現在、サイバー攻撃による被害の深刻化は加速していることは周知に事実でしょう。一方、多くの企業でこうしたサイバー攻撃の増加に対しセキュリティ対策は後手に回り、被害を防ぐことができていません。また、今まで「狙われるのは大企業」と客観的立ち位置にいた中堅・中小企業においてもサイバー攻撃による被害が拡大し、既に人ごとではない状況まで達しています。
こうしたサイバー攻撃時代を生きる企業にとって今最も求められているのが、外部ネットワークから内部ネットワークを守るための仕組みです。そしてそれを守るのが“インターネット分離(Web分離)”というソリューションです。今回はこのインターネット分離(Web分離)の基礎について解説していきたいと思います。
インターネット分離とは
標的型攻撃やランサムウェアに代表されるようなマルウェアなどの攻撃の多くはインターネットを利用した手法で実行されています。例えばWebサイトを閲覧しただけでマルウェアに感染させたり、関係者になりすましたメールを介して感染させたりするなど、インターネットやメールを利用するだけで知らず知らずのうちにマルウェアに感染することもあります。
そして、多くの企業がセキュリティ対策を講じているにも関わらず、ハッカーとのイタチごっこなゆえに、インターネットに接続されている以上完全に防御することは難しいのが現状なのです。
そこで登場した概念や仕組みがインターネット分離(Web分離)ということになります。
インターネット分離とは言わば外部ネットワークと内部ネットワーク(LAN)を分離することにより、外部からの不正侵入やマルウェアによる内部システムへの影響を防止するためのセキュリティ対策です。内部犯行による情報漏洩事件を除いては、サイバー攻撃というものは一般的に外部ネットワークからの侵入、あるいはメールなどを起因とするマルウェア感染によって成り立ちます。さらに具体的に言えば、攻撃者は内部ネットワークへ侵入することで機密情報を不正入手したりシステムに重大な障害を引き起こしたりしているのです。
つまり、外部ネットワークから内部ネットワークを分離することができれば、攻撃者は内部ネットワークへ侵入することはできずセキュリティは保たれるという原理になります。
ちなみに、このインターネット分離という手法は、企業の機密情報や個人情報の流出を最小限に抑えるための対策として、IPAや日本政府(総務省、文科省、経済産業省等)からも、推奨されているセキュリティ防御の手法です。
インターネット分離は古くて新しいセキュリティ対策
インターネット分離が注目されだしたのはここ数年のことですが、実は“物理的な“インターネット分離に関しては以前から存在していました。
主に行政機関や金融機関においてインターネット専用ネットワーク&専用端末と業務用ネットワーク&専用端末を用意することで、外部と内部を物理的に分離していたのです。これならば攻撃者が外部ネットワークから侵入することは不可能であり、事実上最も堅牢なセキュリティ対策だったのです。
しかし、この“物理的な”インターネット分離にはいくつかの問題点がありました。インターネット専用端末を利用するために移動しなければならなかったり、業務上の必要性によりUSBなどで両方のネットワークに機密情報が存在してしまうケースが散見されました。こうした行為を禁止したとしても、業務上の必要性や利便性を求めるユーザーを完全に止めることはできません。また、これをシステム的に禁止しようとすると多大なコストと管理業務を生んでしまうため現実的ではないのです。
このように“物理的な”インターネット分離の課題を解決するように生まれたのが“論理的な”インターネット分離です。
仮想デスクトップを活用したインターネット分離
“論理的な”インターネット分離とはデスクトップやアプリケーションの仮想化技術を活用した手法です。インターネットにアクセスする必要があるブラウザやメールは、インターネット接続可能な外部セグメントで仮想アプリケーションや仮想デスクトップとして実行します。ユーザーは業務情報を扱う内部セグメントから、画面転送を通じてリモートで利用します。内部セグメントからはインターネットに接続できないように構成することがポイントです。
つまり、外部ネットワークと内部ネットワークは繋がっているものの、外部から内部へと転送するのは画面情報のみであるため、外部ネットワークにある仮想デスクトップや仮想アプリケーションが攻撃対象となったとしても、内部のネットワークやデータに影響を直接与えることがないのです。
このように仮想アプリケーションや仮想デスクトップを活用することで、物理的ではなく“論理的な”インターネット分離を行うことが可能になり、セキュリティ性を保ちつつ本来のメリットを引き出せるようになります。
多くの対策の中でインターネット分離が有効な理由
サイバー攻撃をブロックするためのセキュリティ対策なら様々な方法があります。しかしインターネット分離による対策は、そのどれとも違う対策が取れます。
例えば、インターネットに接続するアプリケーション(ブラウザやメール)を仮想化してインターネットに接続可能なセグメントで実行します。ユーザーは社内の環境でこれらのアプリケーションの画面だけをリモートで利用します。この状況でインターネットから何らかの不正なアプリケーションを実行してしまったとしても、社内の環境には画面転送だけを許可するため、社内のデータ等にアクセスすることはできません。また感染した環境も再起動等で元に戻す仕組みも備わっています。これは攻撃を防ぐのではなく、攻撃を受けることを前提としつつ、その被害を最小限にするための仕組みということになります。
ただ、注意点としては、インターネット環境と社内環境のデータのやり取りなど、業務上の要件がある場合には、安全にやり取りできる仕組みを合わせて用意するなどの検討が必要です。セキュリティの脅威に対する絶対的な対策はないので、様々な取り組みの中の一つとして位置付けていただくとよいでしょう。
Azure Virtual Desktop(旧Windows Virtual Desktop)で短かになったインターネット分離
仮想デスクトップや仮想アプリケーションを活用したインターネット分離が数年前に登場した頃、オンプレミスが圧倒的に多く、インターネット分離のためだけにわざわざラックをひとつ買い、複雑なソフトウェアやハードウェアを運用することが一般的でした。当然のことながらコストは大幅に高くなってしまうというデメリットもありました。
そして、今、マイクロソフトではAzure環境で簡単に仮想デスクトップや仮想アプリケーションのサービスを実現可能なDaaSである「Azure Virtual Desktop(旧Windows Virtual Desktop)(AVD)」を提供しています。つまり、クラウド環境を活用したインターネット分離が簡単に、それも安価に始められる状況が整ったのです。
まとめ
いかがでしたでしょうか?なぜインターネット分離がここまで注目されているのかを分かっていただけたのではないかと思います。徐々にニーズが拡大している“古くて新しい”インターネット分離は、今後もセキュリティ対策の一つとして注目される存在です。また、Azure Virtual Desktop(旧Windows Virtual Desktop)(AVD)の登場でより簡単にインターネット分離を実施できる環境が整いました。
仮想デスクトップを活用したインターネット分離は、セキュリティのインシデントが経営に大きなインパクトを与える大企業やリソースが限られている中堅・中小企業にとってはサイバー攻撃から内部ネットワークを守るための有効的な対策となるでしょう。
今後もインターネット分離に注目し、仮想デスクトップの導入をぜひ検討していただきたいと思います。
