第5回のコラムでは標的型攻撃やマルウェアとは何か、そしてその具体的な被害事例をご紹介しました。第6回となる今回は、ユーザの利便性を損なわないセキュリティ対策である『ネットワーク分離』について解説します。
これまでのコラムでも触れていますが、当社では仮想デスクトップをワークスタイルに変革を促すツールの1つとして提案しています。それはなぜか?仮想デスクトップで使われる技術の大きな特長として、『クライアントPCと仮想デスクトップとの間のデータのやり取りを、画面情報とキーボード・マウス操作のみに制限できる』という点があります。この特長により、クライアントPC側にはデータの保存ができなくなり、社外利用で紛失などしても重要なデータが漏洩する危険性がなくなります。また、利用する端末はWindows PCにかぎらず、端末を選ばないBYODを実現できるのも特長です。これらが合わさることで、情報システム管理者も利用者も満足のいく、いつでも、どこでも、どんな仕事でもできる環境がえられ、ワークスタイル変革が実現されるようになります。今回ご紹介するのは、この特長を応用した『ネットワーク分離』のソリューションです。
図 1:仮想デスクトップ(概要)
第5回で解説した事例を踏まえ、DaaS/VDIを得意とする当社ができるソリューションはないか、と考えました。というのも、仮想デスクトップはセキュリティレベルが高いとはいえ、通常のPCと同様に直接インターネットを利用することが普通であり(図 2)、インターネット経由でのマルウェア感染リスクは拭い去ることができません。また、通常は基幹系ネットワークにアクセスできるNW体系のため、マルウェア感染後に踏み台にされ、情報漏洩するリスクもあり、これらを一気に解決する手段が必要と考えたのです。
図 2:一般的なインターネット接続環境
そんな時に思いついたのが『やり取りする情報を画面情報とキーボード・マウス操作のみに制限できる』という、仮想デスクトップ技術の特長です。この特長を応用し、インターネット利用専用ブラウザをVDI技術で提供することで、デスクトップ環境とインターネット環境を完全にネットワーク分離させました。(図 3)つまり、インターネット用と社内利用とでブラウザを分ける、というシンプルな対策をとったわけです。この対応をとることで、仮想デスクトップやPCからインターネットへと直接接続を行わなくなり、インターネットからのマルウェア感染を防げます。また、メール添付ファイルから感染した際も、インターネットと直接接続できないため、攻撃者からの不正アクセスやデータの不正アップロードも防ぐことができます。そしてこの対策の面白いところは、『利用者から見るとこれまでと全く変わらない』という点です。インターネット利用専用ブラウザはアプリケーション配信を使っているため、利用者はこれまで通りブラウザを起動するだけでインターネットへ接続することができ、端末や画面を切り替えるような煩わしさは一切ありません。
図 3:ネットワーク分離環境
情報セキュリティ強化策は、第5回で解説したとおり様々な対応が存在しますが、今回ご紹介した『ネットワーク分離』は既存環境を大きく変更させる必要のない、非常に効果が大きい対策となります。自社のセキュリティ強化にお悩みの皆様、一度ご検討してみてはいかがでしょうか?
※当ソリューションは標的型攻撃に対して非常に有効ですが、その他対策も検討し、万全の状態にすることを推奨いたします。
執筆:日鉄ソリューションズ株式会社ITインフラソリューション事業本部ITサービスソリューション事業部M³DaaS推進部 エキスパート木村 直樹
M³DaaSシリーズの詳細をご説明するカタログをご用意いたしました。M³DaaSを導入すると何が解決できるの?どのようなメリットがあるの?サービスの詳細は?という疑問に回答するカタログです。ぜひこの機会にご確認ください。
ダウンロード
