インターネット分離の“困った”を解決する最新製品の実力は?:IT導入完全ガイド(2/2 ページ)
業務ネットワーク環境とインターネット接続環境を異なるセグメントとして扱う「インターネット分離(アイソレーション)」。2つの最新製品に注目した。
PC内部に分離領域を作り、インターネット分離環境を包み込む
アプリケーションやデータを仮想的にラッピング
ソリトンシステムズが提供する「WrappingBox」は、WebブラウザやOfficeなどのWindowsアプリケーションを、PCや仮想デスクトップ内の「分離領域」で動作させてインターネット分離を実現するソリューションだ。同社では、分離領域で動作している状態を「ラッピング」と呼んでいる。
インターネットへの接続は、必ずセキュアゲートウェイを通過しなければならず、ここにはラッピングされたアプリケーションからしかアクセスできない。つまり、ラッピングされていないWebブラウザやアプリケーションからはインターネットに一切アクセスできないのだ。
WrappingBoxは、ラッピングされたアプリケーションのプロセスを監視し、ローカル環境へのファイル保存、クリップボードコピー、印刷、レジストリ編集、COM(Component Object Model)経由でのアプリケーションの呼び出しを制御することで分離領域に閉じ込める。また、インターネット経由でダウンロードしたデータは分離領域内に保存されるが、アプリケーションの終了と同時に分離領域ごと自動消去される。
ランサムウェアも封じ込める
分離領域内でランサムウェアに感染した場合も、ローカル環境(分離領域外)へのファイルアクセスやレジストリ編集は制御されており、実データに被害が及ばない。同社のテストでは、最近のWannaCryやPetyaの感染活動を封じ込めたことが確認されている。
また、Web以外の経路でローカル環境がマルウェアに感染してしまった場合でも、C&Cサーバへの通信がインターネットに接続できないため、攻撃チェーンが絶ち切れる。情報漏えいリスクを大きく低減できるだろう。
従業員に操作の違和感を抱かせない
この方式の特長は、従業員が普段使っているPCの環境をそのまま使い続けられることだ。例えば、WordやExcelの文書を扱う場合、インターネット経由でダウンロードしたファイルを閲覧する場合には自動的にラッピングされた状態でOfficeアプリケーションが立ちあがる。
画面をよく見ればアプリケーションの縁が青く囲まれているので分離領域で起動したことが分かるが、アプリそのものの使い勝手は変わらない。専用の仮想化クライアントなどを立ち上げる操作も不要だ。
分離ネットワーク間をつなぐファイル転送オプション
分離領域内で操作したファイルは、そのままの状態ではアプリケーションの終了と同時に消去されてしまう。インターネットから入手したファイルをローカル環境に取り込むために、ソリトンシステムズではファイル転送アプライアンス「FileZen」を用意する。このアプライアンスとセキュアゲートウェイを連携させるわけだ。
具体的には、分離領域からセキュアブラウザ経由でファイルをFileZenへとアップロードし、ローカル環境用のWebブラウザを使ってFileZenからダウンロードする。上長承認やIPアドレスごとのアクセス制御、ウイルスチェックなどの機能が利用できる。
Copyright © ITmedia, Inc. All Rights Reserved.