ネットワークの分離は、セキュリティ対策として古くから導入されています。各種ネットワークを分離してリスクを分散させることによって、サイバー攻撃から企業の基幹システムや顧客情報などのデータを守るという考え方で行います。自社のセキュリティ対策を考える担当者のなかには、ネットワーク分離について詳しく知りたい、あるいは、導入する際に注意すべきポイントについて知りたいという人も多いのではないでしょうか。
そこで今回は、ネットワーク分離の概要やその必要性、ネットワーク分離を導入する際のポイントについて解説します。
ネットワーク分離とは、企業などの組織におけるネットワークを、顧客情報や機密情報を扱う基幹系ネットワークと、インターネットに接続するためのネットワークなどに分離することです。
インターネット接続用のネットワークと基幹系ネットワークを分けることで、インターネットから基幹系ネットワークへアクセスするルートを断ち切ります。これによって、情報の外部への流出を防ぐことができます。
ネットワーク分離自体は近年誕生したセキュリティ対策ではなく、以前から存在する方法です。現在はリモートワークやクラウドサービスの利用機会が増えていることから、注目されるようになりました。
総務省やIPA(独立行政法人情報処理機構)も推奨する情報セキュリティ対策であるため、自治体などでも採用されています。
ネットワーク分離を実施する必要性は、サイバー攻撃の被害が増加していることに起因します。セキュリティ対策をとっている場合であっても、攻撃者はさまざまな手段を講じて攻撃をしてくる可能性があります。例えば、ビジネスに関係するメールに偽装してコンピューターウイルスを送りつける、システムの脆弱性を突いた攻撃を仕掛けるなどが考えられます。
特に、企業の機密情報や顧客情報などが保管されている基幹系ネットワークが、インターネット接続用のネットワークとつながっていると、情報流出によって企業の信頼性が失墜するリスクが常に高い状態にあるのです。
そのため、両者のネットワークを分離して外部への情報漏洩を防ぐことが、サイバー攻撃から企業・組織の保有する情報を守る方法として注目されています。
では、ネットワーク分離を実現するための方式には、どのようなものがあるのでしょうか。
ネットワーク分離の方式は複数存在しますが、代表的な方式は「物理的分離方式」と「論理的分離方式」です。
物理的分離方式とは、インターネット接続に使う端末と、顧客情報などの機密情報を扱う基幹系ネットワーク端末を物理的に分けて管理する方法です。サイバー攻撃の道筋を物理的に断つ方法であるため、強固なセキュリティ対策になります。
物理的に端末を分けるため、この方式を運用するにはインターネット接続用の端末とそうでない端末の2台が必要です。2つのネットワークに使用する端末が分けられるため、業務の利便性が大きく低下する点がデメリットといえます。
例えば、基幹系ネットワークで業務中にインターネットを使用する必要が生じた場合は、別の端末へ移動して作業をしなければいけません。
このように利便性に難点があるものの、サイバー攻撃に必要な物理的ルートを完全に断ち切ってしまうことから、物理的分離方式はセキュリティ性の高い分離方式だといえます。
論理的分離方式とは、1台の端末内で論理的にネットワーク分離を行う方式です。論理的分離方式を実施するための方法としては、デスクトップ仮想化、リモートデスクトップ、セキュアブラウザの使用などさまざまなものがあります。
デスクトップ仮想化とは、アプリケーションの実行はサーバー上の仮想マシンで行い、端末には情報だけが送られる仕組みのことです。端末と実行ファイルを分けているため、万が一端末が攻撃を受けた際の影響を最小限に抑えられます。
リモートデスクトップは遠隔端末をリモートで操作する方式、セキュアブラウザは端末内の隔離領域で動作するブラウザを使用するという方式です。セキュアブラウザを通じて操作したデータは、端末には残らずに外部に持ち出すことも不可能なため、端末内での分離が実現できます。
論理的分離方式では、1台の端末でインターネットと基幹系ネットワークにアクセスできるため、利便性が高いといえます。しかし、動作にはハイスペックなサーバーが必要な点や、設定ミスによる脆弱性の問題が残る点がデメリットです。
この方式は利便性を損なわない点が魅力ですが、ネットワーク同士の通信を厳密に制御する必要があるため、通信設定の最適化や徹底的な管理が必要になります。
論理的分離方式を実施するための方法で紹介したものについては、以下の記事もご覧ください。
関連記事
ネットワーク分離を導入する際は、以下の2つのポイントに注意しましょう。以下、導入時の注意点とあわせて解説します。
ネットワーク分離に際し、社内や組織内のデータの取り扱いやルールを点検します。同時に、従業員全体のセキュリティ意識や知識についても確認し、周知徹底することが大切です。
インターネットを分離することができたとしても、人的ミスによってセキュリティ性が低下してしまえば、ネットワーク分離の意味を成さなくなります。人的ミスが生じる可能性を低下させるために、それらの全体周知とあわせ、データの移動や保存、閲覧の制限についても再検討しましょう。
また、内部で不正が起こりにくいように、システムの監視やアクセスログの保存などの体制も整えましょう。内部不正は必ずバレるということを周知することでも、発生率を低下させられます。
インターネット分離以外のセキュリティ対策の規模を把握します。普段の作業で分離したネットワークやデバイスに入り込むことがないよう、設計の段階から注意しましょう。
セキュリティ対策を実施するにあたって、社内システムやデータベースからインターネットを切り離した場合に業務に遅延が生じないかも確認します。作業の手順も検証し、非効率的になっていないかを確認しましょう。
ネットワーク分離の導入は、外部からの攻撃に対して効果の高いセキュリティ対策になりますが、利便性が低下するデメリットもあるため、導入の際は利便性と安全性のバランスを保つことを心がけましょう。
ネットワーク分離は、各種ネットワークに対するサイバー攻撃のルートを断ち切るセキュリティ対策です。物理的に端末を分ける方式と、1台の端末内で論理的にネットワークを分離する方式があり、そのどちらにもメリット・デメリットがあります。そのため、ネットワークの分離を実現しつつ作業の利便性を損なわないソリューションの導入の検討をおすすめします。
さまざまなリモートアクセスツールを展開する「CACHATTO」の製品シリーズの1つに、端末上に隔離領域を用意して業務データを保護する「セキュアコンテナ」があります。このツールなら、物理的分離方式のように2台の端末を使った画面転送を実行する必要がないため、業務の利便性を損ないません。セキュアなリモートワークや、端末1台によるハイブリッドワークの実現も可能です。詳しくは、以下をご参照ください。
