日本の多くの自治体が採用する「インターネット分離」「Web分離」とは――課題や新たな方式、VDIとの違い:テレワーク時代のWeb分離入門(2)
VDI代替ソリューションの分類や、それぞれの仕組み、検討ポイントなどを解説する連載。今回は、Web分離の概要や課題、新たな方式、VDIとの違いについて。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
自治体のセキュリティ対策を参考にしてみませんか?
インターネット分離(Web分離)は自治体のネットワークで広く導入されているアーキテクチャであり、情報漏えい対策としては非常に有効な手段です。また導入から一定の年月がたっていて課題も見えてきているので、利便性、安定性、そしてコスト面でも優れた後発製品が市場に多く登場してきており、自治体だけではなく民間企業でもWeb分離を検討しやすい状況になってきているといえます。
そこで今回は、自治体の取り組みから見えてきた課題と、その課題を解決すべく登場してきた新しい方式の解説を通して、自治体はもちろん、民間企業のセキュリティ担当者にとっても次期ネットワーク検討の一助になるような情報をお伝えしていければと思います。
※以降の各方式の説明で用いる図に登場するアイコンの意味は下図の通りです。
インターネット分離(Web分離)とは何なのか
まず、Web分離を理解するために参考となる文書として、総務省のガイドラインがあります。これは自治体向けに作られたものですが、考え方などは民間企業のネットワークにも十分応用できるので、目を通してみてはいかがでしょうか。
- 参考情報:総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」
Web分離を一言で表現すると、「漏えいすると困る大事なデータはインターネットに接続していないネットワークに隔離してしまおう」というものです。具体的には、もともと1つのネットワークを、以下の2つのネットワーク系統に分離する構成を指します。
- インターネットに接続しているオープンなネットワークの系統(※下図「社内LANオープン系統」)
- インターネットに接続していないクローズドなネットワークの系統(※下図「社内LANクローズド系統」)
しかし、インターネットが利用できないと、「必要な情報を調査できない」「メールを送受信できない」といったように業務に支障が出てきます。従って、Web分離のアーキテクチャとしては、社内ネットワークを大きく「2種類の系統」に分離した上で、「必要な通信」のみ、両ネットワーク系統間で転送を許可する形になっています。
先述のガイドラインによると、「必要な通信」とは、主に以下の3つの通信だと定義されています。
- 無害化されたメールの送受信
- 無害化されたファイルの転送
- 画面転送通信
本稿では、このうちの「画面転送通信」について、とりわけWeb通信の分離(Web分離)について取り上げます。
Web分離における画面転送のイメージ
Web分離における画面転送のイメージをつかむため、ベーシックなパターンとなる仮想デスクトップ方式(VDI方式)を例にして解説していきます。
PCが配置されているネットワーク系統とは異なる系統にVDIを設置して、PCとVDIの間で画面転送通信を行う形です。
Web分離の課題と、次のカタチ
日本のほとんどの自治体ネットワークでは既にWeb分離の導入が完了しており、課題も顕在化しています。その課題とは、利便性の低下です。
具体的には、以下のような課題が挙げられます。
- Webブラウジングしたいとき、VDIなどのシステムに都度ログインする必要がある
- 1つのモニターの中で、異なる系統の画面を使い分ける必要があるので、混乱する
- ファイルの無害化処理に時間がかかり、生産性が大幅に低下している
- 無害化されたファイルが壊れてしまう場合がある
- メールの配送経路が複雑過ぎて、不具合発生時から復旧まで時間がかかってしまう
- 運用項目が倍増し、高度なスキルが必要となるので、運用コストが増大してしまう
こういった課題や時代の要請などに対応するために、自治体においては、次期ネットワークのアーキテクチャとして、通称「βモデル」と呼ばれる新しい形態が提示されています。
- αモデル:手元PCをクローズドなネットワーク系統に配置するモデル
- βモデル:手元PCをオープンなネットワーク系統に配置するモデル
- 参考情報:総務省「自治体情報セキュリティ対策の見直しのポイント」
今回は、従来型であるαモデルの課題の一因「VDIの欠点」を改善するために登場してきたVDI代替ソリューションについて解説します。「VDI代替ソリューションが、なぜVDIの欠点を改善できるのか」がポイントです。
仮想ブラウザ方式
VDIを導入してみたけど「使いにくい」「ライセンスの維持費用が高くてコストを削減したい」といった声が増えてきました。そうした中で最近注目の方式が仮想ブラウザ方式です。仮想デスクトップ方式のブラウザしか利用できない版というイメージです。
この方式は仕組みの観点で、さらに次の2つのタイプに分類できます。
- 画面転送型
- Web無害化型
画面転送型
画面転送型は下図の通り、仮想コンテナ上でブラウザ(仮想ブラウザ)を稼働させます。この仮想ブラウザがWebサーバにアクセスしてページを表示させます(レンダリング処理)。そしてレンダリングされた「画面」を手元の端末に転送し、ユーザーは転送された画面を操作する形でブラウジングします。
Web無害化型
Web無害化型は以下の2つの機能を組み合わせた仕組みとなります。
- Webプロキシ機能
- Web無害化エンジン機能
まずWebプロキシとしてユーザーの代わりにWebサーバにアクセスします。次にWebサーバから返ってきたページのデータをWeb無害化エンジンが処理します。
Web無害化エンジンは、受け取ったWebページを一度分解し、動的なコンテンツなど、悪意ある攻撃に利用されやすい部分を削除(無害化処理)します。Webページの無害化処理が完了すると、無害化されたWebページのデータを手元の端末に転送します。手元の端末は、無害化されたWebページのデータを手元のブラウザでレンダリング処理してWebページを表示します。
上の画面はWeb無害化型のシステムを利用する前と後の状態です。Webサイトを構成する画像やスクリプトなどのデータの名前が、このシステムを通過すると別の名前に変化しているのが分かるかと思います。これは、オリジナルデータが一度分解され、無害化された上で、再構成されたことでオリジナルデータとは異なる別のデータになったことを意味します。
なお、後述のファイル無害化エンジンと混同されがちですが、Web無害化エンジンはWebページの構成データ(文字、画像、スクリプトなど)を無害化するものです。ファイル無害化エンジンはダウンロードしたファイル(PPTファイル、PDFファイルなど)を無害化するものです。それぞれ全く別のシステムです。
仮想ブラウザ方式の主な特長
仮想ブラウザ方式に属する多くの製品が、Linux系のシステムを採用しているので、VDIと比べるとライセンス費用を大幅に削減できるメリットがあります。しかし、VDIとは異なりサイジング方法が確立していないので、サーバ基盤やネットワーク帯域のリソースが枯渇するトラブルも発生しやすくなっています。
一方で目線を変えて、利用者目線ではVDIと比べて格段に使い勝手が良くなっています。この方式の製品の多くが手元PCのプロキシ設定を変更するだけで利用できます。つまり、VDIのように都度ログインする必要がないので、利用者はシステムの切り替えを意識することなく利用できます。
その半面、ファイル操作など、ブラウザでできない業務には利用できません。こういった操作は仮想ブラウザ上ではなく、手元PC側で実施することになります。この点については、後述するファイル無害化エンジンとの連携が重要になってきます。
さらに、Webページを正常に表示できない問題も発生することがあります。
画面転送型の仮想ブラウザはLinux上で動くメーカー独自開発のブラウザなので、特定のブラウザ、例えば「Internet Explorer」(IE)での閲覧しかサポートしていないページは正常に表示できない可能性があります。
Web無害化型の場合は、一度無害化エンジンで分解して一部のデータを削除する仕組みなので、主に「動的コンテンツが正常に動作しない」といった問題が起きやすいです。ただしブラウザ依存で表示できない問題は起きにくいです。なぜなら、Web無害化型では、レンダリング処理自体は手元PCで使っている一般的なブラウザで行うので、「IEでしか閲覧できないページのときはIEを利用する」というようにブラウザの切り替えが可能になるからです。
ファイル無害化エンジンとの連携
画面転送型、Web無害化型を問わず、仮想ブラウザ方式の製品選定における重要なポイントとして「どのファイル無害化エンジンと連携できるか」という視点も大変重要です。仮想ブラウザ製品の多くが、ファイル無害化エンジンとAPIなどで連携することで、Webページからダウンロードしたファイルを無害化してシームレスに手元のPCに保存できます。
自治体ネットワークの強靭(きょうじん)化事業がスタートした当時は枯れていない技術だったのでトラブルが多発しましたが、現在は優れた後発製品が数多く開発されています。仮想ブラウザ方式の導入を検討する際には、同時にファイル無害化エンジンの検討も進めておくといいでしょう。
アプリケーションラッピング方式/セキュアブラウザ方式
仮想ブラウザ方式と同様、「脱VDI」として注目が集まっているのが、この方式です。仕組みについては前回のテレワーク編で解説したので、今回はWeb分離用途として導入したときのイメージを伝えます。
アプリケーションラッピング方式とセキュアブラウザ方式は、手元PCの内部でVDIを動かすようなイメージだと前回お伝えしました。これは図を見ると分かりやすいですが、「Web分離の物理的な境界線が端末内にまで後退することになる」ということです。つまり、領域を隔離する技術に何らかの脆弱(ぜいじゃく)性があり、ここを突破されると、そのまま機密情報にダイレクトにアクセスできてしまう懸念があります。この懸念をどこまで現実的なものとして取り上げていくのかについては、組織の考え方やポリシーによって大きく見解が分かれるポイントになると思います。
なお、論理的な境界線は引き続き、系統間を接続するファイアウォールが担うことになるので、ローカル領域(端末内部の隔離されていない領域、もともとの領域)と隔離領域の間でファイルを転送したい場合は、ファイル無害化エンジンなどによる処理を施した上で、ファイアウォールを介して転送させることになります。
おわりに
今回はここまでです。前回と今回で、下記の通り、たくさんの方式を取り上げました。
結局、どれを選べばいいのか、非常に悩ましい状況ではないでしょうか? そこで、最終回となる次回では「それぞれの方式の選定方法」について紹介します。読者の皆さんが自組織にとって最適な方式を判断できるようになることを目指して解説します。最後までお付き合いいただけますと幸いです。
筆者紹介
根本 幸訓
ネットワンシステムズ株式会社 ビジネス開発本部 第2応用技術部
明治大学 法学部 法律学科 出身。2011年、ネットワンシステムズ入社。文系街道まっしぐらの青春時代をへて同社に営業職として採用されるも、意外と技術が好きだったことが分かり、CCNPを取得して技術職に転身。文教・自治体市場を担当するエンジニアとして、幅広い分野の提案、設計、構築を経験。
得意分野はネットワーク、セキュリティ、サーバ、ストレージなどICTインフラ全般。文系の立場で分かりやすく表現することを心掛けている。現在の部署に異動後は、幅広い知識とフロンティアスピリットを生かし、時代のニーズにマッチした「良いモノ・サービス」の発掘、評価、検証、情報発信に取り組んでいる。
趣味はバイクとキャンプとダイビング。コロナ禍で禁煙に成功。
関連記事
テレワーク方式を8つに分類し、それぞれの特徴を解説 総務省がテレワークセキュリティに関する手引きを公表
総務省は、テレワークを実施するに当たって最低限のセキュリティを確実に確保するための手引き「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」と、設定内容を解説する資料を公表した。
今の境界防御セキュリティは古くて無駄になる?――テレワークをきっかけに始めるゼロトラスト導入、3つのポイント
アイティメディアは2020年9月7日にオンラインで「ITmedia Security Week 秋」を開催した。本稿では、ラックの仲上竜太氏の特別講演「ニューノーマル時代のゼロトラストセキュリティのはじめ方」を要約してお伝えする。
コロナ禍でプライバシーマークとISMSが注目される? JIPDECとITRが「企業IT利活用動向追跡調査2020」の結果を発表
JIPDECとITRが実施した「企業IT利活用動向追跡調査2020」によると、テレワークや在宅勤務制度を整備した企業の割合が、2020年1月に実施した調査よりも約15ポイント増加した。電子契約を採用済みの企業は、2020年1月時点と変わらず約4割だった。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。