Ericom社 CEOが語る
インターネット分離の新製品「Ericom Shield」の魅力とは

2017年11月2日、アシストはインターネット分離の新製品「Ericom Shield」 を国内で発表しました。「Ericom Shield」は、インターネットWebコンテンツの実行を100%エンドポイントから分離することによってWebからのマルウェア感染を防止する、リモートブラウザ分離ソリューションです。

国内発表と同時にEricom社の社長、Joshua Behar氏が来日し、「Ericom Shield」の魅力を語りました。世界的に注目されているインターネット分離ソリューション。数あるソリューションの中でも「Ericom Shield」を選択する理由とは何か？「6つのポイント」で解説します。

大規模な情報漏えい、ランサムウェア、毎日のようにこれらのサイバー攻撃被害のニュースを耳にします。私も企業のCEOとして、自分たちがサイバー攻撃被害に合うかどうかではなく、いつサイバー攻撃が発生し、どれだけの被害を被るだろうかと考えてきました。

サイバー犯罪者は私達のワンクリック先にいます。フィッシングメールのリンクをクリックしたり、改ざんされたWebページを閲覧するだけで、組織内ネットワークにあるエンドポイントは簡単にマルウェアに感染してしまいます。組織内ネットワークには守るべき顧客や社員の情報、業務継続に必要な重要なシステムがあります。今まで積み上げてきたものが1通のメール や、 1回のクリックによって、台無しになってしまう可能性があるのです。

我々はこれまで、社内のITを守るため、セキュリティ対策として多層防御を実践してきました。ファイアウォール、IPS/IDS、アンチウィルスや高度な振る舞い検知製品などです。しかし、これらの対策を取っていながら、被害を防ぐことができていません。組織内ネットワークへのマルウェアの侵入の8割以上がインターネット経由です。現在はこれらの攻撃からは免れられない前提で、攻撃を察知して被害を未然に防いだり、被害を最小化することが大事だと言われています。しかし、被害が生じる前に攻撃を検知するのは難しく、ネットワーク監視サービス事業者や警察機構からの指摘で初めて気づき、しかもすでに大事な情報は盗まれた後だったという話ばかりを耳にします。実際に被害にあった組織はセキュリティ対策を怠ってきたわけではありません。多層防御を実践し、従業員にセキュリティ教育を実施し、ネットワーク監視サービスも使ってきました。

このように万全に思える対策を実施しつつもなお被害を受けるという現実を直視し、世界的に注目されているのが脅威の分離（アイソレーション）、つまりインターネット分離です。

インターネット分離は組織のネットワークを直接インターネットと接続させず、攻撃者と組織ネットワークの間にエアギャップを作ることによって、攻撃を防止する入り口対策と、情報をインターネット側に盗まれるのを防止する出口対策の意味があります。

しかし、組織内ネットワークの安全性が飛躍的に向上する一方で、Webのブラウジングやメールはできなくなります。明日からインターネットの利用は禁止と言われても困りますよね？そこで、内部ネットワークとは別のインターネット利用専用のネットワークを作り、その中でブラウジングやメールをすることになります。このアプローチは政府や重要インフラ、金融機関など、ビジネスクリティカルなシステムや情報を扱う企業で実践されてきました。

しかし、インターネット分離には課題があります。まず、多額の費用がかかります。業務も分断され、業務効率も低下します。そして、シャドーITのリスクも生じます。

業界をあげてインターネット分離を実施したのが日本の自治体です。総務省の主導の元、インターネットと業務ネットワークの分離、重要データを扱う時の認証強化、インターネットへの出口の集約などを全ての自治体で実施しました。

業務の継続性を確保しながらインターネットを分離し、コストを押さえ、効率の低下を防止する、この難題に対して自治体が導き出した答えが「無害化（サニタイズ）」というアプローチです。検知型のセキュリティ対策では良し悪しを判定し、悪いものをはじき出します。警察の検問に例えると、問題がなさそうな人は通し、指名手配犯は捕まえ、行動のおかしな人は職務質問して悪い人かどうかを確かめるということです。腕利きの警官でも犯罪者を取り逃すこともあるでしょう。一方、無害化では、良し悪しは判断せず、一律で脅威を分離し、取り除きます。全員がクリーンルームに入る前に防護服とマスクを着用するのと同じことです。その人が汚れているかどうかの判断はしません。この一律的な無害化処理によって確実な脅威の分離が可能になります。

無害化には3つの種類があります。Web無害化、メール無害化、ファイル無害化です。これらの無害化の中核となるのがクライアント仮想化やVDIソリューションで使われる「画面転送」を応用したWeb無害化です。業務ネットワークとは分離されたネットワークのリモートサーバ上でエンドポイントの代わりにブラウザを実行し、結果の100%無害な画面のみをエンドポイントに転送してエンドポイントと業務ネットワークを守ります。この仕組みによって、メールやドキュメント内のリンクをクリックして危険なWebサイトを閲覧しても、Webコンテンツはリモートサーバ上のブラウザで実行されるため、脅威の侵入を阻止できます。マルウェアとC&Cサーバとのバックドア通信も画面転送が間に入ることで遮断してくれます。マルウェアは内部に侵入後も感染拡大や情報搾取の際にインターネットと通信を必要とするため、インターネット側との通信に必ず画面転送をはさむことで攻撃を無効化することができるのです。

様々なWeb無害化のソリューションが登場してきていますが、より良いソリューションを選ぶためのポイントを6つあげたいと思います。

1．ユーザーの使い勝手が良いか
　　　使い勝手の悪いソリューションはユーザーの支持を得られず形骸化します。

２．「リモート」で分離するか
　　　エンドポイントで仮想マシンを動かしてその中でブラウジングを実行するソリューションもありますが、
　　　物理的な分離やネットワークセグメントが分けられていなければリモート分離よりも感染リスクが高く、
　　　仮想マシンを実行するための高い処理能力が求められます。

３．ブラウザ実行サーバとしてLinuxプラットフォームを利用できるか
　　　Windowsのライセンスコストを下げたければ、Linuxへの対応は必須です。

４．どのようなデバイスでも利用できるか
　　　サポート対象のデバイスが限定されていては、様々なデバイスを利用する組織のリモートブラウザ
　　　ニーズを充足しきれません。

５．分離レベルが高いか
　　　サーバ上でWebコンテンツを実行する際に、分離レベルが低いと、他のセッションに脅威が及ぶ可能性が
　　　あります。また、Webセッションの実施後はマルウェアの拡大を防止するため、実行環境をクリアする
　　　必要があります。

６．CDR（Content Disarm & Reconstruction）との連携が可能か
　　　インターネット側のドキュメントを組織内ネットワークに取り込む際にどのように脅威を取り除くか。
　　　確実な方法としてCDRがあります。リモートブラウザソリューションにCDRが付属しているか、
　　　別売りでインテグレーションが必要なのか、これが導入コスト、リスク、ユーザーの使い勝手に
　　　関わってきます。

（その他）セキュアブラウザというものもありますが、名前にセキュアとついているだけでブラウザがセキュアになるわけではありません。セキュアブラウザ自体にも他のブラウザと同様に脆弱性のリスクはあります。エンドポイントのOS上で実行されている分、分離ソリューションに比べてリスクは高いと言わざるを得ません。

このようなリモートブラウザ選定のポイントを提示しましたが、「Ericom Shield」​は全てのポイントを満たした製品です。

「Ericom Shield」の基本的な仕組みは以下のようになっています。

「Ericom Shield」には、以下の特徴があります。

　・ブラウザを画面転送のクライアントとして使えるため、どんなデバイスでも利用でき、
　　エンドポイントに何もインストールする必要が無いこと。

　・ブラウザの「タブ」レベルで分離する唯一の製品であること。　

　・CDR機能としてVOTIROをビルトインしていること。

　・IE専用サイトを閲覧できるShield IEがオプションで利用できること。

　・導入が簡単で、運用やシステムの拡張も簡単なこと。

　・「Ericom Shield」の仕組み自体がセキュアであること。

リモートブラウザのソリューションは今後、ファイアウォールのように組織のITにとって当たり前の存在になっていくと信じています。

「Ericom Shield」は私達がクライアント仮想化市場で培ったコア技術が存分に活かされています。画面転送アクセラレーター、HTML5ブラウザのRDPクライアントといったところです。Ericom Shield自体は新しい製品ですが、そのコアテクノロジーは既に実証済みで成熟しています。Ericom社はシンプルネスを非常に大事にしており、セキュリティを飛躍的に向上させつつ、比類のないリモートブラウジング体験を提供します。

セキュリティ対策は今までユーザーの利便性を犠牲にして成り立ってきました。「Ericom Shield」はユーザーの利便性を落としません。

日本のユーザーにも、かならず「Ericom Shield」のソリューションが受け入れられると確信しています。

Ericom Shieldついて詳しく知りたいお客様向けに、「Ericom Shieldの紹介資料」や、「Ericom Shield ホワイトペーパー」を無料でプレゼントしています！お気軽にお申し込みください。

▼資料のダウンロードページはこちら

「Ericom Shield」以外のEricom製品についても知りたい方へ、製品関連資料を無料でプレゼントしています。
Ericom製品紹介資料や、3つの導入規模別にまとめた価格／システム構成資料、大手メディアに掲載された大注目の標的型攻撃対策ソリューション紹介資料、導入事例集など、多数ご用意しています。貴社の検討状況に応じて、お気軽にお申し込みください。