を落とさない、現実的なインターネット分離の実現手法~ (前編)

【セミナーレポート】ソリトンシステムズ主催『セキュリティ対策セミナー テーマ』~生産性を落とさない、現実的なインターネット分離の実現手法~ (前編)

【セミナーレポート】ソリトンシステムズ主催『セキュリティ対策セミナー テーマ』~生産性を落とさない、現実的なインターネット分離の実現手法~ (前編)

2017年09月04日更新

『セキュリティ対策セミナー テーマ』
生産性を落とさない、現実的なインターネット分離の実現手法~ (前編)

ソリトンシステムズ主催

ソリトンシステムズでは攻撃手法が日々進化し激増するマルウェアや、内部不正による情報漏えい事故など企業におけるセキュリティへの取り組みについて、シリーズでセキュリティ対策セミナーを実施した。

株式会社ソリトンシステムズ マーケティング部 マーケティング戦略 部長 佐野誠治氏

明らかになりつつあるインターネット分離の課題

つい最近、世界中で猛威を振るい多くの被害が発生した「WannaCry」をはじめ、インターネット上の脅威は勢いを増している。こうした中、企業や組織が利用するネットワークやシステムの安全性を確保するための手段として業務ネットワークからインターネットを分離する「インターネット分離」が注目されている。

セミナーの講師を務めた株式会社ソリトンシステムズ マーケティング部 マーケティング戦略 部長 佐野誠治氏は「自治体におけるITの強靭化や金融機関ではネットワーク分離が進められているが、同時に課題も明らかになりつつある」と指摘する。その課題とは「高額なコスト」「業務効率・サービスへの影響」「モバイルやテレワークへの対応」の三つだ。

佐野氏は「インターネット分離の手法にもよるが、ライセンスが二重となりコスト負担が増えたり、サーバーのサイジングや必要なネットワーク帯域を見極めるのが難しかったり、運用面を含めコストがかかる傾向が強い」と指摘する。

さらに「添付ファイルが送れないなど業務の効率にも問題が生じる」と課題について説明を続ける。またインターネットのセグメントを物理的あるいは仮想化技術を用いて切り離す場合、インターネット側のセグメントが感染しても業務セグメントは安全を保てるが、インターネット側のセグメントが利用できないので社外とのやり取りができなくなり、業務が停滞してしまうというケースもある。

インターネット分離の主な三つの手法

インターネット分離には物理的な分離を除き「VDI」と「Web Proxy方式」、そして「アプリケーションラッピング方式」の三つの手法がある。まずVDIではマルウェアなどに感染してもローカルPCは安全だが、仮想PCが感染すると同一ネットワーク上の仮想PCやADサーバーが二次感染してしまう危険がある。その対策として高性能なファイアウォールを導入して危険を回避する。

仮想PC側が感染した場合、初期化をして元の環境に戻せるが、例えば、アンチウイルスのパターンファイルも毎回初期化されてしまうといった事象にも対処が必要となる。またディスプレイの解像度が高くなり、動画の利用機会も増えるなど、ネットワークの帯域の見直しやサーバーのサイジングなどの運用負担もかかってくる。

そしてWeb Proxy方式はProxy側で無害化をするので導入しやすいが、Web以外の経路は守れないといった点や証明書認証を利用するWebサイトは利用できないといった課題がある。

アプリケーションラッピング方式はローカルPC内に分離領域を作ってブラウザーアプリを実行するので、マルウェアの感染は分離領域のみとなりローカルPCを保護できる。またPCにインストールするだけなので導入も簡単だ。

ただしローカルPCのOS上で動作するため、OS自体の脆弱性攻撃をうけるといったリスクが残る。これに対して「出口対策でC&Cサーバー通信を止めることでリスクを低減できる」と佐野氏は説明する。現在このアプリケーションラッピング方式によるインターネット分離への引き合いが増えているという。

利点が多いアプリケーションラッピング方式

ソリトンシステムズではアプリケーションラッピング方式によるインターネット分離ソリューションとして「WrappingBox」を提供している。WrappingBoxではセキュアブラウザやそこから開いたOfficeアプリを自動的に分離領域に「ラッピング」して動作させる。仮想化クライアントソフトを起動するなどの手間もなく、ローカルPCのパフォーマンスがそのまま活用できる利点がある。

また分離領域で動作するアプリケーション、つまりラッピングしたアプリケーションの出入り口をカーネルレベルで監視・制御し、ファイル保存、クリップボードコピー、印刷、レジストリ編集、ネットワーク接続、COM(Component Object Model)によるアプリケーションの呼び出しなどの動作を自動で監視・制御して情報漏えいを防止する。

佐野氏は「一般的にCOMプロセスの監視、制御は困難であり、COMが抜け道となるリスクがあった。WrappingBoxのCOMの監視・制御機能はマイクロソフトと共同で開発、特許取得済みである」と説明する。

インターネットへのアクセスは分離領域からしか実行できず、経路は専用の「SecureGateway」に限定する。万が一マルウェアを開いてしまってもローカルエリアは汚染されにくい。なおセキュアブラウザを閉じると分離空間は自動的に削除され、ローカルディスクにもインターネットから取得した情報が残らない。佐野氏は「出口対策やエンドポイントセキュリティも併せて導入してセキュリティを強化すべき」だと強調する。(レビューマガジン社 下地孝雄)

キーワードから記事を探す