\ 金融業界のご担当者様必見! /
インターネット分離のクラウド化はどう実現する?
3つの要素を解説!

インターネット分離はクラウドでどう実現する?

 

※2022年8月15日 更新

皆さんこんにちは、日商エレクトロニクスでVDIの製品担当をしている鈴木と申します。

金融業界においては、インターネット分離(web分離)環境が業務環境のセキュリティを守る要となっている企業様も多いかと思います。

インターネット分離環境のEOSLに向けてクラウドへのリプレイスに関して情報収集をされていらっしゃる方で、XenAppやXenDesktopをご利用中ですと

Citrix DaaS(Citrix Cloud)などのDaaSで実現できそう
その中でもOffice 365が使えるAzureがいいかな」など

なんとなくリプレイス先のイメージがついているかもしれません。

しかし、メールの事前・事後承認や添付ファイル分離、データ授受の仕組みなどを含むインターネット分離環境全体をどう実現するのか、具体的にイメージするのは難しいですよね。

そこで本日は、インターネット分離に必要な要素である

  • ブラウジング環境
  • データ授受
  • メールセキュリティ

について、AzureのDaaSで検討する際のポイントと具体的な実現方法を解説したいと思います!

こんな方におススメ

  • インターネット分離環境のリプレイスをDaaSで検討中
  • 周辺システム含むインターネット分離全体の具体的な実現方法がイメージできていない
  • クラウドならではの検討ポイントを知りたい

なお、Azureで「業務プロセスを変化させず」「セキュアに」リプレイスする方法がわかるセミナーを2022年12月7日に開催します。
マイクロソフトのスペシャリストが登壇、Azureのセキュリティ強化術も併せて解説していただきますのでご興味お持ちいただけましたら、ぜひお申込みください。


インターネット分離 インターネット分離リプレイスセミナー
お申込みはこちら



1. ブラウジング環境の作り方

ブラウジング環境の作り方

ブラウジング環境について、DaaSを用いて内部と分離するだけでは安全なインターネット分離環境とは言えません。

具体的に、検討すべき項目は下記の3つありますので、それぞれ解説していきます

  1.  危険サイトへのアクセスを防止するためのwebフィルタリング設定
  2.  マルウェア侵入防止のためのアンチウイルスの実装
  3.  想定しないインシデントを防ぐためのブラウザ機能制限

ポイント①
危険サイトへのアクセスを防止するためのwebフィルタリング設定

Webフィルタリングには、下記2つの方法があります。
・オンプレミス環境ですでに使っているファイアウォールやプロキシを流用する
・クラウドのwebフィルタリングサービスを導入する

● 既存のシステムを利用する場合

DaaSの存在するパブリッククラウドとオンプレミス環境をVPNもしくは専用線で接続し、DaaSから外に出る通信をオンプレミス側へ流すよう構成することで実現できます。

メリット

  • 今までと同じシステムを使えるため運用スキルをそのまま流用できる
  • サーバ構築やライセンス購入など、新たな投資がほぼ不要

デメリット

  • DaaSから直接外へ出る通信をオンプレ経由にする、つまり通信を遠回りさせることになるため、多少の遅延が生じる可能性がある

実際に動作検証を行い、運用に耐えうる速度が出るかチェックすることが重要になります。

● クラウドのwebフィルタリングサービスを導入する場合

Microsoftが提供する「Azure Firewall」か、「i-FILTER」などAzureに対応する製品を選定し実現します。

メリット

  • クラウドに特化したサービスで比較的シンプルに設定できる
  • 必要な分だけ課金するタイプが多く、余分なコストがかからない

デメリット

  • 既存のシステムを利用する場合と比較するとカスタマイズできる範囲が限定される
  • 可用性がベンダーに依存するため、サービスレベルに注意する必要がある

製品選定の観点では、互換性や動作の安定性を考えるとMicrosoftの1st-party製品であるAzure Firewallを導入することが望ましいですが、コストや機能の詳細を見て他の製品をご検討いただくお客様もいらっしゃいます。

例えば、ポリシーの柔軟性の観点ですと、Azure Firewallでは実現が難しい「曜日・時間別のコントロール」が可能なi-FILTERに軍配が上がります。

Azure Firewallについては、ご紹介のブログがありますのでご興味お持ちいただけましたらぜひご覧ください。

Azure Firewallとは|これさえ読めば丸わかり!Azure Firewallの教科書 ①

ポイント②
マルウェア侵入防止のためのアンチウイルスの実装

ブラウジングと同じく、下記2つの実現方法があります。

  • すでに使っているアンチウイルスソフトを流用する
  • クラウドのアンチウイルスサービスを導入する

すでに使っているアンチウイルスソフトの流用については、アンチウイルスソフトを入れるとDaaS環境が立ち上がらないことが検証中に判明したお客様も過去にいらっしゃいましたので動作検証は必須です。

しかし、すべての製品がNGなわけではありませんので自社で利用しているものが対応できるか不安な方はぜひ一度お声がけくださいませ。

クラウドのアンチウイルスソフトについてですが、AzureのDaaSですと、なんと、無償&デフォルトで入っている「Microsoft Defender(旧 Windows Defender)」をご利用いただけます。

「無償デフォルト機能なんて役に立たないのでは?」と思う方も多いかと思いますが、ご安心ください。

ウイルス対策ソフトウェアをテストおよび評価するオーストリアの独立組織「AV-Comparatives」の評価レポートを見ると、Microsoft Defenderはオフライン検出率が92.8%、オンライン保護率の数値は99.9%と発表されています。
これは、他の有償ソフトと比べても引けを取らないレベルです。

もちろん、Microsoft Defenderを入れたから安心、と言い切れるものではありませんが、コストを抑えつつ高いセキュリティレベルを確保するのに有効な手段と言えます。

ポイント③
想定しないインシデントを防ぐためのブラウザ機能制限

最新のブラウザは様々な機能をアドオンできるため、想定外な操作の実行や情報の外部送信が実行される可能性があります。

例えば2020年には、セキュリティ企業のAvast Softwareが、ChromeやEdge向けに提供されている拡張機能の少なくとも28種類にマルウェアが組み込まれていることを確認、その時すでに世界で300万人以上が影響を受けていました。

他にも、デフォルトでパスワード含む個人情報を取得する設定になっている拡張機能もありますので、知らず知らずのうちにセキュリティリスクを上げてしまうこともあります。

こちらに関しては、ただ単に何かのシステムを導入すればよい、というものでは無いため、要件に応じて設計や設定を行う必要があります。
見落としがちなポイントですので、ブラウザのアップデートとともに実装していく必要があります。

 

2. データ授受の仕組み

データ授受の仕組み

ブラウジング環境を内部環境と完全に分離し、webフィルタリングやアンチウイルス、その他の制御も実装してセキュリティを担保したとしても、データを自由に行き来させられてしまっては元も子もありません。

そこで、安全なデータ授受の仕組み作る必要がありますが、クラウドではどのように実現するのでしょうか?

今回は、タイプの違う実現方法を2つご紹介します。

実現方法① Share Pointを用いた仕組みづくり

DaaS上でダウンロードしたファイルをSharePointの指定フォルダにアップロード、上長承認の後、システム管理者が権限を付けることで
内部にダウンロードさせることができるという仕組みです。
Share Pointを用いた仕組みづくり
メリット

  • Microsoft 365ライセンスを利用中の場合は追加費用が掛からない
  • ファイルサーバとしても利用できる

デメリット

  • ファイル受け渡しに特化した製品では無いため、仕組みがやや複雑になる

実現方法②ファイル受け渡しサービスを用いる

データをアップロードすると別環境でダウンロードできるようになるサービスがありますので、それを導入するというのも1つの方法です。

ファイル受け渡しサービスを用いる

メリット

  • ファイル受け渡しに特化しているため、無害化機能などセキュリティ機能が元々ついていることが多い

デメリット

  • ライセンス費用が追加で必要

セキュリティ要件や運用負荷、導入コストを比較検討して適切な方法を選択しましょう。

 

3.  メールセキュリティ

メールセキュリティ

Eメールを介してのサイバー攻撃が増加している現在、いくら内部環境と分離しているからと言って何も対策しない、という訳にはいきません。

メールセキュリティにおいて、検討すべき項目は下記の2つです。

  1. 外部の脅威から環境を守るためのメール無害化、添付ファイル分離
  2. 内部からの情報漏洩を防ぐための事前・事後承認

これらは、DaaSの機能だけでは防ぐことが難しいためクラウドベースのメールセキュリティ製品の導入が効果的です。

具体的には、Mail DefenderやSmooth Fileなどの製品が挙げられます。
これを利用することで、メール自体の無害化、添付ファイルの自動分離・無害化はもちろん、承認フローを組むことが可能になります。

 

4. 最後に

いかがでしょうか?本ブログが、クラウドで実現するインターネット分離環境のイメージをつけていただく一助となれば幸いです。

近い将来インターネット分離のリプレイスが控えているという場合には、製品選定のご相談から承りますので下記のページから、是非お気軽にお問い合わせくださいね。


インターネット分離 日商エレの
インターネット分離リプレイス支援

 

この記事を書いた人

鈴木梨玖
マーケティング担当の鈴木です。
VDIやDataAI製品を中心に、セミナー、ブログ、メルマガなどで情報を発信しています!
よろしくお願いいたします_(._.)_