利便性を損なわない メンロの分離技術で行政情報を守る

「三層の対策」が求められる自治体のセキュリティにおいて、総務省は新たにβシステムを提示した。この新しいしくみは、業務端末でマルウェアの侵入リスクが高まる可能性を抱えている。その課題を解決するのがメンロのインターネット分離技術、アイソレーションだ。

αモデル、
βモデルが抱える課題

マクニカは、世界中から卓越したセキュリティ商材を発掘し、セキュリティリスクの調査をしたうえで運用まで一気通貫で支援ソリューションを提供している。「幅広い製品をそろえており、自治体の要望に合う構成で分離の仕組みを提案することができます」とマクニカ ネットワークスカンパニーの高橋聖矢氏は話す。

マクニカ ネットワークスカンパニー
第2営業統括部 第6営業部 第2課 高橋 聖矢氏

現行の自治体セキュリティは、総務省が5年前に策定したガイドラインに基づく「三層の対策」によりインターネット接続系と機密性の高い情報を取り扱う領域を分離した結果、インシデント数の大幅な減少を実現した。ただ、従来の「αモデル」では「物理分離により職員が日常的にインターネットを利用できず、利便性が低下している」「SBCの仕組みでは複数の端末からのアクセスが一つのサーバーに集中するため負荷がかかり、立ち上げに時間がかかる」「ハードウェアやサーバー構築・運用によるコスト増加」などの課題を抱えている。

こで総務省は2020年5月、「三層の対策」において自治体内の情報ネットワークの分離・分割による事務効率が低下していることをふまえ、マイナンバー利用事務系については「他の領域との分離は維持される」「国が認めた特定通信に限りオンライン化」とする一方、LGWAN接続系とインターネット接続系は「より効率性利便性の高いモデル」として「新しいモデル」(βモデル)を提示。βモデルでは三層分離の考え方を維持しながらも、効率性、利便性を向上させた。ただ、一部の行政情報は分離対象外となるため業務端末においてマルウェア侵入リスクが高まるという問題を抱えている。

ユーザビリティと
セキュリティを両立

そこで同社が提案するのが、従来と同等のセキュリティを担保し、より利便性と使いやすさを向上したクラウド型のソリューションであるメンロ・セキュリティ社のアイソレーション技術による分離だ。クラウドサービスのため従来の論理分離で必須だったサーバー保守などの負担がなくなるだけでなく、トラフィック増加に応じたオートスケール機能を搭載しているので通信のひっ迫が生じない。

図1 インターネット分離手法の発展と進化

インターネットと機密情報を切り離すインターネット分離の手法は「アイソレーション」へと移行し始めている

 

また、一般の仮想ブラウザの立ち上げは時間がかかるほか、閲覧画面崩れ、通信の遅延などが問題だが、Webアイソレーションではいつものブラウザを起動するためそうした問題が生じない。Webサイトの閲覧では特許を取得したレンダリング技術を利用することで通常のブラウジングと同じ使用感で閲覧でき、一般的な仮想ブラウザではできないコピー&ペーストも可能だ。ドキュメントファイルの閲覧時には中継ファイルサーバ不要で、ブラウザ上で無害化して表示する。オリジナルをダウンロードする場合も、スキャンをするため、最低限の安全性は担保される。ただし、オリジナルのリスクはゼロではないため、このダウンロードは禁止することも可能だという。

「αモデルを継続する自治体が多いと思うが、メンロのアイソレーション導入をすることで利便性向上、コスト削減のメリットがある。βモデル でもマルウェア感染防止の取り組みは必要で、アイソレーションがユーザビリティの高いインターネット分離を実現する」と高橋氏。

自治体においては現在3つの構成例を展開している。まず「SaaS版を利用したインターネットへのアクセス」だ。「クラウド利用による仮想基盤運用の負荷軽減」がポイントとなる。2つ目は「自治体セキュリティクラウド側での構築・運用」で、保守セキュリティサービスをオプションで提供することも可能。「市区町村のセキュリティ水準を統一管理できることがポイント」だ。3つ目が「インターネット接続系環境にアイソレーションを構築」で「既存の環境を踏襲したネットワーク構成ができるのが特徴」という。

クラウド上の仮想コンテナが
セキュリティの脅威を収束

メンロ・セキュリティは、2013年シリコンバレーで創業。16年より日本で事業を展開し、400社以上に導入実績がある。とくに20年に発表した「DISA」は米国国防情報システム局にクラウド型インターネットアイソレーションを提供し、国防総省のネットワークとインターネットを分離。最終的に全世界の350万人の軍人が利用することになる。

従来のWebアクセスは、ユーザーがブラウザを操作しWebにアクセス要求すると、サイトからは全アクティブコンテンツがブラウザにダウンロードされる。「その際、万が一攻撃がセキュリティ製品をすり抜けるとPCは感染してしまいます」と、メンロ・セキュリティ・ジャパンのセールスマネージャー、永井正睦氏は指摘する。

これに対しメンロのアイソレーションでは、Webアクセス要求は同じだが、クラウド上の仮想コンテナがクライアントの代わりにWebサイトにアクセスし、アクティブコンテンツを取得する。「WEBサイトのアクセスコンテンツは弊社内で読み込み、実行、表示されることになります。顧客のブラウザにはレンダリングされた情報のみを表示するので、万が一脅威等がダウンロードされても弊社のクラウド上のコンテナ内で収束し、顧客のPCが脅威にさらされることはありません」。

他社にもインターネット分離をするソリューションはあるが、メンロならではの特長として永井氏は3点を強調した。まず「迅速かつ簡易な導入」だ。「SaaSモデルによって提供されるため、エンドポイントソフトウェアやアプライアンスなどの導入なしに、プロキシ接続先を変更するのみで導入可能。管理負荷も大幅に低減する」という。2つ目が「ユーザーの操作感を失わない」ことだ。「画面転送ではなく、特許取得済みのレンダリング技術により操作性を失うことなく利用できる」という。3つ目が「インターネット脅威対策に最適化されたソリューション」だ。「脅威の入口となるWEBアクセスおよびメールの二つを分離することでインターネットからの脅威を排除できます」とメンロの優位性を強調した。

図2  検知に依存しないインターネット分離の仕組み(RBI)

端末とクラウドの間に仮想コンテナを置くことで、インターネットの情報を利用しつつ、端末を守ることができる

 

 

お問い合わせ先


株式会社マクニカ
E-MAIL:menlo-sales@macnica.co.jp
URL:https://www.macnica.co.jp/business/security/manufacturers/menlosecurity/municipality.html

この記事に関するお問い合わせは以下のフォームより送信してください。