仮想セキュリティルームの5つの情報漏えい対策

公開日: 公開日：2019年02月13日（水）
更新日: 更新日：2026年04月28日（火）
カテゴリー: リモートアクセス環境

タグ: #サイバー攻撃; #エンドポイントセキュリティ

こんにちは！クライアント仮想化製品を担当している長谷川ひとはです。
昨年も多くの個人情報漏えいの事故がありましたね。毎年頻発するセキュリティ事故を受けて、安全対策の施されたセキュリティルームでの個人情報や機密情報の取り扱いを検討する企業が増えてきているようです。しかし、セキュリティルームの設置には物理的なスペースの確保が必要だったり、業務が非効率になったりするなどのデメリットがあります。
そこで、考え出されたのが仮想セキュリティルームです。仮想セキュリティルームは、物理的なセキュリティルームと同等の安全対策を仮想環境で実現できます。しかしながら、本当に仮想環境で同等のセキュリティを実現できるのか？少し不安になりますよね。そこで今回は、物理的なセキュリティルームと仮想セキュリティルームを比較しながら、そのセキュリティの高さをご紹介します。

仮想セキュリティルームとは？

物理的なセキュリティルームは、物理的に隔離された部屋で個人情報や機密情報を取り扱います。それに対して、仮想セキュリティルームは、個人情報や機密情報を仮想デスクトップ上で取り扱います。業務で利用している物理PC上では個人情報や機密情報を取り扱わず、様々なセキュリティ対策が施された仮想デスクトップ環境でのみ取り扱うのです。そうすることで、物理的なセキュリティルームと同等のセキュリティ対策を、既存システムへの大幅変更の手間をかけることなく、迅速に導入することが可能です。また、作業場所には物理的な制約がありませんので、遠隔地からの操作も可能です。

仮想セキュリティルームのイメージ

仮想セキュリティルームと物理的なセキュリティルームの比較

仮想セキュリティルームの情報漏えい対策には、物理的なセキュリティルームの考え方が反映されています。2つのセキュリティルームを比較しながら、５つの情報漏えい対策をご紹介します。

①【利用者の管理】入退室の管理台帳とユーザー認証

利用者の管理とは、セキュリティルームに部外者が侵入しないように、出入りの記録を厳密にとる対策のことです。

物理的なセキュリティルームの場合

セキュリティルームのドアに、電気的に管理できる電気鍵を設置し、ID認証で許可された者のみが入室できるようにします。IDで認証することで入退室した人のID一覧などを記録することができ、各IDの入退室の時間の管理も可能です。

仮想セキュリティルームの場合

仮想デスクトップ利用時には、必ずユーザー認証を行い、許可された者しか仮想デスクトップにログインできないようにします。ICカードやワンタイムパスワードなどの多要素認証や利用のたびに都度申請・承認する仕組みを取り入れれば認証強度を向上することも可能です。また、利用履歴はログとして改ざん不可能なかたちで取得されます。

②【操作記録】監視カメラと動画ログ

セキュリティルーム内での作業を記録するために、監視カメラの設置は必須です。心理的に犯罪を抑制することはもちろん、万が一セキュリティ事故が発生したときのために、証拠を残すことができます。

物理的なセキュリティルームの場合

部屋の中に動画を記録するカメラを設置し、作業している状況を記録します。

仮想セキュリティルームの場合

仮想デスクトップ上のすべての操作を動画ログに残して記録します。

③【利用範囲の制限】物理的な分離と仮想デスクトップによる分離

機密情報の種類により、誰がどの情報を扱えるのかを制御する対策です。

物理的なセキュリティルームの場合

情報の種類別に取り扱う物理PCを分け、物理PCごとにログインできるユーザーを制御します。もしくは部屋を分け、部屋ごとに入室できる者を制御します。

仮想セキュリティルームの場合

情報の種類別に取り扱う仮想デスクトップとネットワークセグメントを分け、仮想デスクトップごとにアクセスできるユーザーを制御します。

④【情報の持ち出し制御】物理的な持ち出し防止措置と実データが外に出ない仮想デスクトップ

セキュリティルーム内で取り扱う情報は、外部に持ち出せないように制御します。

物理的なセキュリティルームの場合

個人情報を扱う物理PCから外部メディアに書き出せないようにUSBなどの接続ポートを物理的に利用不可能にします。また、PC自体が持ち出されないように、ワイヤーなどで固定しておくことも対策となります。

仮想セキュリティルームの場合

仮想デスクトップから操作端末へ送られるのは画面情報のみで実データは移動せず、実データを端末側へ意図的にコピーすることも禁止します。

⑤【ネットワーク分離】物理分離と論理分離

別の業務ネットワークやインターネットとの接続を制限することにより、マルウェア感染やインターネットへの情報漏えいを防止します。

物理的なセキュリティルームの場合

物理セキュリティルーム内で独立したネットワークを構成し、別のネットワークセグメントやインターネットとは接続しません。

仮想セキュリティルームの場合

ネットワーク機器（VLAN）により、別のネットワークセグメントやインターネットへとの通信を制御します。

まとめ

情報漏えいが発生すると、企業は信頼を失う可能性があります。「機密情報や個人情報のセキュリティは高めたいが、物理的なセキュリティルームは導入のハードルが高い」と思っている方は、同等のセキュリティレベルが実現できる仮想セキュリティルームも検討してみると良いかも知れません。

仮想セキュリティルームを実現するクライアント仮想化製品「Ericom」に関するお問い合わせはこちらから