TOP>製品/サービス>課題から探す>仮想ブラウザによるインターネット・Web分離とファイル無害化

仮想ブラウザによるインターネット・Web分離とファイル無害化

仮想ブラウザによるインターネット・Web分離とファイル無害化

近年急増する標的型攻撃への対処法として、総務省・IPA(独立行政法人 情報処理推進機構)・NISC(内閣サイバーセキュリティセンター)は相次いで個人情報などの重要情報を扱うシステムをインターネットから分離するよう求めています。
本ページでは、インターネット分離が求められる背景と概要、そしてインターネット分離を実現する2つの製品、「ダブルブラウザ・ソリューション」と「Ericom Shield」についてご紹介します。

◎新着ニュース

標的型攻撃などのサイバー攻撃に有効な「インターネット分離」とは

企業の4割がサイバー攻撃を経験、6割は攻撃に気付いていない可能性

標的型攻撃の対象は、もはや政府機関や重要インフラ企業だけではありません。サプライチェーンを構成する取引先、業務委託先、さらには顧客に至るまでが標的企業を攻略するための踏み台にされる可能性があります。
また、直近では仮想通貨(暗号通貨)の交換業者が、標的型攻撃と同じ攻撃手法により仮想通貨を盗まれる被害が発生しています。
経産省の「サイバーセキュリティ経営ガイドライン Ver2.0」によると、サイバー攻撃を受けた経験があると回答した4割の企業の約半数が、外部から指摘があるまでサイバー攻撃を認識していませんでした。このことから、サイバー攻撃を認識していない残り6割の中には、被害に気がついていない企業が多数いる可能性を指摘しています。
近年では標的型攻撃以外にもランサムウェアやクリプトジャッキング(仮想通貨目的の攻撃)といった新たな攻撃手法が生まれ、金銭目的のばらまき型攻撃も増加しています。サイバー攻撃の高度化、多様化、無差別化が進むことによって、サイバーセキュリティは経営課題として認識されるようになりました。
国も、サイバー攻撃対策は経営者の責任で投資として実践していくことを啓蒙しているため、監督官庁からの要請があるだけでなく、今後はセキュリティ対策が十分に実施されているかが顧客の重要な取引基準の一つとなるでしょう。これまでも組織は多層的なセキュリティ対策を実施してきました。しかしながら、深刻なセキュリティインシデントは、セキュリティ対策を比較的しっかり実施している企業においても発生しているのが実情です。


それでは、このようなセキュリティインシデントに対応するためにはどうすればよいでしょうか?その具体策の1つがインターネット分離です。インターネット分離であらゆるシステムを強靭化することができます。


標的型攻撃対策などのサイバー攻撃対策を実現するインターネット分離

攻撃の検知率が向上しても、その上を行く攻撃が編み出されます。そこで注目されているのが「脅威の分離」です。脅威を見つけてから対処するのではなく、入れずに分離して封じ込めるということです。どの組織にとっても最大の脅威はインターネットです。
IPAの調査によるとマルウェアへの感染は8割以上がブラウジングやメールの利用、つまりインターネット経由で発生しています。インターネットの脅威を分離して、組織内ネットワークにマルウェアなどが侵入できないようにする仕組み、それがインターネット分離です。


総務省、文部科学省、NISC、IPAは相次いで
重要システムのインターネット分離/ネットワーク分離を推進

インターネット分離により、最大の脅威を分離すれば、標的型攻撃やサイバー攻撃による被害発生のリスクは大きく削減できます。そのため各方面から、重要システムをインターネットなどから分離する、またはネットワークを分けて利用を制御するというガイドラインがいくつも出されています。

発行元 発表内容
2015年6月2日 IPA 多層防御の一環として、一般端末と重要業務システムとの分離を推奨した。
2015年7月23日 政府・NISC 政府機関のセキュリティガイドラインである「サイバーセキュリティ戦略」の抜本的強化策の一つとして、重要情報を扱う情報システムをインターネットから分離することを決定した。
2015年8月12日 総務省 日本年金機構の個人情報流出問題を踏まえた緊急対策として、各自治体の住民基本台帳システムと、インターネット用端末とを完全に分けるよう求めた。
⇒2015年10月5日、全自治体にて対応完了
2015年11月24日 総務省 標的型攻撃の被害拡大やマイナンバー制度の施行を受けて、総務省の自治体情報セキュリティ対策検討チームは「 自治体情報システム強靭性向上モデル 」を発表。マイナンバーなどの個人情報を徹底して守るため、LGWANとインターネット接続ネットワークとを分離(アイソレーション)するよう求めた。(※1)
2015年12月28日 経済産業省・IPA 「サイバーセキュリティ経営ガイドライン」における技術対策例として、多層防御やネットワーク分離などを示した。
2016年7月28日 観光庁 大手旅行会社の個人情報流出を受けて実施した旅行業界情報流出事案検討会において、旅行業者が早急に取るべき対応の一つとして、個人情報にアクセスするシステムとインターネットを分離することを挙げた。
2017年10月18日 文部科学省 自治体及び教職員に向けて公表した「教育情報セキュリティポリシーのガイドライン」において、校務系システムとWeb閲覧やインターネットメールなどのシステムとの通信経路の分離の徹底を求めた。(※2)
※1  総務省が発表した「インターネット分離」に関するガイドラインはこちら

※2  文部科学省が発表した「教育情報セキュリティポリシーに関するガイドライン」はこちら

インターネット分離によってあらゆるシステムが強靭化する

インターネット分離は従来から重要インフラ企業、金融、病院といった業種や工場システムでは当たり前に実践されていました。2015 年11月に総務省の自治体情報セキュリティ対策検討チームが提示した資料「新たな自治体情報セキュリティ対策の抜本的強化に向けて」の中で、インターネット分離は全自治体必須の扱いになったため、一般企業でも効果的なサイバー攻撃対策として認知されました。
どのような組織であっても、重要システムや業務端末のネットワークとインターネットを分離すれば、インターネットからのサイバー攻撃は内部ネットワークには届かなくなり、被害も発生しなくなるのです。


それでは、インターネット分離を実現する2つの方法についてご紹介しましょう。


インターネット分離の2つの方法(論理分離と物理分離)

インターネット分離の実現方法として、物理的な分離と論理的な分離方法に大別されます。それぞれに適したアプローチを選択可能です。
物理分離は確実な手段ですが、インターネット接続用に端末を用意する必要があるため、工数やコストがかかる上に利用者の利便性低下が懸念されます。それに対して論理分離は、利用者は1台の業務端末から「インターネット」と「業務システム」の両方を利用できます。このことからインターネットの「論理分離」に注目が集まっています。
論理分離は特に新しい考え方ではなく、クライアント仮想化ソリューションの画面転送機能を利用したインターネットと業務端末の論理分離は金融系企業において広く実施されてきました。現在はインターネット分離に特化したソリューションが登場し、仮想ブラウザ利用時の使い勝手も向上しています。更に、コスト削減のためにLinuxプラットフォームを使ったソリューションも登場し、ユーザーの選択肢は増えています。
以下の表で、各分離方法の手段と、メリットとデメリットの詳細をご紹介します。


分離方法 分離手段 メリット デメリット
物理分離 インターネット専用端末
業務端末は内部ネットワーク専用とし、インターネット専用端末を別に用意する。
・インターネットを業務で利用する頻度が低い場合は、インターネット端末を共有することでコスト削減が可能 ・インターネット接続用の端末が別に必要
・端末・ソフトウェアの調達コスト/運用コストが発生
・自分の使いたいタイミングに利用できない
・業務端末とインターネット端末の間で業務が断絶
・ユーザーの生産性が落ち、システムへの満足度が低下
・安全なファイル授受方法の整備が必要
・USBによるデータ移行など、シャドーITが生まれるリスクが増大
論理分離 VDI の画面転送(Windows)
仮想デスクトップサーバ上で稼働する個々のデスクトップ画面を端末側に転送
・一台の端末でインターネットとイントラネットに接続可能
・ブラウザの操作感が変わらない
・IEが利用可能
・ブラウザ以外のMicrosoft OfficeなどもVDI上で利用可能
・高額なVDA(Windows Virtual Desktop Access)ライセンスが必要
・インターネットを利用する際にまずVDIにログインが必要
・仮想デスクトップを稼働させる高価なハードウェアが必要
仮想ブラウザの画面転送(Windows)
Windowsサーバ上でブラウザ(仮想ブラウザ)を稼働させ、ブラウザの画面を端末側に転送
・一台の端末でインターネットと業務システムに接続可能
・ブラウザの操作感が変わらない
・IEが利用可能
・1つのサーバー上で多くのブラウザセッションを実行可能
・Remote Desktop Services CALのライセンスがユーザー数分必要
・WindowsサーバOS側がマルウェア感染すると、ブラウザセッション全体に影響が及ぶ可能性
仮想ブラウザの画面転送(Linux)
LinuxコンテナやLinuxデスクトップ上でブラウザ(仮想ブラウザ)を実行し、ブラウザ画面を端末側に転送
・一台の端末でインターネットと業務システムに接続可能
・Remote Desktop Services CALが不要
・ブラウザの操作感が変わらない
・仮想ブラウザの画面転送(Windows)よりも仮想ブラウザ環境の分離度が高い
・IE専用サイトが利用できない
ローカル端末上の仮想マシン
端末上で仮想マシンを稼働させ、インターネットアプリケーション専用にする。
・一台の端末でインターネットと業務システムに接続可能
・高スペックな端末が必要
・管理が複雑化
・仮想マシンを意識して使い分けるリテラシーが必要
・安全なファイル授受方法の整備が必要

このように比較すると、それぞれ一長一短ありますが、論理分離の中では、仮想ブラウザ方式が「低コストかつ便利」であることがわかります。それでは、この仮想ブラウザ方式を実現する2つの具体的なソリューションについてご紹介します。


仮想ブラウザ方式の具体策
「Ericom Shield」と「ダブルブラウザ・ソリューション」

論理分離の中でもより「低コストかつ便利」にインターネット分離を実現することができるのは、「仮想ブラウザ方式」といえるでしょう。
VDIやローカル端末上の仮想マシンを利用した方式は、デスクトップを仮想化するため、高スペックなサーバや端末が必要となったり、インターネットに接続するたびにデスクトップのログインが必要になったりするからです。
アシストでは、「仮想ブラウザ方式」のインターネット分離ソリューションを以下の2つのラインナップでご提案しています。

  ●「Ericom Shield」
     
インターネット分離(Web分離)の全てを備える

  ●「ダブルブラウザ・ソリューション」
     
安価でWindows環境に最適


「Ericom Shield」と「ダブルブラウザ・ソリューション」の比較

2つのソリューションの違いについては、以下の比較表をご覧ください。お客様の要件に合わせてお選びいただけます。

※各製品について詳しく知りたい場合は、資料をこちらからダウンロードいただけます。


項目 Ericom Shield ダブルブラウザ
分離対象 Web Web
端末と分離側の通信 画面転送 画面転送
画面転送技術 HTML5 Blaze
(Ericom独自)
Linuxプラットフォームの利用
(RDS CALが不要か)
Web実行環境の分離度合い
ブラウザの1タブにつき1Linuxコンテナに分離

Linuxプラットフォームの場合は
1ブラウザあたり1分離環境に分離
Webメール脅威対策
添付ファイルも含めて対応

添付ファイルは無害化できない
ローカルメールの不正URLリンク対策
ファイル無害化
VOTIROがビルトイン
×
ファイル無害化製品との連携が必要
アンチウイルス
1000ユーザー以上にアンチウィルスが付属※1

Linux版はフリーのアンチウィルスが付属
IE専用サイトの閲覧 × ※2
Windows以外の端末への対応 ×
Windows PCのみに対応
ローカルブラウザから利用可能か ×
専用クライアントのインストールが必要
URLリンククリックからの仮想ブラウザ自動起動
(オプション)
違和感なく使えるか(操作、コピー&ペースト、印刷、動画/音声)
普通のブラウザと使い勝手が変わらない

機能は変わらないが、操作感が若干異なる
ローカルのお気に入り利用と文字入力 ×
音声/動画のローカルリソース再生 ※3 ×
Webサイトへのファイルアップロード ×
中継の仕組みが必要
既存Webプロキシとの連携
ユーザー認証
AD連携可能

仮想ブラウザ側に別途ADが必要
URLログの取得
(オプション)
ライセンス方式 ・利用ユーザー数
・同時ユーザー数
・利用ユーザー数
・同時ユーザー数
ライセンス種別 サブスクリプションライセンス
(年間ライセンス)
パーペチュアルライセンス
(永久ライセンス)
  • ※1アンチウィルスはexeファイルなどの実行ファイルをインターネット側から取り込む際に利用します。exe以外のドキュメントファイルはVOTIROで無害化します。
  • ※2Windows RDS環境上にIEを公開して実行するため、ユーザー実行環境の分離と初期化機能などのLinuxプラットフォームを利用することで得られる機能は利用できません。また、RDS CALが別途必要です。
  • ※3動画を画面転送せず端末側にリダイレクトして再生することでユーザーエクスペリエンスが向上します。ローカル再生を許可するかどうかはドメインごとに管理可能です。

メールとファイルのマルウェア対策について

Webメール、ローカルメールのマルウェア対策

代表的なインターネットアプリケーションはブラウザとメールです。Webメールを利用している場合は、Ericom Shieldやダブルブラウザ経由で利用できます。ローカルのメーラーを利用する場合でも、メール文中の不正なURLリンクはリモート分離ブラウザで開くため安全です。マルウェアがメール添付されて侵入した場合でも、マルウェアとC&Cサーバとの通信経路にリモートブラウザが入るため、不正な通信をブロックすることができます。
メール添付ファイルからのマルウェア感染リスクを取り除きたい場合、メールゲートウェイ製品、サンドボックス製品、メール無害化製品を検討してください。

インターネットと内部ネットワークの安全なファイル授受(ファイル無害化)

インターネットからダウンロードするファイルの内部ネットワークへの取り込みは、インターネット分離されたシステムにとって数少ない感染のリスクになるため、無害化した上で取り込む必要があります。Ericom ShieldではVOTIROをビルトインしているため、ワンクリックでファイル形式を変えずに無害化して端末にダウンロードできます。ダブルブラウザの場合は、Smooth Fileなどのファイル無害化製品と連携させる必要があります。


仮想ブラウザによる「インターネット分離」について更に詳しく知りたい方へ

関連資料の無料ダウンロード

インターネット分離製品の導入をご検討いただく上で、ご参考となる情報をまとめた資料を無料でプレゼントしております。

「仮想ブラウザ」によるインターネット分離

「仮想ブラウザ」によるインターネット分離
~失敗しないための3つのポイント~

仮想ブラウザによるインターネット分離の、導入時に考慮すべき3つのポイントを解説した資料です。

10分で分かる!Ericom Shieldと<br>ダブルブラウザ・ソリューション概要資料

10分で分かる!Ericom Shieldと
ダブルブラウザ・ソリューション概要資料

2製品の特長と概要をご説明した資料です。
資料をダウンロード 資料をダウンロード

Ericom Shield 紹介資料

Ericom Shield 紹介資料

Ericom Shieldの機能や特長について
詳しく説明した資料です。

ダブルブラウザ・ソリューション 紹介資料

ダブルブラウザ・ソリューション 紹介資料

ダブルブラウザの機能や特長について
詳しく説明した資料です。
資料をダウンロード 資料をダウンロード

製品紹介ページ

各製品の詳細は製品紹介ページでご覧いただけます。各製品の仕組みや事例を掲載しています。

Ericom Shield製品ページ ダブルブラウザ製品ページ

セミナー情報

1.最新技術セミナー

アシストテクニカルフォーラム2018

アシストテクニカルフォーラム2018 」にてインターネット分離の最新技術を発表します!アシストテクニカルフォーラム2018では、現場のなかで磨かれてきた、ビジネスチャンスを生み出す情報システム構築・運用のエッセンスを凝縮してお届けします。
セキュリティをテーマとしたセッションにて、「インターネット分離とは?」からその最新動向、そして次世代のインターネット分離製品「Ericom Shield」の解説をお届けします。ご興味のある方は、ぜひお早めにお申込みください。

お申し込み・詳細は、ご希望会場のボタンをクリックしてください。

東京会場お申し込み

[E-4]セッションをお選びください

大阪会場お申し込み

[C-6]セッションをお選びください

名古屋会場お申し込み

[C-2]セッションをお選びください

2.Ericom Shieldご紹介定例セミナー

「Ericom Shield」の特長について詳しくご説明するセミナーです。
◎本セミナーのポイント
・「セキュリティ」「ユーザビリティ」「コスト」の課題を克服する仕組みと機能を余すことなくご紹介
・Webブラウジング、管理コンソール、ファイル無害化の「デモンストレーション」で利用イメージが分かる!
・現場SEへの「質問タイム」で分からないことを聞ける!
・「インターネット分離」進化の過程から、最新動向までもご説明!
Ericom Shieldでどのようにしてインターネット分離を実現できるのか、具体的にイメージいただける内容になっています。上記バナーのリンク先にて開催日をご確認の上、お気軽にお申込みください。

お問い合わせ

Ericom問い合わせ

Ericomのインターネット分離製品に関するご質問はこちらからお問い合わせください。
ソリューションの詳細説明やデモンストレーションのご要望、導入相談、見積依頼などお気軽にご相談ください。お客様のご要望に応じて専任のスタッフが対応いたします。


ページの先頭へ戻る