業務効率を落とさない「インターネット分離」の基礎：IT導入完全ガイド（3/3 ページ）

標的型攻撃などのサイバー脅威対策として「インターネット分離（アイソレーション）」に注目が集まる。本稿では3つの方式について整理してみよう。

[宮田健，キーマンズネット]

ソリューション選定時に検討しておきたいポイント

　上記で分類したインターネット分離の方法には、それぞれ長所と短所が存在する。例えば、インターネット分離環境におけるWeb閲覧では、ネットワークの境界部分に何らかのプロキシサーバを設置するものが多い。この中継サーバの冗長化や利用するツールのライセンス体系は事前に確認しておきたい部分だ。

　ここでは簡単に製品選定の際に検討しておきたい項目をまとめてみよう。

• Webブラウザの画面印刷は必要か
• 無害化したダウンロードファイルの保存や共有は必要か
• 動画や音声コンテンツの対応は必要か
• Microsoft Officeの文書の閲覧は必要か
• PDFの保存やダウンロードは必要か
• ActiveXコンポーネントやAdobe Flashなどの利用は必要か
• クライアント証明書認証を使う必要はあるか
• 分離領域の初期化は可能か
• 中間サーバなどの冗長化は必要か
• Active Directoryサーバの追加は必要か
• 古いバージョンのInternet Explorerサポートは必要か

安全にファイルを共有する方法を考える

　どのような方式であれ、インターネット分離を実施した環境においては「セグメントを越えたファイルの安全なやりとり」が現場の困りごとの1つとして挙げられる。インターネット側から受け取ったファイルをファイルサーバに保存したり、基幹システムから抽出したデータをローカル環境で加工し、メールで外部に送信したりといった作業はよくある業務だ。この部分の手だてを講じていないと、従業員は何らかの抜け穴を生み出してしまうだろう。

　まず、ファイルの移動に関してだが、情報の持ち出しを管理する観点からも「上長の承認を必須とする」「ファイルの移動ログを取得する」といった仕組みを構築したい。また、特に外部（インターネット）から持ち込まれるファイルに関しては無害化ソリューションの導入を考えるべきだろう。例えば、Office文書に設定されたマクロなどに起因するセキュリティリスクを減少するために、PDFに変換したり、画像化したりしてユーザーの手元に届けるツールが存在する。