最近「Web分離」「インターネット分離」という言葉をよく耳にする。2015年に日本年金機構において標的型攻撃による情報漏洩が発生してから、企業の情報漏洩対策として仮想アプリケーションや仮想デスクトップを利用したインターネット分離が検討されることが多くなった。

どの企業においても、社内からインターネット接続を行う場合はファイアウォールで防御したり、プロキシーサーバを経由しないとインターネットが使えなかったりという対応はごく一般的だが、インターネット分離環境においては、企業内端末からは直接インターネットにアクセスさせない点が大きく異なる。

しかし、単にインターネット分離環境を導入するだけではセキュリティ対策として十分ではない。今回は、仮想化技術を活用したインターネット分離の潮流と標的型攻撃への応用について説明しよう。

なお、「Web分離」は厳密にhttpやhttpsというプロトコルだけを分離するわけではなく、広義のインターネットアクセス全般を分離する意図で使っている例がほとんどであるため、本稿では「インターネット分離」という用語に統一する。

インターネット完全分離

セキュリティを強固に保ちたいがインターネットへの接続は必要であるという場合、社内ネットワークとは完全に分離したインターネット接続環境を構築する。この環境でインターネットを使う場合、ユーザーはインターネットアクセス専用端末の前に移動して操作することになる。当然、1人1台という環境ではないため、自分が使いたい時に誰かが使っていれば、使い終わるのを待つことになる。また、データの受け渡しは主にUSBフラッシュを使う。

仮想化インターネット分離の潮流(1)

2~3年前より、こうしたインターネット完全分離環境から、仮想化したインターネット分離環境へシフトする事例が多く見られるようになった。

インターネットアクセス用の環境(=仮想化インターネット分離環境)はもちろん実在するのだが、仮想化インターネット分離環境で稼働するデスクトップあるいはアプリケーションの画面だけを企業ネットワーク内の端末に転送するというものだ。企業内端末を直接インターネットにさらす必要がないため、セキュリティを担保しつつ、ユーザーの利便性向上も期待できる。

仮想化インターネット分離環境の一般的なユースケースは以下となるが、それまで専用端末を共有して使っていたユーザーにとっては利便性も高くなる。

  • 社内システムへのアクセスは企業内端末のブラウザを使う
  • インターネットへのアクセスはインターネット分離環境のブラウザ(画面転送方式)を使う

IT管理者側の観点からも、インターネットアクセス用の端末が不要になることや、主にセキュリティ面で常に最新のブラウザを利用できるなど、メリットが大きい。

仮想化インターネット分離の潮流(2)

さらに最近では新しい流れとして、企業内端末から直接インターネットへアクセスできていた環境からインターネット分離環境へシフトする例が出てきている。

社内に残るレガシーシステムへのアクセスで古いブラウザを使わざるを得ない場合など、そのブラウザを使ってインターネットへアクセスするのはセキュリティ面でリスクが高い。仮想化インターネット分離環境を利用することで最新のブラウザを利用でき、社内システム向けブラウザとインターネットアクセス用ブラウザといった利用特性の異なるブラウザのライフサイクルを分離することができるようになる。

企業内端末から直接インターネットへアクセスできていた古い環境

インターネット分離環境へ移行した環境

ただし、このケースではユーザーの利便性が変わらない、もしくは利便性を落とさない工夫が必要となる。ユーザーはそれまで企業内端末から意識することなくインターネットを使えていたわけだが、インターネット分離環境になるとインターネットアクセスは分離環境からの画面転送方式に変わるから、ブラウザの使い分けや環境間のデータの受け渡しが必要になってくるためだ。

インターネット分離環境におけるデータ受け渡し

インターネット分離環境では、企業内端末との間のファイル共有の可否や方法がユーザーの利便性を大きく左右する。セキュリティ面だけを考慮するのであれば画面転送だけを行い、一切のファイル共有を禁止すればよいのだが、ユーザーの利便性が高いとは言えない。一方、双方向の自由なファイル共有を許可してしまうのはセキュリティ面から推奨されない。

企業内ネットワークとインターネット分離環境との間の唯一のデータ受け渡しポイントとなるため、主として以下のような観点を考慮してインターネット分離環境を構築するのが鉄則である。

  • どのようなデータの共有を許可するのか。
  • 誰にデータ共有を許可するのか。
  • どの方向のデータ共有を許可するのか。
  • どの程度の期間、インターネット分離環境にデータを保持するのか。

標的型攻撃への対応

どの企業においても情報漏洩対策は必須であるが、標的型攻撃の経路が主としてインターネットであることを考えれば、インターネット分離環境でも何らかの対応は必須である。

情報漏洩に対するインターネット分離環境における基本的な対応は、当たり前ではあるが、「機密情報をインターネット分離環境に配置しない」「インターネット分離環境からは社内に存在する機密情報へアクセスさせない」というものだ。

そして、インターネットを介してデータ交換を行うクライアント・アプリケーションをインターネット分離環境に配置することも重要だ。主なクライアントアプリケーションとしてはWebブラウザやメールアプリ、ファイル共有アプリがあるが、「誰が」「どのアプリケーションを」「どのような目的で」「誰とデータ交換を行っているのか」を明らかにし、インターネット分離環境への移行を具体化するのがよいだろう。

インターネット分離環境で動作させるWebブラウザについては、より強固なセキュリティ設定を行うことが必要だ。ブラウザのセキュリティ強化については、一般に公開されているベンチマークなどを参考に、必要な設定を実施する。

参考資料
https://benchmarks.cisecurity.org/downloads/browse/index.cfm?category=benchmarks.desktop.browsers https://www.citrix.com/content/dam/citrix/en_us/documents/white-paper/securing-the-published-browser.pdf

万が一、標的型メールやフィッシングサイトへのアクセスによってアンチウイルス・ソフトで検出できないような悪意をもったプログラムが送り込まれてしまった場合でも、最初にアクセスされるのはインターネット分離環境であり、社内環境の機密情報には直接アクセスできない。

最後に、仮想化されたインターネット分離環境ならではの対応策も考えられる。CitrixのProvisioning Services (PVS)やMachine Creation Service (MCS)、VMwareのLinked Cloneを利用することで、必要な時に環境をリセットすることが可能となる。短い周期で環境をリセットすることで、標的型攻撃に対してもある程度の予防が可能だ。

村田 友範(むらた とものり)

シトリックス・システムズ・ジャパン(株)
コンサルティングサービス部 シニアコンサルタント

多くのITインフラ構築プロジェクトに従事した後、シトリックス・システムズ・ジャパンに入社。
現在は仮想アプリケーションおよび仮想デスクトップのコンサルティングが主な業務となっている。Web分離のコンサルティングも多数担当。