Blog Image

ネットワーク分離システムを導入したい!選定方法からメリットデメリットまでご紹介します

Apr. 7, 2022
自治体や企業などの組織では、メールの送受信やWeb検索などに使用する「情報系ネットワーク」と、個人情報や機密情報などを取り扱う「基幹系ネットワーク」を活用していることが多いのですが、この2つのネットワークをセキュリティを強化するために切り離す手法のことを「ネットワーク分離」または「インターネット分離」と呼びます。

この2つのネットワークを切り離すことによって、基幹系ネットワークに保存されている個人情報や機密情報の流出を防ぐ効果があります。

なぜネットワーク分離が必要なのか

これまで、個人情報や機密情報に対するサイバー攻撃には、Webフィルタリングやファイアウォール、アンチウイルスソフトなどに頼ることが主流でした。

しかし、近年のサイバー攻撃はそのようなセキュリティ対策を潜り抜けることが得意になっています。

マルウェアはメールなどに潜伏してシステムに侵入し、遠隔操作で端末をコントロールします。

情報の検索から情報の送信まで綿密にプログラムされたマルウェアが侵入すると、サイバー攻撃を受けていることに気づかないまま、様々な情報が盗み出されていることもあるのです。

これは、従来のセキュリティ対策だけでは不十分な時代になったということを意味します。

実はそんなに新しい技術ではない

ネットワーク分離という手法は、実はそんなに新しい技術ではありません。

古くは金融機関や行政機関などにおいて、情報系ネットワーク用のコンピュータと基幹業務用ネットワーク用のコンピュータを用意し、2つのネットワークを物理的に分離するという手法が用いられてきました。

このようなネットワーク分離を採用する場合の難点は、接続するネットワークごとに端末を用意しなければならないところにあります。また、2つの異なるネットワーク間でデータを移動させる必要が必ず発生するため、費用や利便性の課題をクリアする必要もありました。

また情報系ネットワーク用のコンピュータへ基幹業務用ネットワークで取り扱う情報をコピーすることを禁止していても、DVDやUSBメモリなどを使えば情報を外部へ持ち出すことができてしまう点もセキュリティ面での大きな課題のひとつでした。

このような手法は、物理的にネットワークを分離するため堅牢性の面では安心ですが、別途DVDやUSBメモリなどに対する対策が必要になります。

Blog Image

論理的ネットワーク分離というシステム

物理的にネットワークを分離する以外にも、「論理的ネットワーク分離」と呼ばれる様々な手法があります。

リモートデスクトップや仮想デスクトップ、仮想ブラウザによる分離などです。

リモートデスクトップ方式は離れた場所に置かれたコンピュータをリモートで操作するというもの。操作する側からはキーボードやマウスで操作した情報だけが送信され、操作される側からは画面表示だけが送信されます。

仮想デスクトップは、サーバ上に存在する仮想マシンにおいてアプリケーションの実行が行われ、クライアント側のコンピュータには画面情報だけが送信されるというものです。

また仮想ブラウザは、サーバ上からWebブラウジング画面だけを基幹業務用ネットワークへ転送するというもの。「セキュアブラウザ」と呼ばれることもあります。

インターネット接続の部分から分離した領域で動作するブラウザを使うため、外部からの攻撃を遮断することができます。端末にデータが残らず、データを持ち出すことができないという特徴があります。

万が一インターネット接続部分から攻撃されても、ブラウザを閉じればマルウェアの感染拡大を抑えることができるため、論理的ネットワーク分離分野のなかで注目を集めている技術です。

このように、論理的ネットワーク分離には様々な手法があるのですが、どの手法にもメリットとデメリットが存在します。

ここからは導入にあたって気をつけるポイントと、システムの選定基準をご紹介しましょう。

Blog Image

ネットワーク分離システムを導入するにあたって

まず知らなければならないポイントは、現状でどのようなセキュリティ対策を行っているかの把握です。

ネットワーク分離後もマルウェアが侵入できないようなシステム設計を意識しておく必要があります。

次に考えなくてはならないポイントは「ネットワーク分離することによって業務プロセスに影響が出ないか」ということです。

ネットワーク分離したものの、手間が増えミスを誘発するという事態を招かないよう、業務スピードの効率性の変化を事前に検討しておくべきです。

そして、組織内におけるデータの取り扱いルールやポリシーの見直しも必要になります。

組織に属する一人ひとりがどのようなセキュリティ意識や経験、知識を持っているのかをチェックし、ネットワーク分離後に人為的ミスによってマルウェアの侵入を許すことのないようにしておきましょう。

さらにデータのインストールやアップデート、データの移動や閲覧に関する権限などのルールを共有しておく必要があります。ログの保存や監視体制を整えることも大切です。

Blog Image

各ネットワーク分離システムのメリットとデメリット

・物理的ネットワーク分離

物理的ネットワーク分離のメリットは、やはり高い堅牢性でしょう。情報系ネットワークと基幹業務用ネットワークを完全に分離することが最大のメリットです。

しかし、端末の数やスペースがたくさん必要になるためコストがかさむというデメリットも。インターネット端末と業務端末の間でのやりとりができないため、非効率な面もあります。

また、物理的ネットワーク分離下ではデータの受け渡しが一般的にはUSBメモリなどの外部記憶媒体を使用するため、それらの紛失や持ち出しなどによる情報流出リスクも念頭に置いておかなくてはなりません。

・リモートデスクトップ方式

リモートデスクトップのメリットは外出先からでも同じ環境で作用ができること、スペックの低いパソコンでも遠隔操作が可能なことでしょう。

このシステムは接続先のコンピュータのスペックに依存しているため、操作する側のパソコンのスペックが低くても負荷が大きい作業も可能です。リモートワークにも適しています。

そして、Windows 10には、このリモートデスクトップ接続機能が標準装備されていることをご存知でしょうか。

操作される側のパソコンと操作する側のパソコンから設定をするだけで使えるため、Windows 10を搭載したコンピュータを使っていれば追加コストなしで利用することができるのです。

リモートデスクトップ接続機能が標準装備されていなくても、アプリケーションをインストールすれば使用することができます。

デメリットは、ネットワーク環境によってパフォーマンスに差が出るところ、接続先のコンピュータに異変が起きた場合は対応が必要になるところ、操作する側のパソコンがマルウェア対策をしていない場合、接続先のパソコンにマルウェアが侵入する可能性があるところなどです。

・仮想デスクトップ

仮想デスクトップや仮想ブラウザの最大のメリットは、1台のパソコンで安全に情報系ネットワークと基幹業務用ネットワークに接続でき、ブラウザの操作感が変わらないところでしょう。これらもリモートワークに適しています。

対してデメリットはどちらもライセンスのコストがかかるところ。仮想サーバ上でトラブルが発生した場合、そこで稼働する全てのシステムに影響が出てしまうという点にも注意が必要です。

仮想環境を運営するためのツールが必要であり、仮想デスクトップを導入するにはそれを稼働させるための高価なハードウェアと高度な技術が要るため、こちらに要するコストも考えておかなくてはなりません。

このように、どの仮想化ソフトを使うかには十分な比較検討が必要です。

まとめ

個人情報や機密情報をサイバー攻撃から守るためには、多角的なセキュリティ対策が重要になります。

「ネットワーク分離システムを導入すれば大丈夫」なのではなく、「それでもまだ、サイバー攻撃を受ける可能性はある」という意識を持ち、常にセキュリティを高めておく必要があるのです。

どのネットワーク分離システムを選ぶかは、どのポイントに重きを置くかによって変わってきます。しかしここでは、一番堅牢な物理的ネットワーク分離をお勧めします。この方式のデメリットである可搬媒体による情報漏えいの可能性や利用の不便さは、「データブリッジ」を利用することでどちらも解決できるからです。

物理分離とデータブリッジ、この組み合わせをぜひご検討ください。

お問合せはこちらから