目次
  1. ネットワークセキュリティとは
  2. 境界ネットワーク(DMZ)
  3. ネットワーク分離
  4. シンクライアントとVDI
  5. RBI(Remote Browser Isolation)
  6. WEBアイソレーション
  7. IAP(アイデンティティ認識型プロキシ)
  8. まとめ

ネットワークセキュリティとは

ネットワークセキュリティとは、サーバーへの不正アクセスを防止するためのセキュリティ全般を指すもので「メールセキュリティ」「ウィルス・マルウェア対策」「アクセス制御」「ネットワークセグメンテーション」など様々なものがあります。
ここでは企業でよく利用される「境界防御モデル」「ゼロトラストモデル」のネットワークのセキュリティを説明していきます。

境界ネットワーク(DMZ)

ネットワーク全体を「外部ネットワーク」「内部ネットワーク」「DMZ」の3つに分離し、それぞれの境界にファイアウォール、IDS(不正侵入検知システム)、IPS(不正侵入防御システム)等を配置することで外部からの脅威に備えセキュリティを確保する方法です。

分 類 説 明
外部ネットワーク インターネットから接続可能なネットワークです。誰でも接続できるネットワークなので攻撃を受けやすく、漏洩リスクのある情報はDMZに配置したサーバーへ保存するようにします。
DMZ 外部ネットワークから接続できるネットワークです。主に外部ネットワークに配置されたサーバーが使用する情報を保持するサーバーを配置します。DMZに侵入されたとしても内部ネットワークへの不正侵入は守らなければいけません。
内部ネットワーク 安全なネットワークで外部からは入ってこれません。安全なネットワークとして管理され、配置されたサーバーは簡易な方法でアクセスできます。

ネットワーク分離

「情報系ネットワーク」「基幹系ネットワーク」を論理的、物理的に分離することでセキュリティを高める方法で、多くの自治体や学校関連で広く導入されました。
インターネットから隔離されている基幹系ネットワークは、外部からの脅威にさらされることがなくセキュリティ確保が可能ですが、インターネット接続への制限やネットワークごとの端末導入など利便性を損ねることが問題となっており、RBI(Remote Browser Isolation)を使ったブラウザの実行環境からPCを分離する技術の導入が進んでいます。

分 類 内 容
情報系ネットワーク メール、スケジューラー、SNS、チャット、Web会議等のコミュニケーションや情報共有のシステムを使用するためのネットワークです。多くの場合、インターネットの接続が許可されています。
基幹系ネットワーク 生産管理、人事給与、会計システム等の業務の基幹システムを使用するためのネットワークです。ネットワークに侵入されると致命的となるため厳密なアクセス制御をかける必要があります。
多くの場合、不必要なインターネットへの接続を許容しません。

シンクライアントとVDI

クライアント端末側では表示・入力のみを行い、ソフトウェアの各種処理はサーバー側で行うシステム、あるいはそのクライアント端末のことをシンクライアントと言います。
また、仮想化技術を活用し、ハイパーバイザー上に複数の仮想デスクトップを動作させる仕組みをVDI(Virtual Desktop Infrastructure)と言います。
この仕組みではシンクライアント側にはソフトウェアはインストールされないため、マルウェア等には感染しません。VDI環境は一般的なデスクトップ環境と同じですが仮想環境のため削除や新規作成が容易です。

RBI(Remote Browser Isolation)

ブラウザの実行環境をPCから分離した上で、ブラウザの画面をPCに転送する技術です。
WEBアクセス時にマルウェアに感染してもPCへは影響が出ず、RBI環境自体も利用するたびに初期化されるためマルウェアが残存することはありません。

WEBアイソレーション

RBIの一種でコンテンツを無害化するサーバーで実行されクライアント端末のブラウザに転送されます。一般的なRBIでは専用のブラウザが必要ですが、WEBアイソレーションを使った場合は標準的なブラウザをそのまま利用することができます。

IAP(アイデンティティ認識型プロキシ)

ゼロトラストネットワークとして紹介されるもので、ユーザー認証を行った上で社内ネットワークとのネットワークを確立する仕組みです。
社内ネットワークに配置されたコネクタは、クラウドのID認識型プロキシに接続しネットワークを確立します。
利用者はエージェントを使用しID認識型プロキシにログインし、コネクタを経由して社内ネットワークのサーバーに接続します。
すべての通信はトンネリングを通って行うので、社内ネットワークではアウトバウンドしか利用しません。インバウンド通信をすべて遮断できるためネットワークの管理が容易で非常にセキュアです。

まとめ

今回は企業でよく利用される「境界防御モデル」「ゼロトラストモデル」のネットワークセキュリティについて紹介しました。企業活動においてネットワークは欠かすことはできませんが、ネットワーク上で管理している情報を狙った数々のサイバー攻撃も後を絶ちません。企業存続を揺るがすような重大インシデントに繋がる可能性もありますのでネットワークセキュリティ対策は必須です。このコラムが、皆さまのネットワークセキュリティ対策のヒントになれば幸いです。