自治体が採用、リスクの根源を絶つセキュリティ対策「インターネット分離」

注目を集める「インターネット分離」

最近、「インターネット分離」という言葉が注目を集めている。これは、総務省や経済産業省などのガイドラインで推奨されているセキュリティ対策の一つで、業界により存在する専用のネットワークとインターネット接続用のネットワークを分離するというものである。

たとえば、総務省は、高度なセキュリティを維持した行政専用のネットワークとして、地方公共団体が相互利用する「LGWAN（総合行政ネットワーク）」を管轄している。LGWANは、地方公共団体間相互の情報交換や情報共有に活用されているほか、人事給与や財務会計などのシステムが接続されている。また、住基ネット用のネットワークもあり、マイナンバーの情報などが厳重に管理されている。

同省は、「自治体情報システム強靭性向上モデル」に基づき、このLGWAN接続系とインターネット接続系を分離し、ネットワークのセキュリティを確保することを推奨している。

従来のセキュリティ対策の限界

インターネット分離という考え方は、決して新しいものではなく、以前から存在している。それが改めて注目を集めるようになった背景には、サイバー攻撃の手法の高度化と複雑化が関係している。

つまり、インターネットが普及し、スマホやノートPCなどを利用して閉域ネットワークとインターネットの双方に接続して業務を行うケースが増加した一方で、サイバー攻撃の手口がますます巧妙になり、インターネットの脅威が増大した結果、重要情報を扱うシステムとインターネットを同じ端末で利用するリスクが高まってしまったのだ。

メールの件名や本文、添付ファイル名などに工夫を凝らし、社内や取引先を装って受信者を油断させ、ウイルスを実行させるのだ。

標的型攻撃には、インターネット経由で遠隔地から操作できるウイルスが使われるため、パソコンがウイルスに感染すると、侵入したウイルスにより独自ネットワーク側から重要な情報を盗み取られる可能性がある。

これらの脅威に対する対策として、不要な通信を遮断するファイアウォールやマルウエアを検出するウイルス対策ソフトなどが普及している。しかし、従来型のセキュリティ対策だけでは、すり抜けや誤検知の発生が後を絶たず、巧妙化するサイバー攻撃から個人情報や機密情報を守ることは難しいというのが現状である。

インターネット分離を実現する方式

そこでクローズアップされているのが、インターネット分離という考え方である。2015年5月に日本年金機構の情報漏えい事件が発生したのを契機として、各自治体に対して住民基本台帳システムとインターネット用端末を完全に分離することが求められ、経済産業省と情報処理推進機構が策定した「サイバーセキュリティ経営ガイドライン」においてもインターネット分離の考え方が示された。

インターネット分離は、従来のセキュリティ対策の「検知して防ぐ」という方法とは異なり、情報漏えいを招く根源となる「インターネット」との接続を絶ってしまうため、大切なシステムやデータをより確実に脅威から守ることが可能になる。（図1）

（図1：従来のセキュリティ対策とインターネット分離）

インターネット分離の最も単純な方法は、インターネットにアクセスする端末と重要システムにアクセスする端末を物理的に分けてしまうことである。

だが、このやり方では、導入コストや管理運用コストが高く、管理も煩雑な上に、ひとりで2台のパソコンを操作しなければならなくなり、生産性が低下する可能性もある。

そこで近年では、インターネット分離を実現する方法として、「画像転送」と「無害化」の2種類が一般的となっている。

「画面転送」は、踏み台のサーバをオンプレミスかクラウドベースで用意し、仮想パソコンをリモートデスクトップや仮想デスクトップなどの機能により操作することで、インターネットを使用したいパソコン上に表示画面の画像データのみを転送し、インターネットに接続していないパソコンからでもブラウザーを使ってWebサイトの閲覧やメールの送受信を可能にするというものである。

インターネットにアクセスする踏み台となるサーバと端末間の通信は、画面情報のやりとりのみでファイル授受を制限する。そうすることで、万一踏み台のサーバがウイルスに感染しても、企業側にあるパソコンや社内ネットワークが影響を受けることはないため、サイバー攻撃の影響を回避できるのである。

「無害化」は、ファイルやメールからのウイルス感染を防ぐ技術のことである。前述のとおり、最近の標的型攻撃は、メールにウイルスを添付して言葉巧みにウイルスを実行させる。

そこで、インターネットから届くメールや添付ファイルを安全に受信するために無害化の仕組みを導入する。

具体的には、HTMLメールをテキストメールに変換したり、メールにあるハイパーリンク（URLへのリンク）を削除する。また、添付ファイルからマクロやスクリプトを削除したり、画像ファイルに変換する。こうすることで、ウイルスの可能性のある実行ファイルや、脆弱性のあるアプリケーションのファイルを開いてしまう可能性をなくし、リンクを不用意にクリックしてしまうリスクを防止するのである。（図2）

（図2:画像転送とファイル無害化）

各業界で進むインターネット分離の取り組み

このようなインターネット分離による独自のネットワークは、自治体だけに限ったものではない。たとえば、金融業界では、金融機関ごとに個人情報や入出金情報、借り入れ状況などの情報を支店から本店へ吸い上げるためのネットワークが、インターネット接続用とは別に存在している。

また、医療業界でも、電子カルテが導入された頃より、個人情報保護の観点から院内ネットワークの分離が行われており、電子カルテやPACSデータなどの医療情報をインターネットから隔離させた「HIS系」と、インターネットに接続できる「情報系」の2つのネットワークに分離され、厚生労働省が定めているセキュリティなどのガイドラインも異なるものが適用されている。

もちろん、インターネット分離は、一般企業でも非常に有効なセキュリティ手段となる。企業にも基幹系と情報系のネットワークがあるため、これらをインターネットと切り離すことで、重要な情報を扱うネットワークへのウイルスの侵入を阻止することができるようになる。

それでも「過信」は禁物

しかし、ネットワークをインターネットから切り離したからといって、「これで100％安全だ」と過信するのは危険である。

たとえば、分離されたパソコンがUSBメモリなどからマルウエアなどに感染するリスクや、情報漏えいやパスワード漏れによる不正アクセスなどのリスクは依然として残されている。

「これさえやれば大丈夫」という決定的なセキュリティ対策は存在しない。ネットワーク以外のリスクにも目を向けて、複数の対策を組み合わせ、被害に遭うリスクをできるだけ低減させようとする姿勢が、脅威を増すサイバー攻撃に対処していく上では重要である。

◎製品名、会社名等は、各社の商標または登録商標です。