悪意のダウンロードからPCを防御!

インターネット分離のさらにその先へ!

インターネット分離とユーザビリティ


 政府機関によるセキュリティ指針等を通じて、セキュリティ対策としての「ネットワーク分離」という手法が広がった
 インターネット分離は複数の方式が実用化されているが、それぞれがユーザの操作方法や使い勝手に変化を伴う

インターネット分離(Web分離)とは


インターネット分離とは、文字通りインターネットから自社のネットワークを物理的に分離する方法です。一見、ネット時代に逆行する手法のように思えますが、政府機関によるセキュリティ指針等を通じて、セキュリティ対策としての「ネットワーク分離」という手法が広がりました。これはインターネットとの接続が不正ファイルその他の攻撃による侵害の経路になっているからに他なりません。

インターネットから分断してしまえば、攻撃者が自社のネットワークへアクセスする事は不可能になりますが、業務を遂行する上では全くインターネットに接続しないというわけにはいきません。そこでセキュリティを確保しつつインターネットへ接続する方法が考えられました。

 一般的なインターネット分離の手法

物理的な分離
 物理的な分離

社内ネットワークをインターネットから物理的に分離

内部ネットワークに接続がある端末と、メールやWebなど外部(インターネット)接続がある端末とを物理的にわける 内部ネットワークセグメントを分ける事から狭義でのネットワーク分離と呼ばれることもある。

 メリット

  • 物理的に分離されるので、インターネット経由での攻撃を受けない

 デメリット

  • 機器のコストが単純計算で2倍かかる
論理的な分離
 論理的な分離

専用サーバ上の仮想デスクトップやブラウザを遠隔で操作

クライアント上のブラウザを外部Webサイト用と社内システム用で使い分ける。専用のサーバ上の仮想デスクトップや仮想ブラウザをクライアントPCから遠隔操作することで、PC自体の環境からの分離を論理的に実現する。

 メリット

  • 端末が1台で済む

 デメリット

  • 利用用途によって判断が必要
  • ネットワーク構成の変更が必要
実行環境の分離
 実行環境の分離

ファイルを検査 / Webページを事前に展開し「無害化」されたデータに変換

外部Webサイト上のコンテンツや文書ファイルをクライアントに送信する前にサンドボックス等の手法を用いてエンドポイントとは別の環境で展開・実行し、「無害化」されたデータに変換してエンドポイントに提示する。

 メリット

  • 端末、利用ソフトが1つで済む

 デメリット

  • ファイルが全部PDFになる
  • 利用できないサイトがある

Bromiumはインターネット分離のさらにその先へ!

ユーザはこれまで通り1台のPCで運用可能。
ネットワーク側の設定や構成を変更せずに、ブラウザがアクセスできるネットワークをインターネットに制限可能。
ブラウザでのダウンロードはもちろん、メールその他のクライアントソフトで受信するファイルも隔離された環境で実行。

ユーザビリティの高いインターネット分離を実現する「アプリケーション隔離」


  • Bromiumはアプリケーションを仮想化技術を用いた「MicroVM」と呼ばれる、PC本体のOSから独立し隔離された環境で実行します。
  • アプリケーションは一つ一つ、ユーザタスクの単位で隔離され、ブラウザの場合はタブ毎に個別のMicroVM内で実行します。
  • MicroVMからはインターネットへの接続は可能でも、イントラネットへのアクセスは遮断された状態です。
  • これにより、ユーザが外部のサイトにアクセスし、それが仮にブラウザやプラグインの動作を悪用する悪質なものであっても、MicroVMはPC本体は勿論、社内ネットワークを通じた他の資産へも影響を及ぼすことができません。

以上はブラウザでのWebサイト閲覧だけでなくMicrosoft Office文書などを開く場合も同様で、仮に文書ファイルに潜んだマルウェアが社内ネットワークへのアクセスを試みても、Bromiumによって完全にブロックされます。

Bromium導入のメリット


MicroVMはユーザが日常的に使用するクライアントPC上での稼働のために専用設計されたものであり、ファイルを開いたり、使い慣れたブラウザを操作して任意のWebサイトを閲覧するなどこれまでと同様の操作感を保てます。

Bromiumはネットワークに依存せずエンドポイント側で分離を実現するため、持ち出し先での公共ネット接続時や完全なオフライン状態であっても、社内にいるのと変わらないセキュリティレベルを維持することが可能です。これはダウンロードしたファイルを事後に開く場合も同様です。

また導入時に内部ネットワークの設定変更を行う必要がありません。それゆえに段階的な展開でも、PC単位で対象を決める事ができます。

ユーザ
ユーザ

社内ネットワークに接続できない外出時や出張時などでも、社内にいるのと同レベルの高いセキュリティを実現

  • 操作方法は今まで通り
  • ダウンロードしたファイルをそのまま使える
IT部門
IT部門

危険なファイルかどうかをユーザの判断に頼ることがないので、高いセキュリティレベルを維持できる

  • 既存のシステム構成のままでOK
  • CPUレベルの仮想で完全分離
  • 社内ネットワーク外でも安全
経営層
経営・マネジメント部門

新たなIT投資・ネットワークの設定変更やユーザ教育の必要がないので、導入にかかる労力と費用が削減できる

  • 端末が1台で済む

[ PCの安全を100%守る ]… 2013年以降、Bromiumは推計20億以上のMicroVMが実行されましたが、侵害報告件数はゼロです。(米国Bromium社調べ