インターネット分離とは何か。Web分離やネットワーク分離と呼ばれることもあり、お悩みの方もいらっしゃるでしょう。

今回はインターネット分離に関する基礎知識や課題、導入時に抑えておきたいことをご紹介します。

インターネット分離に関する基礎知識

はじめにインターネット分離に関する基礎知識を抑えておきましょう。

インターネット分離とは

インターネット分離とは特定のパソコンやデバイス、または一部のネットワークの内部において、外部インターネット接続を切り離すことを意味します。広義の意味ではWebフィルタリングやIPアドレス制限などもインターネット分離と言えるでしょう。

インターネット分離は社内ネットワークや社内システムなど、外部インターネット接続を必要としない領域や物理的な場所を設けることで、外部からのサイバー攻撃からIT資産を守ることにつながります。

また、WebフィルタリングやIPアドレス制限なども同様であり、特定のサイトの閲覧や悪意のあるWebサイトを開かないようにすること、またはIPにアクセスさせない＆特定のIPからアクセスできないことでパソコンやサーバー、もしくはサーバー上のシステムやプログラムを含む各種データを守ることを目的とします。

Web分離やネットワーク分離とも呼ばれる

インターネット分離はWeb分離やネットワーク分離とも呼ばれます。特に大きな違いはありませんが、用語として使っている場合は前後の文章でWebフィルタリングを意味するのか、それとも物理的・システム的にネットワークを切り分けているのか判別する必要があります。

外部から社内や組織内のドメインネットワークにアクセスを可能とするVPNなどについても、特定の条件を元に誰にでもアクセスできないようにする場合が多いので、似たような意味合いとして使われることもあるでしょう。

共通して言えるのは「ネットワーク外からアクセスできるか否か」と「外部ネットワークにアクセスできるか否か」です。

インターネット分離しないことによる被害

インターネット分離しないことによる被害は、インターネットにつながるパソコンやスマートフォン、タブレットなどのデバイスがサイバー攻撃を受ける標的となることです。もちろん、総合セキュリティソフトやアンチウイルスソフトをインストールしていれば格段に危険性は下がりますが、単なるWebページの閲覧であっても何らかの危険性が潜んでいることは否めません。

例えば、学校などの教育機関、または家庭においてWebフィルタリングによるインターネット分離をしなければ、子供が不適切なWebサイトにアクセスしたり見てしまったりする可能性があります。企業や組織においても、機密情報を含んだ社内システムや業務システムをインターネット分離しなければ、直接的にサーバーやパソコンを狙われて情報漏洩や改竄などの被害にあう可能性があります。

従来のインターネット分離の課題

次に従来のインターネット分離の課題をご説明します。

物理的なデバイスやネットワークのコスト

従来のインターネット分離は物理的な分離を主としており、デバイスやネットワークごと分離していたことから、それぞれのコストが必要でした。もちろん、物理的にアクセスできないのですからセキュリティ性は高まりますし、外部からアクセスは不可能となれば内部不正さえ起こらなければインシデントは発生しないというメリットはあります。

しかし、現実的には切り分けるためのコストだけでなく、運営維持するためのコストを考えると決して小さなコストではないこと、物理的に分離していることで拠点間のデータ共有や社内のデータの一元化などが難しいという課題及び問題点がありました。

Webの利便性の低下や業務プロセスの複雑化

インターネットを利用した業務がある場合、手動でインターネット分離されているパソコンに入力しなくてはならなかったり、逆にインターネット分離されているパソコンからインターネットに接続されているパソコンに入力する必要がありました。

もちろん、USBメモリやCD、DVDや外付けDVDを利用すれば単純なデータの移行は簡単に行えますが、せっかくインターネット分離したのにUSBメモリからマルウェアに感染してしまうことなどを考えると、セキュリティ性が低下していることは否めません。

また、Web上にあるサービスの利用や情報の閲覧が必要な場合でも、わざわざ別のパソコンを使わなくてはならないこともあり、業務や作業における手間を要してしまうことも課題のひとつだったと言えます。

企業や組織の規模によっては高額なコストが発生

前述した物理的なデバイスやネットワークのコストと、仮にシステム的に全改修することを考えると、一昔前ではある程度の企業や組織の規模の場合、かなり高額なコストになってしまい現実的ではありませんでした。

中小規模の場合でもWebの利便性の低下や業務プロセスの複雑化とコストパフォーマンスを鑑みると、一部のネットワークの分離は可能でも、範囲を広げてしまうとコストパフォーマンスに合わない場合の方が多かったと言えます。

未だに顧客情報の漏洩が現実問題として起きてしまうのも、USBメモリや外付けHDD、CDやDVDの紛失や置き忘れを除けば、インターネット分離ができていないことで、外部からのサイバー攻撃の対象となってしまうことが原因なのは確かです。

インターネット分離を導入する時に抑えておきたいこと

次にインターネット分離を導入する時に抑えておきたいことをご紹介します。

インターネット分離以外のセキュリティ対策や作業の遅延が発生しないか

インターネット分離以外のセキュリティ対策がどの程度かをまずは把握しましょう。システム的にも作業や業務的にもインターネット分離したネットワークやデバイスに入り込まないように設計を意識することを忘れないことが大切です。

その上で社内システムやデータベースを切り離しても業務プロセスが遅延しないかどうか、業務全体のスピードが落ち込まないかどうかを検討すべきです。また、システム的にインターネット分離する場合も同様であり、余計な手間が増えてミスを増やすことにつながらないか、非効率的でないかどうか充分に作業手順のチェックや検証を行いましょう。

社内や組織内のデータの取扱いのルールやポリシーの見直し

社内や組織内のデータの取扱いやルール、ポリシーの見直しも検討しましょう。社員や従業員全体のセキュリティ意識や知識、経験などについても一度チェックしておきましょう。せっかくインターネット分離したとしても、人的なミスによってマルウェアに感染させてしまっては意味がないからです。その他にもデータの移動や保存、閲覧に対する権限、共有や一元化のための管理についても見直しを行うべきです。

また、並行して内部不正が起こりにくい環境作りを目指しましょう。内部不正はハイリスクノーリターンであること、同時に不正をすればバレるということを周知徹底し、監視やログの保存などの体制も整えることが重要です。

インターネット分離と合わせて導入しておきたいセキュリティ技術

次にインターネット分離と合わせて導入しておきたいセキュリティ技術について詳しく解説します。

IPアドレス制限

IPアドレス制限とは、社内や組織内のネットワークおよびVPN、基幹システム、デバイスにアクセスをできるIPアドレスを制限する仕組みです。あらかじめ登録しておいたデバイスやネットワーク回線でなければアクセスできないため、外部からの不正アクセスや不正ログインに高いセキュリティ効果を発揮します。

テレワークの場合はIPアドレスが変更されないように固定IPアドレスを利用するか、MACアドレスによるデバイスの特定を行うかで制御することができます。ただし、許可されたIPアドレスやMACアドレスを持つデバイスが乗っ取られた場合、簡単に突破できてしまいますので、他のセキュリティ対策や認証と組み合わせて使うことをおすすめします。

VPN

VPNとは、Virtual Private Networkの略称であり、社外からでも社内ネットワークを利用できる仕組みを指します。ネットワーク内にあるデバイスやサーバーとも接続できるため、データの共有や基幹システムへのログインの安全性を高めてくれます。

テレワークで急激に必要とされたこと、セキュリティが確保されないまま実務での運用に入ったことで、サイバー攻撃の標的になってしまいました。VPNだから安心と過信せず、前述したIPアドレス制限や後述する多要素認証などと組み合わせて簡単にVPNに入り込めないように対策しましょう。

Webフィルタリング

Webフィルタリングとは特定のIPアドレスやURLへのアクセスを許可・拒否する仕組みです。一般的にはホワイトリストとブラックリストが設定されており、ホワイトリストは許可、ブラックリストは拒否という形で運用しています。

Webフィルタリングはフィッシングサイト、マルウェアや悪質なスクリプトが埋め込まれたサイトなどを拒否するのに役立つ他、不必要なサイトへのアクセスを遮断できるため、SNSやクラウドサービスの利用を制御したい場合にも役立ちます。

多要素認証

多要素認証とは、IDとパスワード以外に複数の認証要素を組み合わせる認証形式です。セキュリティキーやセキュリティコード、メールやSMSによる認証、顔認証や指紋認証などさまざまな要素があります。本人以外が持たない、本人しか知らない要素で認証を増やす形です。

多要素認証を導入すれば、外部からのサイバー攻撃に強くなる他、本人だけが持っている情報や物理的なデバイスで利用者を特定するため、内部不正に対しても抑止力になります。逆に言えば、セキュリティキーを盗まれたり、特殊な方法で指紋を採取したりすることで簡単に突破されてしまう仕組みでもありますので、他の対策と組み合わせてセキュリティを強化することが重要です。

PC操作ログ・Web閲覧履歴・メール送受信履歴の取得と監視

監視を行う仕組みを取り入れることも大切です。PC操作ログ・Web閲覧履歴、メール送受信履歴を取得し、いつ・どこで・だれが・何を・どのようにしたという情報を監視することで、従業員の作業や業務における透明性を確保し、内部不正の抑止力につながります。

また、サイバー攻撃に対しても効果的であり、なりすましや乗っ取りによる不正操作を検知し、遮断することで被害が拡大するのを防ぎます。同時に、テレワークなどにおいて勤怠のチェックを行ったり、遠隔での進捗や作業管理にも役立てたりすることも可能です。

デバイスの特定や不正PCを遮断・拒否する仕組み

IPアドレス制限や多要素認証も含め、デバイスや利用者の特定、そして不正PCを遮断・拒否する仕組みもセキュリティの強化に役立ちます。監視や検知をするだけでなく、具体的に対処するためにも必須です。

不明なデバイスなのか、許可したデバイスなのかを特定できるようになれば、ネットワークやシステム側で遮断や拒否することも可能となり、逆に許可を出すことで新しいデバイスの導入時でもスムーズに利用を開始できます。

デバイス制御・モバイルデバイス管理

デバイス制御やモバイルデバイス管理はデバイスのOSやスペック、ソフトウェアやアプリの管理、各種アップデートやアップグレードなど、社内や組織内のネットワークやシステムに接続するデバイスの安全性を高める仕組みや考え方です。デバイス自体の脆弱性やセキュリティホールへの対策とともに、不要なアプリや悪質なソフトウェアをインストールさせないことでセキュリティを確保します。

現実問題としてテレワークが普及したことにより、セキュリティが低いデバイスがサイバー攻撃の標的として狙われ、既に被害を受けているケースもあります。また、BYOD（Bring Your Own Device）といった形で私物のパソコンやスマートフォン、タブレットを仕事で利用するケースにおいても、安全性を確保しつつ、仕事とプライベートを切り分けながら利用することが可能です。

さらなるセキュリティ強化に役立つ「IT資産管理」と「情報資産管理」

次にさらなるセキュリティ強化に役立つ「IT資産管理」と「情報資産管理」について解説します。

IT資産管理でデバイスに関するセキュリティを強化

IT資産管理は、パソコンやスマートフォン、タブレット、ネットワーク機器、Wi-Fi、サーバーなど物理的なIT資産を管理する仕組みです。インターネット分離に欠かせないIT機器の特定や管理ができる仕組みでもあるため、考え方や仕組みを導入しておきましょう。

また、従業員がセキュリティを過度に意識しなくても、知識がほとんどなくても安全に利用できるデバイスを提供することでもあります。物理的なデバイスを安心して使えることで、不安なく仕事に集中できるような環境を整えるようにしましょう。

情報資産管理でデータに関するセキュリティを強化

情報資産管理は、デバイスやサーバー上のデータおよびシステムを安心・安全に管理する仕組みです。サイバー攻撃や内部不正など、システム面でのセキュリティを強化します。企業や組織として大切に守るべき財産として、データ＝情報資産と考えることでもあり、情報漏えいやデータ改ざんなどのリスクを低減することにもつながります。

必要な部門や部署がデータを安全に扱えること、不要な部署や部門、担当にはデータの存在すらわからないようにしておくことなど、透明性を高める対策でもあります。その上で前述したPC操作ログ・Web閲覧履歴・メール送受信履歴の取得、監視を行うことで、被害を最小限に留めつつ、うっかりミスやヒューマンエラーによるセキュリティインシデントの帽子にもつながるでしょう。

「IT資産管理」と「情報資産管理」の併用がおすすめ

IT資産管理で物理的なデバイスを、情報資産管理でシステムやデータを守る形がベストであるため、併用してセキュリティ基盤を構築することを意識しましょう。サイバー攻撃も内部不正も対策されていることを知っている、もしくは脆弱性やセキュリティホールを悪用している第三者による被害です。必ずしもすべての従業員がセキュリティ人材ではありませんから、情報システム部やセキュリティ担当が率先してセキュリティの要になる必要があります。

システム的なセキュリティ・ツールを利用するとともに、従業員のセキュリティリテラシーを向上すること、最新のサイバー攻撃や脅威についても周知徹底し、システム面と人的な面でのセキュリティ対策を行うことで被害を防ぎましょう。

総合的なセキュリティ対策となるツールを導入しよう

従来のインターネット分離とは違い、現在ではシステム的なインターネット分離も非常に低コストかつ安全性が高いものになりました。クラウド上のサーバーを利用して物理サーバーを社内に置かないというパターンも増えているほどです。だからこそ、総合的なセキュリティ対策となるツールの導入を検討しなくてはなりません。

当社の提供するIT資産管理ソフト「AssetView」ではWebフィルタリングやIPアドレス及びデバイスによる制限など、システム的なインターネット分離を可能とします。もちろん、物理的なインターネット分離と合わせることでもさらに堅牢になりますが、AssetViewであれば、システム的なインターネット分離でも充分にセキュリティ性を確保できること、同時にPC操作ログによる内部不正対策、情報漏洩対策、ウイルス対策など総合的なセキュリティ対策が可能となります。

もし、外部ネットワークからの攻撃への対策やセキュリティ性の高いソフトウェアをお探しであれば、お気軽にご相談、お問い合わせください。

まとめ：サイバー攻撃は多角的な防御対策が鍵

今回はインターネット分離に関する基礎知識や課題、導入時に抑えておきたいことをご紹介しました。

従来の物理的なインターネット分離とは違い、現在はシステム的なインターネット分離でも高いセキュリティ性を確保できます。しかし、インターネット分離以外のセキュリティが甘ければセキュリティ性が下がってしまうことを考えると、総合的なセキュリティ対策、多角的な防御対策が必要です。特にサイバー攻撃はいたちごっこで日々進化していることを考えると「対策しているつもり」になっているだけでは、いつ何時被害にあうかわかりません。

車の運転ではありませんが「サイバー攻撃を受けないだろう」ではなく、「サイバー攻撃を受けるかも知れない」と常日頃から警戒しながら、疑いながらセキュリティ性を確保しましょう。