セキュリティ対策市場には、ウイルス対策ソフト、振舞い検知、WAF、無害化ソリューション、Webフィルタリング、インシデント発生時対応訓練セミナー、標的型メール攻撃訓練パック、など様々な対策があります。ただ、セキュリティホールを狙うハッカーは常にテクニックを磨いており、対策をしては穴を狙われるといったまさにイタチごっこになっているのが実情ではないでしょうか。ITの世界では攻撃をする方が強いと言わざるを得ない状況です。
インターネット分離とは?
そこで、昨今ではインターネット接続を組織のイントラネットから切断して、インターネットを閲覧するためだけのネットワークを新たに構築しようといった対策が出てきています。攻撃は殆どインターネットから受けるので組織のイントラネットをインターネットからの脅威から守ることができるわけです。ただ、インターネットを分離することによる影響(デメリット)も当然あります。そこでデメリットを解消する方法を5つ本記事で纏めました。自治体では総務省の指示でインターネット分離をしていますが、その構築を行った経験を踏まえた内容となっています。
インターネット分離で考えなきゃいけないこと
利便性
インターネットを分離してインターネット接続系ネットワークを別に構築して運用していくことになります。今まで1つの環境で仕事ができていたのに、2つの環境をユーザーは利用することにるので、なるべく利便性を損なわない設計をしていくことが求められます。
主要な方法としては、3パターンあります。
パターン1:ブラウザ仮想化
ブラウザのみ仮想化して、既存環境から画面転送で利用する方法です。この方法は、コストが安く抑えられますが、インターネット接続を前提としてアプリが利用できないので、別途物理端末を数台用意する等の対応をする必要があります。また、ファイルの保存などブラウザ以外の機能が動作した場合を細かく設計する必要があります。
パターン2:OSの仮想化
インターネット環境をOSごと仮想化技術(VDI方式、SBC方式)で構築して、既存環境から画面転送で利用する方法です。この方法は、OSのライセンスやリソースの問題、管理工数の増大等、コストが高くなってしまいます。極端な話でいえば既存の環境を丸々もう一つ作るイメージです。ただ、インターネット接続が前提となっているアプリを個人毎に動作させたり、インターネット接続環境上でのファイルの編集等が可能となります。
パターン3:物理端末を整備
インターネットに繋がる物理端末を整備する方法です。単純で分かり易い方法です。業務系ネットワークとインターネット接続系ネットワークの2台の端末で仕事をするわけです。この方法の問題点は、置く場所の確保と配線の整備でしょうか。コスト的には端末のレベル次第ですが、パターン2よりは安く構築することができます。
インターネットとのデータ授受
インターネット接続が無くなった既存の環境でもインターネット上のデータが必要となることがあります。例えば、メールの添付ファイルだったり、サイトに置いてあるファイル等です。また、当然逆も出てきます。そこで、安全にデータ授受ができる設計をする必要がでてきます。
方法としては、2パターンあります。
パターン1:USBメモリの利用
古典的な方法ですが、USBメモリで2環境間でのデータ授受を行います。注意しなくてはならない事が、USBメモリを介したウイルスの混入です。インターネット接続系環境でウイルススキャンをする等して対応をする必要があります。
パターン2:データ授受ソリューションの利用
ネットワーク間を安全にデータ授受できるソリューションを利用する方法があります。有名どころでいくとFileZenやSmoothfile等といったソリューションがあります。ただ、まだキラーソリューションがあるわけではないので、検討時期で旬な製品をチョイスすれば良いと思います。
オンライン前提のアプリケーション
業務系ネットワーク上にインターネット接続を前提としているソフトウェアがある場合は厄介です。例えば、ライセンス認証をインターネット上で常にしているソフトや、地図データをインターネット上から取得するようなアプリです。対策としては、インターネット接続系環境に移行させるしかありません。設計段階では必ずピックアップしなくてはいけない重要なポイントです。
プリンター
プリンターについては、業務系ネットワークの既存プリンタでインターネット接続系からの印刷はできなくなります。そこでケースバイケースで考慮が必要となってきます。
パターン1:プリンタ新設
単純にインターネット接続系専用のプリンタを導入します。この場合は置く場所が困るのと導入費用が増えます。
パターン2:業務系ネットワークで印刷
割り切って、業務系ネットワークにインターネット接続系のデータを受け渡し、業務系ネットワークの既存のプリンターから印刷をする方法です。この場合は、プリンターを買う必要がなくコストを抑えられますが、とにかく面倒
パターン3:USBデバイスサーバを利用
USBデバイスサーバーを利用します。USBデバイスサーバーはUSB機器をネットワークを介して接続する事ができる優れものです。下図を見てもらうのが速いと思いますが、既存のプリンタにはUSB接続口が余っていると思いますので、USBデバイスサーバーにIPを設定してプリンターにUSB接続します。そうすれば、1台のプリンタから2環境の印刷が可能となるわけです。裏技的な方法ですが、かなり有効です。
WSUSやウイルス対策配信サーバの更新
WSUSやウイルス対策配信サーバー等のパッチ配信を行っているサーバーは、インターネットからデータを受け取っています。インターネット接続がされない場合は、どうするのか設計で決めておく必要があります。方法は組織の考え方で左右されると考えます。
パターン1:廃止
そもそもインターネット接続が無いからパッチの更新はやらないという方法です。論理的に考えればその通りですが、突き詰めて検討していくとUSBメモリからのウイルスが侵入した場合どうするんだとか、セキュリティーポリシーに違反するとか出てきます。これは組織の考え方の問題だと思います。
パターン2:手動更新
手動でインターネット接続系からパッチを取得して、手動にて業務系ネットワークにパッチデータを受け渡します。この方法はとにかく、運用工数がかかることです。定期的に人が更新を行わなければなりません。そして、配信サーバー分の費用が発生します。
まとめ
インターネット分離はハードルが高いです。コストも増加して利便性は低下します。ただ、安心感はだいぶあり、サイバーアタックのニュースが流れても我がイントラネット環境は大丈夫だとドンと構えてられます。細々ととセキュリティ対策をしていくのではなく潔くインターネットを分離するのは大変だけど安全なイントラネット構築の近道だと考えています。
コメント
コメント一覧 (1件)
[…] はやはり優秀だと思いました。インターネット分離で考慮する必要がある内容を下記の記事で纏めました。 最強のセキュリティ対策インターネット分離で考えなきゃいけない5つのこと […]