標的型攻撃による情報漏えい事故が相次いで発覚したことを受け、多層防御も含めた、より強固な対策が求められている。その1つとして注目を集めているのが業務システム環境とインターネット接続環境を分ける「インターネット分離」だ。既存の業務システムの使い勝手を阻害せず、またユーザーに負担を掛けることなくインターネット分離を実現するポイントとは何か。
昨今、ターゲットのPCをウイルスに感染させ、狙った情報を盗み出す標的型攻撃が相次いでいる。ターゲットに「なりすましメール」を送ってウイルスを仕込んだ添付ファイルを開かせる、ターゲットがよく閲覧するWebサイトを改ざんしてマルウェアを仕掛けるなど手口は複数あり、完全に防ぐことが難しいやっかいな攻撃だ。
だが攻撃を受け防御に失敗すれば、情報漏えいだけではなく、社会的信頼の失墜はもとより、復旧のための時間、コストも掛かるなど、企業は深刻なダメージを受けることになる。遠い海外の話と思われていた標的型攻撃だが、一連の事故の社会的インパクトを通じて、われわれを取り巻く“現実の脅威”であることが広く認識されるようになったといえるだろう。
ただ、こうした事故の原因を探っていくと、その巧妙な手口に対して、「攻撃を受けた側」にもセキュリティ規則の運用上の課題があることが浮かび上がってくる。例えば、機密情報や個人情報はインターネット接続環境とは区別された業務専用環境で取り扱うと規定していた場合でも、現場担当者の業務が立ち行かないため、データをコピーして利用し、利用後に削除するといった運用になってしまうケースもあるようだ。
だが、こうしたセキュリティに対する認識の甘さは情報漏えいの危険性を高める。セキュリティ事故の発生時の体制の整備とともに、マルウェア感染が防ぎきれない場合でも情報漏えいを防ぐ多層防御などの対策を検討する必要がある。それも極力ユーザーの業務実行に影響を与えない形で、だ。
そこで現在、各省庁などで推奨されているのが「インターネット分離」だ。これは、機密情報や個人情報、あるいはマイナンバーを含む特定個人情報を扱う業務環境と、インターネットに接続可能な環境とを分離する対策だ。これにより、業務環境のPCがマルウェアに感染するリスクを低減するとともに、万一感染しても情報流出などの実害につながる可能性を減らすことができる。官公庁や地方公共団体、金融など、情報漏えいのリスクに敏感な分野ではいち早く採用が進んでおり、総務省ではあらためて「自治体情報システム強靱性向上モデル」の一環として、インターネット分離を推奨している。
では具体的に、インターネット分離とはどのように行うのだろうか。最もシンプルに実現するなら、端末を2台用意し、1台は業務システム用に、もう1台はインターネットに接続できる環境とし、1人が2台を使い分ける方法が思い浮かぶ。しかしこの場合、業務効率が阻害される上、管理すべき端末も2倍ならばネットワークも2重になり、構築・運用コストもかさむことになる。
そこでこうした問題を解消しつつ、情報漏えいを防止する手段として注目されているのが「アプリケーション仮想化」を利用したインターネット分離だ。
日立製作所 ICT事業統括本部 統合プラットフォームソリューション本部 の幕田好久氏は、「アプリケーション仮想化では、物理的に2台の端末を用意する必要がありません。しかも、既存の業務システムに手を加えることなく、同じ使い勝手で利用できることが特徴です」と説明する。
アプリケーション仮想化は、Windows OSやWebブラウザのサポート終了で生じるアプリケーション改修を考える際にも有効な手段だ。サポート終了のタイミングと自社のシステム更改のタイミングは、必ずしも一致するとは限らない。こうした時にもアプリケーション仮想化を活用することで、セキュリティリスクを軽減させながらOSやブラウザのバージョンアップで常に改修を余儀なくされてきた社内Webシステムの工数やコストの低減を図れる。
日立製作所では「セキュアWebブラウジングソリューション」という形で、アプリケーション仮想化の実現を支援している。
セキュアWebブラウジングソリューションは、米シトリックス・システムズの「Citrix XenApp」を活用し、アプリケーション仮想化基盤を実現する。インターネット接続する業務環境を、アプリケーション仮想化基盤により、操作画面のイメージのみを業務端末に転送するようにする。これにより、業務端末とインターネットを分離しながら、ユーザーの利便性を担保することができる。
同ソリューションは、ユーザー規模や業務内容に応じた、さまざまなテンプレートが用意されており、一からシステムを設計する場合の半分以下という短期間で導入できることが特長だ。日立自身、長年にわたって仮想化技術の開発に取り組み、ノウハウを蓄積してきた。それらを反映した検証済みのテンプレートを活用することで、少ない手間で迅速にアプリケーション仮想化を実現できるのだという。
しかも、「インターネット分離に加え、その他の対策も多重で講じることで、さらにリスクを低減したい」といったニーズに応じて、サブシステムを追加することもできる。2016年6月の時点では、「マルウェア対策」「操作ログ収集」「ファイル転送」といったサブシステムが用意されており、これらもまたテンプレート化して提供される。
こうした環境は、統合プラットフォームを一括購入し、自社資産として運用することも、あるいは従量課金制のマネージドサービスとして導入することもできる。サブシステムと合わせ、自社にとって最適な選択肢を選択可能だ。
さらに導入に当たっては、トレーニング、運用開始後のサポートやドキュメント類まで提供される。幕田氏は、「アプリケーション仮想化基盤の運用管理を支援する専用ポータルサイトも用意し、お客さまにとって使いやすい環境を提供していきます」と述べている。
ただ、インターネット分離を成功させるためには、ユーザーの利用シーンの想定が求められる。日立製作所 関東支社 産業・流通システム営業部の小菅一憲氏は、こうしたインターネット分離について、「IT部門が、無理矢理アプリケーション仮想化を押し付けてしまうと、ユーザーの不満が募るだけです」と言う。
それでは、過去5年以上にわたって、さまざまな顧客のアプリケーション仮想化事例を支援してきた小菅氏は、ユーザーの利用シーンをどのように仕分けし、最適な設計パターンを導き出しているのだろうか?
Copyright © ITmedia, Inc. All Rights Reserved.
提供:株式会社日立製作所
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2016年9月16日