沖縄3自治体「ユーザーからの問い合わせがない」インターネット分離成功の鍵(1/2 ページ)
ユーザーの利便性を落とさずに「インターネット分離」を運用できるケースは少ない。しかし、沖縄県3自治体に導入された、2つのブラウザを使い分けるソリューションは約2年の間「ほぼ問い合わせがない状態」という。
組織内ネットワークを外部脅威から防護するための効果的なソリューションとして注目されている「インターネット分離」だが、ユーザーの利便性を落とさず運用できるケースは少ない。しかし2017年、沖縄県3自治体に導入された2つのブラウザを使い分けるインターネット分離ソリューションは、これまで約2年の稼働の間まったく問題なく運用され「ユーザーからほぼ問い合わせがない状態」が続いている。構築に尽力した沖縄クロス・ヘッドの営業部リーダー、喜久村徳一氏がこの取り組みの概要を語った。さらに、ブラウザの使い分けも必要とせず、従来の操作性そのままにインターネット分離を実現する最新の仕組みについても披露する。以下で詳しく見ていこう。
大規模情報漏えい事件の波紋……沖縄3自治体の取り組みは?
那覇市に本社を置く沖縄クロス・ヘッドは、アジア広域クラウドサービス・プロバイダーとして成長中の企業。2017年には、地元の3自治体(沖縄県南城市、名護市、渡嘉敷村)のインターネット分離システムの構築を実現した。
2015年に発生した、日本年金機構における大規模情報漏えい事件を契機に、各自治体でインターネット分離の取り組みが必須となった。事件で従来のセキュリティ対策ではマルウェアの侵入を完全に検知できないことが明らかになり、総務省は「自治体情報システム強じん性向上」のために、ガイドラインを公表。自治体情報システムを3層分離構造とすることを推奨したのだ。3層分離構造は、住基ネットを運用する事務系、LG-WAN(総合行政ネットワーク)接続系、Webブラウジングやメールを利用するインターネット接続系から成る。自治体はそれぞれのネットワークを分離、独立することが求められ、既に整備済みの事務系とLG-WAN系に加え、新たにインターネット接続系ネットワークを整備することになった。
「多くの自治体はLG-WAN系とインターネット接続系ネットワークが同一であり、セキュリティ製品を多層的に整備することで、ネットワークの入口対策や出口対策、内部対策を行っていた。しかし、総務省のガイドラインが出たことにより、内部端末をインターネットに接続し、外部サイトを自由に利用できる仕組みの構築が必要になった」(喜久村氏)
マイクロソフト製品のライセンス費用なし――低コストのインターネット分離とは
インターネット分離の最もシンプルな形はインターネットに接続可能な端末を特定し、その端末以外は接続経路を持たないようにすることだ。自治体の中にはそのような手法を採用したところもあるという。しかし一般的にWeb利用はほとんどの業務において必要とされており、インターネットに接続可能な端末を限定してしまでば、業務に支障が出る。そこでよく用いられるのが「仮想分離」だ。これにはいくつかの手法があるが、同社が適切と判断したのが、アシストが提供するクライアント仮想化製品「Ericom Connect」を基盤としたダブルブラウザソリューションだった。
ダブルブラウザソリューションでは、インターネットを利用するユーザーは2種類のブラウザを使い分ける。一方は従来のローカルブラウザで、こちらはイントラネット接続専用、もう一方がインターネット接続専用のブラウザ(仮想ブラウザ)だ。仮想ブラウザの実体は、組織外のデータセンターで運用されているダブルブラウザサーバにある。ユーザーが自分の端末の仮想ブラウザでインターネットの各種サイトにアクセスすると、ダブルブラウザ(Internet ExplorerやGoogle Chrome)サーバが代わりにそのサイトに実際のアクセスを行い、サイトから返される画面のデータだけを、仮想ブラウザに伝送する。
ユーザー端末とダブルブラウザサーバの間は独自プロトコルで接続されており、両者間ではHTTP、HTTPSプロトコルは一切使われないため、マルウェアが、外部サイトから組織内端末に届くことはない。また出口対策としてインターネットへの接続は専用ブラウザ経由でなければできないため、内部ネットワークが何らかの理由でマルウェアに感染しても、マルウェアは外部の司令サーバとの通信ができなくなり、被害が予防できる。
喜久村氏によれば、コストや利便性のメリットもあるという。
「業務用PCに同ソリューション専用のクライアントモジュールをインストールするだけでよく、初期費用やランニングコストを抑えられる。Linuxブラウザが選択可能なため、マイクロソフト製品のライセンス費用を節約するという選択も可能になり圧倒的に低コストで実装できる。また使い慣れたブラウザの操作性をそのままに、シングルサインオンやブラウザの自動選択起動など日本のIT文化を意識した機能を搭載している」(喜久村氏)
結果的に、名護市はLinux版、他はWindows版をオンプレミスで構築するに至ったという。約2年の運用を経て、これまでほぼ問い合わせがなく、安定的に稼働しているという。自治体側の評価も上々で、安全なインターネット利用基盤が整備できたことに加え、職員の意識向上にも役立ったという声が上がった。一般に心配される、ダブルブラウザにしたことによる通常業務への影響もない。
今後の課題として喜久村氏は「今回のようなオンプレミス構築ではなく、時流に沿ってクラウドサービスとしてのソリューション提供を図りたい。また一部のユーザーから2つのブラウザの使い分けが分かりにくいという指摘を受けており、その解決も必要」と話す。
Copyright © ITmedia, Inc. All Rights Reserved.