※本コンテンツは、2021年2月26日に開催されたJBpress主催「公共DXフォーラム2021~Society 5.0時代に求められる公共DXの進め方~」での講演内容を採録したものです。

(写真右)
メンロ・セキュリティ・ジャパン株式会社
セールスエンジニア
川村 亮二氏 

(写真左)
マクニカネットワークス株式会社
第2営業統括部 第3営業部 第3課
勝田 進氏

サイバーセキュリティ対策は白か黒かの検知から分離へ

川村 亮二氏:メンロ・セキュリティは、米国のカリフォルニア大学バークレー校の研究成果を事業化して2013年に設立された、100%安全なインターネットセキュリティを目指す会社です。

 社のスローガンには「Security without Compromise」を掲げています。妥協という意味のCompromiseは、サイバーセキュリティの分野ではセキュリティ侵害という意味で使われます。つまり、このスローガンには「セキュリティ侵害がない」と「妥協がない」の両方の意味を込めています。

メンロ・セキュリティ・ジャパン株式会社 セールスエンジニア 川村 亮二氏

 これまでのサイバーセキュリティ対策は、ファイルやURL、プログラムなどの振る舞いが白か黒かを検知するものでした。そして検知による対策は、次々に生み出される攻撃とのいたちごっこに過ぎないというのが実態です。

 この課題を解決するべく当社では、検知精度に依存しないセキュリティの1つであるアイソレーション(分離)というアプローチでソリューションを提供しています。これはスローガンにおける「セキュリティ侵害がない」という意味での取り組みと言えます。

 また、一般的にセキュリティを強化すると利用者の利便性は損なわれます。当社では、いかに利用者の利便性を損なわずにセキュリティを強化するか、という部分に力を入れており、これが「妥協がない」につながっています。

 当社のソリューションであるWebアイソレーションについて具体的にご説明します。

 一般的に、Webコンテンツを閲覧する場合、クライアントのブラウザがウェブサイトへのアクセスを要求し、コンテンツがダウンロードされ、クライアントのブラウザ上でコンテンツを読み込み・実行・表示します。攻撃を受ける可能性があるのは、読み込み・実行のプロセスです。

 一方で、Webアイソレーションを経由した場合、クライアントのブラウザがウェブサイトへのアクセスを要求すると、まず、メンロ内の仮想コンテナがクライアントの代わりにWebサイトにアクセスしてコンテンツをダウンロードします。コンテンツの読み込み・実行までを仮想コンテナ上で行い、クライアントのブラウザでは、特許取得済みの技術を使って表示のみを行う仕組みになっています。

 攻撃を受ける可能性がある読み込み・実行の部分を当社の仮想コンテナ上で行うことで、コンテンツが白か黒かを検知するまでもなく、セキュリティを確保することができます。

 このWebアイソレーションは、高度なセキュリティを求める世界の大企業や政府機関から信頼される技術となっています。例えば2020年には、米国DISA(国防総省情報システム局)が実施したクラウドベースインターネットアイソレーション(CBII)というコンペティションで勝利しています。国防という最高レベルのセキュリティの要求にも対応できることを、客観的に認められたと言えます。

 以下、当社のWebアイソレーションのアドバンテージを3つにまとめます。

 1つ目は、迅速かつ簡易な導入が可能なことです。WebアイソレーションはSaaSモデルであり、エンドポイントソフトウェアやアプライアンスなどの導入なしに、プロキシ接続先の変更のみで導入できます。

 2つ目は、ユーザーの操作感を損なわないこと。画面転送とは異なる、特許取得済みの分離技術を使って操作性を高めており、ユーザーはアイソレーションされていることを意識することなくブラウジングすることができます。

 3つ目は、インターネットの脅威対策に最適化した分離ソリューションであること。完全なデスクトップシステムとして分離するのではなく、インターネットの脅威にフォーカスしたWebブラウジング及びメールのアイソレーションになっています。

 以上が当社のWebアイソレーションの説明となります。この後、当社の国内唯一の代理店であるマクニカネットワークスの勝田氏から導入事例や構成例について説明していただきます。

導入構成は柔軟に選択可能で新しいモデル(βモデル)にも対応

勝田 進氏:当社では、主に企業向けのネットワーク、セキュリティ関連のハードウェア・ソフトウェアの輸出入、保守サービスなどのITソリューションの提供をしています。今回は公共DXというテーマのイベントですが先ほど紹介されたメンロ・セキュリティのWebアイソレーションは、すでに複数の中央官庁に採用いただいています。

マクニカネットワークス株式会社 第2営業統括部 第3営業部 第3課 勝田 進氏

 中央官庁のインターネット分離プロジェクトで採用のポイントになったのは、利便性が良いという点でした。導入前の課題には「利用可能なブラウザに制限がある」「起動に時間がかかる」「Web利用時に認証情報の入力が必要」「Webアクセスに遅延が発生する」といった制限や手間がありました。Webアイソレーションを導入したことで、普段使っているブラウザが使えるようになり、認証情報の入力が不要で遅延もなくなるなど、課題を網羅的に解決しています。

 こうした成果は、インターネット分離をガイドラインとする多くの公共のお客様が同様に得られると考えられます。現在、自治体で進められているセキュリティ対策の取り組みと照らし合わせながらご説明します。

 2015年から、総務省主導による自治体のセキュリティ強化が進められています。三層の対策という考え方をベースに、インターネット接続系と機密性の高い情報を取り扱う領域を分離する取り組みであり、三層とは具体的には「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」を指します。

 現状は、すでにインシデントの大幅な減少を実現している一方で、情報ネットワークの分離・分割による事務効率の低下など、新たな課題が浮かび上がっています。この課題に対して総務省は、三層分離の考え方は維持しつつ、一部の業務システムや業務端末をインターネット接続系に配置転換して効率性・利便性を高める新しいモデル(βモデル)を提示しています。そして、その実現には業務端末のマルウェア感染リスクへの対応が不可欠です。

 その課題を解決するのが、インターネット分離ということになります。自治体のセキュリティ強化の取り組みが始まった2015年当時には、分離と効率性・利便性を両立するのは技術的に困難でした。しかし、現在ではその両立を実現する特許技術を採用したWebアイソレーションの導入は日本でも進みつつあります。

 メンロ・セキュリティのWebアイソレーションはWeb分離ツールとして日本では後発にもかかわらず、Web分離ツールの2019年度の出荷金額の7割を占める国内シェアトップ(※)となっています。中央省庁や独立行政法人、大手金融、重要インフラなどと幅広い業種で採用されており、いずれも利便性の高さが評価されていると考えられます。

 柔軟に選択できる導入構成が大きな特長の1つです。メンロ・セキュリティのWebアイソレーションの提供方法には、クラウドプロキシ環境内で分離するクラウド型のSaaS版と、自治体ネットワーク内に分離環境を構築するオンプレミス型のOVA版があります。

 今回テーマとしている自治体でメンロ・セキュリティを検討する際に想定される構成例を総務省が提示する新しいモデル(βモデル)に照らし合わせて紹介します。ソリューションとしては、新しいモデル(βモデル)だけではなく、現行の対策「αモデル」にも適用可能です。

 1つ目は、自治体セキュリティクラウドの上段に配置するSaaS版です。クラウド型のため、仮想基盤運用の負荷が軽減できるメリットがあります。

 2つ目は、自治体情報セキュリティクラウド内へのアイソレーション環境の構築です。この構成なら、市区町村のセキュリティ水準を自治体情報セキュリティクラウド内で統一・管理することができます。

 3つ目は、インターネット接続系内へのアイソレーション環境の構築です。既存のネットワーク環境を踏襲した構成となっており、分離に取り組む自治体で最も多く採用されています。

 今回は3つの構成例をご紹介しましたが、お客様のご要望に合う構成をご提案したいと考えておりますので、製品詳細説明・構成の検討・検証等をはじめとするご相談がありましたらお気軽にご連絡ください。

※デロイト トーマツ ミック経済研究所株式会社「外部脅威対策ソリューション市場の現状と将来展望 2020年度【サイバーセキュリティソリューション市場16出版目】より

<PR>