日本の多くの自治体が採用する「インターネット分離」「Web分離」とは――課題や新たな方式、VDIとの違い:テレワーク時代のWeb分離入門(2)
VDI代替ソリューションの分類や、それぞれの仕組み、検討ポイントなどを解説する連載。今回は、Web分離の概要や課題、新たな方式、VDIとの違いについて。
自治体のセキュリティ対策を参考にしてみませんか?
インターネット分離(Web分離)は自治体のネットワークで広く導入されているアーキテクチャであり、情報漏えい対策としては非常に有効な手段です。また導入から一定の年月がたっていて課題も見えてきているので、利便性、安定性、そしてコスト面でも優れた後発製品が市場に多く登場してきており、自治体だけではなく民間企業でもWeb分離を検討しやすい状況になってきているといえます。
そこで今回は、自治体の取り組みから見えてきた課題と、その課題を解決すべく登場してきた新しい方式の解説を通して、自治体はもちろん、民間企業のセキュリティ担当者にとっても次期ネットワーク検討の一助になるような情報をお伝えしていければと思います。
※以降の各方式の説明で用いる図に登場するアイコンの意味は下図の通りです。
インターネット分離(Web分離)とは何なのか
まず、Web分離を理解するために参考となる文書として、総務省のガイドラインがあります。これは自治体向けに作られたものですが、考え方などは民間企業のネットワークにも十分応用できるので、目を通してみてはいかがでしょうか。
- 参考情報:総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」
Web分離を一言で表現すると、「漏えいすると困る大事なデータはインターネットに接続していないネットワークに隔離してしまおう」というものです。具体的には、もともと1つのネットワークを、以下の2つのネットワーク系統に分離する構成を指します。
- インターネットに接続しているオープンなネットワークの系統(※下図「社内LANオープン系統」)
- インターネットに接続していないクローズドなネットワークの系統(※下図「社内LANクローズド系統」)
しかし、インターネットが利用できないと、「必要な情報を調査できない」「メールを送受信できない」といったように業務に支障が出てきます。従って、Web分離のアーキテクチャとしては、社内ネットワークを大きく「2種類の系統」に分離した上で、「必要な通信」のみ、両ネットワーク系統間で転送を許可する形になっています。
先述のガイドラインによると、「必要な通信」とは、主に以下の3つの通信だと定義されています。
- 無害化されたメールの送受信
- 無害化されたファイルの転送
- 画面転送通信
本稿では、このうちの「画面転送通信」について、とりわけWeb通信の分離(Web分離)について取り上げます。
Web分離における画面転送のイメージ
Web分離における画面転送のイメージをつかむため、ベーシックなパターンとなる仮想デスクトップ方式(VDI方式)を例にして解説していきます。
PCが配置されているネットワーク系統とは異なる系統にVDIを設置して、PCとVDIの間で画面転送通信を行う形です。
Web分離の課題と、次のカタチ
日本のほとんどの自治体ネットワークでは既にWeb分離の導入が完了しており、課題も顕在化しています。その課題とは、利便性の低下です。
具体的には、以下のような課題が挙げられます。
- Webブラウジングしたいとき、VDIなどのシステムに都度ログインする必要がある
- 1つのモニターの中で、異なる系統の画面を使い分ける必要があるので、混乱する
- ファイルの無害化処理に時間がかかり、生産性が大幅に低下している
- 無害化されたファイルが壊れてしまう場合がある
- メールの配送経路が複雑過ぎて、不具合発生時から復旧まで時間がかかってしまう
- 運用項目が倍増し、高度なスキルが必要となるので、運用コストが増大してしまう
こういった課題や時代の要請などに対応するために、自治体においては、次期ネットワークのアーキテクチャとして、通称「βモデル」と呼ばれる新しい形態が提示されています。
- αモデル:手元PCをクローズドなネットワーク系統に配置するモデル
- βモデル:手元PCをオープンなネットワーク系統に配置するモデル
- 参考情報:総務省「自治体情報セキュリティ対策の見直しのポイント」
今回は、従来型であるαモデルの課題の一因「VDIの欠点」を改善するために登場してきたVDI代替ソリューションについて解説します。「VDI代替ソリューションが、なぜVDIの欠点を改善できるのか」がポイントです。
仮想ブラウザ方式
VDIを導入してみたけど「使いにくい」「ライセンスの維持費用が高くてコストを削減したい」といった声が増えてきました。そうした中で最近注目の方式が仮想ブラウザ方式です。仮想デスクトップ方式のブラウザしか利用できない版というイメージです。
この方式は仕組みの観点で、さらに次の2つのタイプに分類できます。
- 画面転送型
- Web無害化型
画面転送型
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
テレワーク方式を8つに分類し、それぞれの特徴を解説 総務省がテレワークセキュリティに関する手引きを公表
総務省は、テレワークを実施するに当たって最低限のセキュリティを確実に確保するための手引き「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」と、設定内容を解説する資料を公表した。
今の境界防御セキュリティは古くて無駄になる?――テレワークをきっかけに始めるゼロトラスト導入、3つのポイント
アイティメディアは2020年9月7日にオンラインで「ITmedia Security Week 秋」を開催した。本稿では、ラックの仲上竜太氏の特別講演「ニューノーマル時代のゼロトラストセキュリティのはじめ方」を要約してお伝えする。
コロナ禍でプライバシーマークとISMSが注目される? JIPDECとITRが「企業IT利活用動向追跡調査2020」の結果を発表
JIPDECとITRが実施した「企業IT利活用動向追跡調査2020」によると、テレワークや在宅勤務制度を整備した企業の割合が、2020年1月に実施した調査よりも約15ポイント増加した。電子契約を採用済みの企業は、2020年1月時点と変わらず約4割だった。