3層分離でも利便性を犠牲にしないVDIとも異なる新提案とは?

政令市・中核市をはじめとする全国の自治体では、かねてより取り組んできた情報システム強靱性向上モデルへの対応などを経て、今日ではそのセキュリティ対策レベルが大きく向上している。その反面、セキュリティを優先した運用が職員の利便性を下げる結果となっているのもまた事実だ。シマンテックでは、Webコンテンツ、ダウンロードファイルを無害化する「Symantec Web Isolation」を提供。セキュリティと利便性の両立を実現している。

セキュリティ対策の強化による
利便性の低下が切実な課題となる

280

株式会社シマンテック
セールスエンジニアリング本部
エバンジェリスト
髙岡 隆佳 氏

ここ数年来展開されてきた自治体情報セキュリティクラウドや自治体情報システム強靱性向上モデルへの対応にかかわる取り組みで、政令市・中核市をはじめとする自治体におけるセキュリティ対策のレベルは大きく向上した。「しかしその一方で、一般にセキュリティとはトレードオフの関係にあるとされる、IT環境の利便性が低下してしまったという声も耳にします」と語るのはシマンテックの髙岡隆佳氏だ。

 

特に強靱性向上モデルで採用される3層分離の考え方では、マイナンバー系とLGWAN系、インターネットアクセス系の各業務がネットワーク的に画然と分離され、LGWAN系の業務端末から直接インターネットにアクセスできない。「このため、職員に対してLGWAN系業務用とインターネット接続用の端末の双方を提供し、職員がメールや外部Webサイトを閲覧する際には、作業中のLGWAN系端末から離れて、インターネット接続用端末に移るといったケースも多いのです」と話すのはシマンテックの桜井重宣氏である。

加えて、外部サイトからファイルをダウンロードして、LGWAN系の業務端末で利用しようという際には、インターネットアクセス系端末で落としたファイルを、一旦、スキャンサーバーなどに取り込んで安全性を確認し、上長の承認を得なければならないといった運用も一般的だ。まさに様々な場面で、セキュリティ担保のために利便性が犠牲にされている。

 

こうした問題を解消する手立てとして、VDI(Virtual Desktop Infrastructure)を導入してLGWAN系端末からインターネットに対し、仮想的にアクセスさせている自治体も多い。しかし、仮想デスクトップ用アプリの立ち上げなどでは、煩雑な手間が伴い、十分なレスポンスが得られないなど、やはり利便性が損なわれるといった声も聞こえてくるのだ。

透過的仕組みでコンテンツを無害化
セキュリティと利便性の両立を実現

こうした課題を解消できるのが、シマンテックの提供する「Symantec Web Isolation」だ。これは仮想ブラウザによるコンテンツ無害化のためのソリューション。その仕組みはVDIなどとは大きく異なる。ユーザーがLGWAN系端末上のEdgeやChrome、Firefoxといったブラウザから外部Webサイトへアクセスする際にWeb Isolationを経由し、サイトから返されたHTMLのソースをベースにWeb Isolationが無害化されたコンテンツを生成。端末にはそのコンテンツにアクセスするためのシンプルなJavaScriptを送信する。それを端末側のブラウザが解釈してWeb Isolationが生成されたイメージを表示するというかたちとなる。

多様なニーズに答えるセキュアな環境の実現
[図版のクリックで拡大表示]

攻撃を完全に無効化するコンテナ「Symantec Web Isolation」の概要図

280

株式会社シマンテック
セールスエンジニアリング本部
エンタープライズSE部
シニアセールスエンジニア
桜井 重宣 氏

「要するに、Webサイトが返すHTMLがそのまま端末に持ち込まれることはなく、仮にHTMLに攻撃用のコードなどが含まれていても、端末は何らの影響を受けないようになっています」と桜井氏は説明する。しかも、Web Isolation自体、Webアクセスに特化したシンプルかつ軽量なシステムであるため、ユーザーがレスポンスの低下を感じることもない。サイトに実装されているアクティブリンク、あるいはドラッグ&ドロップ操作や右クリックメニューといった操作性にかかわる機能もすべて踏襲され、ブラウザから直接サイトにアクセスしているのとまったく同じ感覚で利用できるのだ。

 

一方、外部サイトからのファイルダウンロードについても、Web Isolationでは対象となるファイルにウイルススキャンをかけたり、それがOfficeなどの文書ファイルである場合には強制的にPDF化したりといった機能を提供。さらに既存資産との連携も可能だ。「例えば自治体では、これまでファイル内に含まれるマクロなどのアクティブなコンテンツを取り除き、静的なコンテンツにして端末側にわたすといった無害化のソリューションが採用されてきました。Web Isolationではそれら製品との連携も可能にしています」と桜井氏。

 

Web Isolationの提供する以上のような仕組みを活用すれば、LGWAN系端末からの安全で快適な外部Webサイトへのアクセスが実現できる。また、ダウンロードファイルについてもスキャンサーバーに取り込んだり、上長の承認を得たりといったプロセスを経ずとも、セキュアに利用していくことが可能だ。「このように、まさにWeb Isolationはセキュリティと利便性の両立を透過的に実現するソリューションで、既に政府機関や教育委員会、民間企業では広くご利用いただいています。なかには数万人規模のユーザーで活用している事例もあります」と桜井氏は紹介する。

「ゼロトラスト」をコンセプトに
セキュリティ対策の将来像を描く

シマンテックでは、自治体が現状で抱えるセキュリティ対策をめぐる課題の1つひとつに応えるほか、セキュリティの将来像を見据えた新たな対策基盤の整備にも注力している。そんな同社が、今後の対策で不可避な潮流と捉えているのが「ゼロトラスト」だ。

 

「これまでセキュリティについては、境界部分を中心とした多層防御により、どれだけ対策の“壁”を厚くするかに力点が置かれていました。しかし、攻撃の形態が常に変化し、ユーザーのIT利用環境もクラウドをベースに多様化するなか、多層防御のアプローチは限界が見えています」と髙岡氏は指摘する。これに対しゼロトラストは、ネットワークやデータ、さらにユーザーやデバイスといったモノをも「信用しない」という性悪説に立ったセキュリティ対策だ。

 

シマンテックでは、社内や従業員の自宅、モバイル環境といったあらゆるロケーションにリスクが存在するという前提に立っている。Security as a Serviceのようなイメージで、ロケーションを問わずあらゆるエンドポイントからの、クラウドや社内システムなどに対するアクセスを、ゼロトラストネットワークに束ねようとしているのだ。そこからSWG(Security Web Gateway)やCASB(Cloud Access Security Broker)、あるいはSDP(Software Defined Perimeter)といったサービスに適宜振り分け、透過的にセキュリティが担保された環境を実現するためのインフラの整備を進めている。

 

「民間企業においてはこのゼロトラストに基づくセキュリティの考え方が急速に浸透しつつあり、そうした流れはいずれきっと自治体様にも及ぶものと思います。シマンテックでは、未来に向けたロードマップを自治体のお客様に対し、着実にステップを踏みながらお示ししていきたいと考えています」と髙岡氏は締めくくった。

お問い合わせ

株式会社シマンテック
URL:https://www.symantec.com/ja/jp
TEL:03-4540-6226
受付時間 10:00-12:00, 13:00-17:00 (土、日、祝、年末年始を除く)

▲ページの先頭へ

  • Topへ戻る