情報セキュリティ対策として「ネットワーク分離」を推進する「仮想デスクトップ」と「仮想ブラウザ」

2017.04.10

先日、リンクベアメタルクラウドでは、ジェイズ・コミュニケーション株式会社が提供する仮想ブラウザサービス「SCVX」の取り扱いを開始しました。今、注目を浴びている「ネットワーク分離」を実現するサービスです。

本日はこれまでのブログとは趣向を変えて、情報セキュリティ対策のひとつである「仮想デスクトップ」と「仮想ブラウザ」を活用した「ネットワーク分離」についてご紹介します。

進化するサイバー攻撃

マイナンバーをはじめとしたさまざまな個人情報が電子化される一方、標的型攻撃による情報の漏えいが後を絶ちません。手口は巧妙化し、一見なんでもなく見えるものにもマルウェアが仕込まれ、情報を抜き取られてしまいます。人間の目にはもちろんのこと、ウイルス対策ソフトでも検知できないため、根本的な対策が叫ばれてきました。近年増加している「標的型攻撃」の多くは、メールアドレスを偽装し文書ファイルの脆弱性をついて不正プログラムを仕込むといった手口で情報漏えい事故を引き起こします。

2015年5月に発生した日本年金機構の情報漏えい事故は、この「標的型攻撃」が原因で発生したものです。総務省はこの情報漏えい事故を受けて、各自治体に対して情報セキュリティの抜本的な強化を図るよう要請し対策を講じる自治体に対して支援を行うと発表しています。

※出典 総務省 平成 27 年度地方公共団体情報セキュリティ強化対策費補助金の第 1 回交付決定 報道資料

こうした自治体の情報セキュリティ対策は、一般企業にも波及し「ネットワーク分離」を推進する動きが高まっています。この動きに歩調を合わせるようにさまざまな「ネットワーク分離」のサービスが登場しています。

「ネットワーク分離」という考え方は以前から存在しており、2004年ごろに情報漏えい対策としてシンクライアントが注目されていました。(※注釈1)シンクライアントにはさまざまな実装方式があり、「ネットワークブート方式」「サーバベース方式」「ブレードPC方式」「仮想デスクトップ方式」の4つに分類されます。当時のシンクライアントは、ネットワーク負荷、ライセンス、コスト、サーバ性能などでさまざまな課題があり、一般に普及するまでには至りませんでした。しかし、時代は進みサーバ性能の向上、通信環境の高速化、仮想化技術の向上などの背景から「仮想デスクトップ方式」に注目が集まり、改めて「ネットワーク分離」という機運が高まりつつあります。

改めて注目される「ネットワーク分離」

「仮想デスクトップ方式」は、高性能なサーバ上にハイパーバイザを設置し、その上に独立した仮想デスクトップを構築。シンクライアント端末からアクセスに応じてふり分けるといった仕組みです。しかし、これだけでは「標的型攻撃」に対する対策として十分とはいえません。

仮想デスクトップは基幹システムと端末を分離・制限することで、端末紛失などのセキュリティリスクを低減しますが、仮想デスクトップ上でインターネット接続が可能であることから「標的型攻撃」の脅威にさらされている状況に変わりありません。そこで「標的型攻撃」の脅威を回避するためのサービスとして、ブラウザのみを分離するサ「仮想ブラウザ」が注目されています(※名称はさまざまでセキュアブラウザとも呼ばれています。ここでは「仮想ブラウザ」で統一します)。

「仮想ブラウザ」は、サーバ上からWebブラウジング画面のみをローカル環境に転送し、インターネット接続の部分を切り離すことで、外部脅威からシャットアウトするものです。万が一、インターネット接続から「標的型攻撃」にさらされても、ブラウザを閉じるだけでマルウェアの感染拡大を防ぐことができます。さらにGmailなどのインターネットメールを利用していれば、ブラウジングだけでなく、メールも同様にネットワークとの分離を実現します。「仮想デスクトップ」と「仮想ブラウザ」をセキュリティ要件に合わせて使い分けることで、人為的なセキュリティリスクとサイバー攻撃によるセキュリティリスクを低減させることができます。

現在、「仮想デスクトップ」「仮想ブラウザ」にはさまざまな製品やサービスがあります。それぞれに特長がありますので、自社にあったものをお選びいただくためにも情報収集されてはいかがでしょうか。

※注釈1:シンクライアントとは『ユーザーが使うクライアント端末に必要最小限の処理をさせ、ほとんどの処理をサーバ側に集中させたシステムアーキテクチャ全般のことを言う。または、そのようなシステムアーキテクチャで使われるように機能を絞り込んだ専用のクライアント端末のこと(※出典:Wikipedia)』