Web分離(インターネット分離)とは?基本概念や仕組み・導入時のポイントを解説
日々巧妙化・高度化するWeb経由の攻撃を防ぐための有効な対策として、Web分離(インターネット分離)の概念が注目されています。
Web分離ではインターネット環境と社内ネットワークを分離することで、ランサムウェアといったマルウェア感染による情報漏えいや改ざんといったセキュリティリスクから情報資産を守ります。
本記事では、Web分離の基本概念や仕組みを解説するとともに、特徴やメリット、導入時の注意点を紹介します。
Web分離(インターネット分離)とは
Web分離(インターネット分離、ネットワーク分離)とは、外部のインターネット環境と、社内のパソコンやデバイス、ネットワークなどを切り離すことを指します。Webを経由した脆弱性を利用した攻撃のリスクを抑止する有効なセキュリティ対策として、多くの企業で取り入れられています。
従来、ファイアウォールやUTM(統合脅威管理)といった入口防御でマルウェア感染を防ぐ方法が行われていましたが、従来の仕組みは有害か無害かをポリシーベースで判断する対策方法であるため、すり抜けや誤検知は防ぎきれませんでした。
これに対して、Web分離では社内の環境とWebコンテンツの実行環境を分離し、内部セグメントと外部の通信は「画面転送」「無害化されたファイル・メール」など、必要最低限の通信となるようにすることで外部脅威の侵入を防ぐことが可能となります。
Web分離では仮にインターネット経由でマルウェアに感染したとしても、社内ネットワークとは隔離されており情報漏えいや改ざんの被害を防げるため、機密情報を多く扱う企業や地方自治体を中心に普及が進んでいます。
*クラウド時代に重要なセキュリティの概念「ゼロトラスト」について、こちらの記事もあわせてご覧ください。
関連記事 ゼロトラストとは?従来の境界型防御だけでは不十分な時代に
Web分離が注目される背景
政府機関によるWeb分離の推奨
近年、マルウェア感染を原因とした個人情報流出といった重大なインシデントを防ぐために、総務省や文部科学省など複数の省庁が、ガイドラインでインターネット分離を推奨しています。2023年に引き続き、2024年も多くの企業がランサムウェアの被害を受ける可能性が高く、企業にとって重要なIT資産を守るためのセキュリティ対策は急務となるでしょう。
Web分離は長く有効なセキュリティ対策として重要視されており、経済産業省とIPA(情報処理推進機構)が策定する「サイバーセキュリティ経営ガイドライン」では、2015年に発生した日本年金機構の大規模情報漏えい事件をきっかけに、有効な対策としてWeb分離を例示した他、自治体に対して行政システムとインターネットの分離を求めました。
Web経由の攻撃への効果的対策
Web経由の攻撃は、Webコンテンツの脆弱性を狙ったものが多く、企業が把握していない脆弱性が残置されていれば、セキュリティホールとして情報漏えいや改ざんのインシデントにつながりかねません。また、日々巧妙化・高度化する攻撃手法をすべて検知し、防御するのは非常に困難です。そのため、Web分離で外部環境を隔離して「無害化」することで、企業の情報資産を守る対策が有効となります。
リモートワーク普及に伴うセキュリティリスク
さらに近年は、リモートワークが定着したことで、社員が社外からもインターネットを使って企業ITシステムを利用する機会が多くなっています。その分、第三者による悪意ある企業ITシステムへの侵入が行われたり、企業が保有する情報資産が流出したりするなどのトラブルも増えているので、Web分離の必要性はますます高まっているのです。
*ネットワークセキュリティについて詳しくは、こちらの記事をご覧ください。
関連記事 効果的なネットワークセキュリティとは?実際の被害事例や導入のポイントを解説
Web分離の特徴やメリット
ランサムウェアなどのマルウェア感染から大切なIT資産を守るために役立つWeb分離の代表的なメリットを2つ紹介します。
①堅牢なセキュリティ対策
Web分離を導入することで、外部ネットワークと内部ネットワークを切り離すことが可能です。たとえ、外部接続用のネットワークでマルウェアに感染したとしても、機密情報を扱う内部ネットワークへの侵入を防ぎ、マルウェア感染時の被害を局所化・最小化します。Web分離では内部ネットワークへの感染拡大や情報漏えい・改ざんといったセキュリティ被害を予防する効果が期待できます。
②Webコンテンツへのアクセシビリティ向上
ファイアウォールのような従来のポリシーベースの仕組みでは利用者のアクセスが細かく制御されるため、Webコンテンツへの接続が制限され、利便性を損なう可能性もありました。
従来型セキュリティ対策と比較すると、Web分離では安全性の低いWebコンテンツへも安全にアクセスできるようになるので、ポリシー設定の複雑さを回避し、より自由で柔軟なWeb利用が可能となるのがメリットでしょう。
Web分離の方法と仕組み
Web分離の方法は大きく4種類に分けられます。ここではそれぞれの仕組みについて解説します。
①物理分離
インターネット接続用端末と内部ネットワーク接続用端末をそれぞれ用意し、物理的にネットワークを分離する方法です。従来は物理分離が主流でしたが、1人あたり2台の端末が必要となるので、端末手配・管理のコストがかかることや、2台の使い分けで利便性が損なわれることなどがデメリットでした。そのため、近年は論理分離の方法が普及しています。
②論理分離(仮想デスクトップまたは仮想ブラウザ)
仮想デスクトップ(VDI)や仮想ブラウザは、インターネット接続ネットワーク上に仮想デスクトップ(仮想マシン)や仮想ブラウザを構築し、内部ネットワークと画面転送で通信を行う仕組みで、この仕組みをWeb分離に応用します。
1台の端末で複数のWindows OS環境やブラウザを使い分けられるはメリットですが、仮想マシンごとにライセンスが必要となるためコストがかかったり、端末だけでなく仮想マシンの運用負荷がかかったりといったデメリットもあります。
③論理分離(HTMLレンダリング)
HTMLレンダリングはブラウザがHTMLやCSS、JavaScriptなどのコードを読み込み、Webページとして描画するためのレンダリング技術を応用した方式です。
クライアント環境ではなく別の実行環境からインターネット上のWebサイトにアクセスするのは、仮想デスクトップや仮想ブラウザ方式と同じですが、HTMLレンダリング方式ではアクセス後に画面イメージを転送するのではなく、HTMLソースを検査し有害なコードを除去してから利用者のブラウザに転送します。
HTMLレンダリングでは導入コストが総じて抑えられるのがメリットです。一方で、検査後に転送されたHTMLソースで描画するWebサイトでは、レイアウトや表示崩れなど、オリジナルのWebサイトと異なるデザインになる可能性がある点がデメリットになります。
④論理分離(リモートブラウザ)
リモートブラウザ(Remote Browser Isolation、RBI)はコンテナなど最小限の実行環境でブラウザソフトウェアのみを稼働させ、内部ネットワーク内の業務端末には画面情報とキーボードやマウスの操作情報だけを画面転送する方式です。
仮想デスクトップのようにWindows環境そのものを遠隔実行させるわけではないので、Windows OSライセンス購入は不要などコストメリットが大きく、かつ画面転送方式のため、画面表示が崩れるといった問題も発生しません。端末の管理コストの削減と利便性の向上を両立する仕組みとして、近年普及が進んでいます。
Web分離を導入する際のポイント・注意点
Web分離はインターネット経由の脅威を防ぐ有効な対策方法ですが、実際に導入するには注意すべきポイントもあります。
ここでは大きく3つの注意点・ポイントを解説します。
①導入目的を明確にし、製品選定は慎重に
製品選定時は、コストや運用負荷など複数の観点から製品を比較しましょう。
自社のニーズ(導入目的)を明確にしたうえで、利用状況に合わせた最適なソリューションを選択することが重要です。
たとえば、Web分離のソリューションと一口に言っても普段業務で使用するPC端末からWebサイト閲覧を可能にするだけで良いのか、eラーニング受講や外部とのWebミーティングなど、動画音声の転送を必要とするのかなど、導入目的・利用想定によって選択すべき方式が異なります。
製品選定、構築・運用に関して専門的なアドバイス・支援が欲しい場合は、セキュリティソリューションの導入実績が豊富なベンダー、手厚いサポートを強みとするベンダーを選ぶのも効果的です。また、本格導入前にデモやトライアルを積極的に利用し、操作感や使い勝手も確認しておくと良いでしょう。
②Web分離以外の対策を組み合わせる
企業全体で堅牢なセキュリティ環境を構築維持するためには、Web分離以外のセキュリティ対策も組み合わせて、多層防御の考え方を意識することが重要です。たとえば、ファイルアクセスの制限やWebアクセス制限、不正通信の遮断など、複数のソリューションを組み合わせることで防御層を強化することで、多様なサイバー攻撃によるリスクを最小化することができます。
③定期的にチェック・評価・改善
セキュリティ対策は一度構築して終わりではなく、定期的にセキュリティ対策を見直すことが重要です。Web分離の仕組みを含め、情報セキュリティに関する最新情報を収集しながら、常に最適なセキュリティ状態が維持できるようにしましょう。
セキュリティ強化と利便性を両立し、安全にWeb環境を利用しよう
インターネット分離は、社内ネットワークとインターネットの接点を分離することで、サイバー攻撃のリスクを大幅に低減する有力な手法です。さまざまな方式がありますが、いずれも利便性とのバランスがポイントになります。
インテックでは、ネットワークやセキュリティ課題を解決するサービスを提供しています。多くの企業を支援してきた実績とノウハウで、お客様のニーズ・課題に最適なソリューションの提案が可能です。ぜひお気軽にお問い合わせください。
TISインテックグループの自社プラットフォームサービスブランド「EINS WAVE」
『EINS WAVE(アインス ウェーブ)』は、共に課題を解決するパートナーとして、お客様のビジネスを支える最適なプラットフォームをスピーディに提供することを理想としたTISインテックグループの自社プラットフォームサービスブランドです。
クラウドサービスやネットワークサービス、データセンターサービスを中心に、お客様のビジネスの可能性を広げるIT製品・サービスなど、TISインテックグループの持つ豊富なラインナップを導入から運用までトータルにご提供します。
*こちらの記事で「EINS WAVE」誕生の背景と今後のビジョンをご紹介しています。
関連記事 いち早くIT-BCPの重要性を見通し、ネットワークとシステムのワンストップ体制を提案
「EINS WAVE」でインテックが世に問うたもの
公開日 2024年09月10日
資料ダウンロード
-
いま求められるITインフラとセキュリティの あり方とは?
本書は、デバイスを利用する場所を問わずに一貫したセキュリティ対策を実施し、同時に、業務に必要な IT サービスへのアクセスを容易にする方法を紹介します。
セキュリティ対策について悩みを抱えている社内 IT システム担当者の皆さまは、ぜひご覧ください。 -
海外製SASEの導入で生じる課題と原因とは
本書は、コロナ禍で海外製SASEを導入した企業が抱える課題と、その原因を明らかにしたうえで、有効な解決方法を提案します。
自社に最適なネットワーク環境を構築して運用の負担を軽減したいと考える、社内ネットワークの運用管理者やセキュリティ担当者は、ぜひご覧ください。 -
お問い合わせ
Webから問い合わせるあわせて読まれているコラム
関連する商品・サービス
- EINS WAVE
- 共に課題解決するパートナーとして、お客様のビジネスを支える最適なプラットフォームをスピーディーに提供したい。
その理想をカタチにしました。
- 統合型セキュアネットワークサービス
- お客様拠点間やパブリッククラウドを快適に・セキュアに接続するマネージドネットワークサービス。閉域網やオープンなネットワークを統合管理します。
- インターネット分離サービス
- インテックのインターネット分離サービスは、仮想ブラウザ技術を用い、初期コストや運用コストを抑え、インターネット分離(Web分離)を開始でき、素早くセキュリティ対策と利便性を両立したマルウェア・ウィルス対策を実現します。
- インターネット接続サービス(EINS/MOW IIC)
- ビジネスユースのお客様に最適な高品質なデータセンター構内インターネット接続サービス