機密情報のセキュリティに関する、こんなお悩みはありませんか
これらのお悩みを解決する「ネットワーク分離」
ネットワーク分離はセキュリティ効果は高いが、利便性が低がる? コストは?
「ネットワーク分離」とは、顧客情報などの機密情報を扱う「基幹系ネットワーク」と、インターネットに接続してWebサイト閲覧やメール送受信などを行う「情報系ネットワーク」を分離する手法です。機密情報から、外部につながるルートを断ち切ることで、情報漏洩・改竄、ウイルス感染などを防ぐセキュリティ対策です。「インターネット分離」や「Web分離」と同義です。
総務省 や 独立行政法人 情報処理推進機構(IPA)は多重のセキュリティ対策が必要とした上で、その一つの手法としてネットワーク分離を推奨しています。
ネットワーク分離は従来から金融機関や自治体で広く導入されてきましたが、サイバー攻撃の巧妙化をきっかけに、その他の企業や組織でも導入が進みました。
セキュリティレベル・利便性・コストのバランスがポイント
従来は、ネットワーク分離を導入すると、非常に効果的なセキュリティ対策である反面、“高額で利便性が低下する” という課題がありました。
機器を増設して使い分ける、あるいは高度な通信制御が必要、その上ファイルの受け渡しが非常に面倒でした。
しかし現在では、機密情報を守りつつ、それまでの通信環境に近い利便性を保つ手法やシステムがたくさん開発されています。
導入を検討する際には、セキュリティレベル・利便性・コストのバランスを考えて選定することが重要です。
日興通信は、お客様の方針やネットワーク環境、端末台数をヒアリングし、最適な方式をご提案をします。将来も見据えた段階的・発展的なシステム提案もいたします。
組織に合う最適なネットワーク分離をご提案します
分割方法は様々。運用方法や、セキュリティシステムとの連携などもご相談ください
ネットワーク分離を実現する方法は様々あります。ここでは、その代表的な「物理的分離方式」と「論理的分離方式」を紹介します。
導入するにあたっては、セキュリティを優先するか、利便性を優先するかは重要な課題です。コストも含め、組織に合った方式を選ぶことが大切です。お気軽に日興通信にご相談ください。
●物理的分離方式
インターネットを利用する「情報系ネットワーク」と、機密情報を扱う「基幹系ネットワーク」を物理的に分けてセキュリティを向上させる方法。
メリット
○ 外部につながるルートを物理的に完全に断ち切っているため、強固なセキュリティ対策になる。
デメリット
× インターネット接続用の端末とそうでない端末の2台が必要になるため、業務の利便性が大きく低下する。
例えば、基幹系ネットワークで業務中にメールやWebサイト閲覧などインターネット接続が必要になった場合、
もう一方の端末に移って作業をしなければいけない。
× 機器が増えるため、コストがかさむ。置き場所も必要。端末やネットワーク機器の維持管理も増加。
× 組織内でデータの共有や受け渡しが難しくなる。
●論理的分離方式
論理的分離はネットワークを物理的に分けず、通信の制限などにより、1台の端末で論理的にネットワークを分ける方式。実現する方法は様々です。
メリット
○ 1台の端末でインターネットと基幹系ネットワークにアクセスできるため、利便性を損なわない。
○ 1台の端末で済むため、端末管理の手間を軽減する。
デメリット
× ネットワーク同士の通信を厳密に制御する必要があるため、通信設定の最適化や徹底的な管理が必要。
通信設定を誤ると安全性が損なわれる可能性がある。
× 方法によっては高コストになる。
- デスクトップ仮想化(VDI)による分離方式
通常、端末で行う業務をサーバ上で実行し、端末にはその結果の画面だけが送られる仕組み。データは端末に保存されることがなく、万が一端末が攻撃を受けた際の影響を最小限に抑えられる。
ハイスペックなサーバが必要で、コストが小さくないのがデメリット。
- セキュアブラウザによる分離
端末内の隔離された領域で動作する、セキュリティ機能を持つ特別なブラウザを利用する方式。
セキュアブラウザ経由で操作したデータは端末内に残らず、また持ち出すこともできない仕組みのため、シンプルなネットワーク分離(端末内分離)環境が実現できる。
- Web無害化
Webサイトを仮想サーバやコンテナのみで閲覧を行い、その画面のみをユーザーの端末に転送することで、ウイルスが端末に侵入するのを防ぐ仕組み。
快適な速度でブラウジングできなかったり、組織内でデータ共有が難しく、安全にデータ転送を行うには、ファイル転送システムやファイル無害化などのオプションを追加しなくてはならない場合がある。
ネットワーク分離ソリューション ラインナップ
当社では、物理的分離方式、論理的分離方式のいずれもご提案が可能です。下記は取扱ソリューションの一例です。
- 手軽に・安全にオフィスのPCをリモート操作 (デスクトップ仮想化)
― 『SKYDIV Desktop Client』 Sky社
サーバ上の仮想デスクトップでインターネットを利用し、クライアントPCには画面転送のみ。インターネット接続環境を分離してセキュリティを強化し、リモートワークも安全に行えます。
一般的なシンクライアントシステムは高度な技術とコストが必要ですが、当システムはWindows Server管理者であれば誰でも操作でき、比較的コストも抑えられ、導入しやすいVDIシステムです。
SKYDIV Desktop Client(Sky社)
- 安全・シンプルにWebにアクセス (実行環境分離方式)
― 『Soliton SecureGateway』『Soliton SecureBrowser』 ソリトンシステムズ社
端末内の隔離領域で動作するセキュアブラウザ『Soliton SecureBrowser』と、認証ゲートウェイ『Soliton SecureGateway』との組合せで、大掛かりなシステムを導入することなく、シンプルにインターネット脅威の分離を実現します。ファイル転送装置と連携すれば、インターネットからのファイルの取込みが安心かつ簡単です。
Soliton SecureGateway、Soliton SecureBrowser(ソリトンシステムズ社)
- 画面転送型の高い安全性を確保しつつ、操作性を向上した仮想ブラウザ方式
― 『RevoWorks SCVX』 ジェイズ・コミュニケーション社
ユーザー端末から『SCVX』サーバに接続するとユーザーごとにコンテナ(仮想領域+Webブラウザ)が生成されます。コンテナで動作するブラウザは、その画面イメージだけがユーザーPCに転送されます。ブラウザを閉じるとコンテナが自動消滅するため、万が一、コンテナ内が感染してもサーバに感染させません。
RevoWorks SCVX(ジェイズ・コミュニケーション社)
- Webセキュリティ機能を統合したクラウド型サービス(Web無害化方式)
― 『IIJセキュアWebゲートウェイサービス』 インターネットイニシアティブ社
セキュアブラウジング、Webフィルタリング、アンチウイルスなど、優れた機能を組合せ、安全性を強化します。
セキュアブラウジング*(オプション)では、クラウド上でWebコンテンツを無害な描画情報に変換して表示します。従来のブラウザを使い、使い勝手はそのままでインターネット分離を実現。
クラウド型サービスのため、ハードウェア・ソフトウェアの導入が不要。導入コストを抑え、短期間での導入が可能です。
*Menlo Security社の技術を採用しています。
IIJセキュアWebゲートウェイサービス(インターネットイニシアティブ社)
ネットワークのことなら、日興通信にご相談ください
お客様のご要望をお伺いしながら、最適なネットワーク環境はもちろん業務システム、IT機器までトータルにご提案させていただきます。
