古くから金融機関や官公庁などで導入されてきた「ネットワーク分離」は、いまも有効な情報セキュリティ対策の1つです。
昨今はサイバー攻撃が増加・高度化しており、企業や自治体などが保有する機密情報や重要データを守るために、ネットワーク分離の導入を検討するケースが増えています。
本記事では、情報漏えい対策として導入が広がっているネットワーク分離の概要、分離方式の種類、導入のポイントをわかりやすく整理します。
「ネットワーク分離」とは、組織内ネットワークをインターネット接続を行う領域と、顧客情報などの機密情報を扱う基幹業務領域に分け、両者の間の通信経路を制御・遮断することでリスクを低減する考え方です。
インターネット側から基幹業務側へ侵入できる経路を小さくする(または断つ)ことで、マルウェア感染や不正アクセスが発生した場合でも、重要データの領域まで被害が波及しにくい構造を作ります。
ネットワーク分離の代表例として、自治体で広く採用されてきた「三層分離(いわゆる三層の対策)」があります。一般に、
のように、取り扱う情報の重要度に応じてネットワークを分け、境界を越える通信やデータの受け渡しを厳格に管理する考え方です。
なお近年は、利便性や業務実態の変化を踏まえ、ゼロトラストの考え方も含めて見直し・最適化を進める動きもあります。ネットワーク分離を「目的化」せず、守るべき情報と業務要件に合わせて設計することが重要です。
マルウェア感染による被害は後を絶ちません。特定の企業や組織を狙った「標的型攻撃」では、業務に関係する内容を偽装したメールを入口にマルウェアへ感染させたり、システムの脆弱性を突いて侵入したりと、対策を講じていても被害に遭う可能性があります。
たとえば2015年の日本年金機構の事案では、標的型攻撃メールを契機として個人情報が流出し、大きな社会問題となりました。こうした被害を防ぐためにも、メールの送受信やWeb閲覧を行うインターネット接続系と、マイナンバー等を含む機密情報を扱う業務系ネットワークを分離することは、情報漏えいリスクの低減に有効です。
ネットワーク分離は「古い手法」と見られることもありますが、侵入を前提に被害の拡大を抑える設計(被害範囲の局所化)という意味で、いまも重要な考え方です。
ネットワーク分離には複数の方式があります。ここでは大きく「物理的分離方式」「論理的分離方式」の2つに分けて整理します。
物理的分離方式は、インターネット接続端末と、機密情報を扱う基幹業務端末を物理的に分ける方法です。基幹業務端末はインターネットへ接続する経路が物理的に存在しないため、侵入経路を大幅に減らせます。
一方で、セキュリティレベルが高い反面、利便性の低下が課題になりやすい方式でもあります。業務内容に応じて端末の持ち替えが発生し、メール本文のURL確認やWeb参照のたびに端末を移動するなど、運用負荷が増えがちです。
論理的分離方式は、1台の端末でありながら、仕組みによって領域や経路を分ける方式です。代表例として、デスクトップ仮想化、リモートデスクトップ、セキュアブラウザによる分離などがあります。
デスクトップ仮想化では、仮想環境用のサーバー上でアプリケーションを実行し、クライアント端末には画面情報のみを表示します。クライアント端末にデータを残しにくい一方、サーバー基盤の整備など初期投資・運用の負担が大きくなる傾向があります。
リモートデスクトップは、離れた場所にある端末を遠隔操作する方式です。操作側からはマウスやキーボードの入力、操作される側からは画面表示が送受信されます。
セキュアブラウザによる分離は、端末内で分離された領域で動作する、セキュリティ機能を施したブラウザを利用する方式です。端末にデータを残しにくく、持ち出し制御などの運用と組み合わせやすい点が特徴です。
論理的分離方式は、物理的分離方式に比べて利便性を高めやすい一方で、設計や設定、運用の不備があると想定外の抜け道が生まれる可能性があります。導入時は「どこまでを分離し、何を許可し、どう監査するか」まで含めて設計することが重要です。
インターネット経由の業務(情報収集、クラウド利用、ファイル授受など)が当たり前になった現在、ネットワーク分離は有効である一方、業務要件と切り離して導入すると運用が破綻しやすい対策でもあります。
導入時は、次の観点をセットで検討しましょう。
ネットワーク分離環境では、インターネット側で取得したファイルを業務側に渡すなど、日常的に「境界をまたぐ作業」が発生します。ここで運用が重いと、抜け道(私物端末、私物クラウド、個人メール等)が使われやすくなり、かえってリスクが高まります。
USBメモリによる受け渡しは情報漏えいリスクが高く、禁止している組織も少なくありません。そこで、分離を維持しつつ、監査可能な形で安全な受け渡しを実現する「ファイル転送」ソリューションの活用が検討されています。必要に応じて、ファイル無害化などと組み合わせ、利便性と安全性の両立を目指しましょう。
ネットワーク分離は、インターネット起点の脅威が業務系ネットワークへ波及することを抑え、機密情報を守るうえで有効な対策です。一方で、方式選定や境界設計、運用設計を誤ると利便性が大きく低下し、例外運用によってリスクを増やしてしまう可能性もあります。
「何を守るか」「どの業務を止められないか」を起点に、物理/論理の分離方式を選び、認証強化・ログ・端末対策・安全なファイル受け渡しなどを組み合わせて、現実的に回る分離環境を設計しましょう。
A. 組織のネットワークを、インターネット接続を行う領域と、機密情報を扱う業務領域などに分け、両者の通信経路を制御・遮断することで、情報漏えいリスクや被害拡大を抑える考え方です。
A. 物理的分離は端末や配線を分けて物理的に経路を断つ方式です。論理的分離は1台の端末でも仕組み(仮想化・リモートデスクトップ・セキュアブラウザ等)で領域や経路を分ける方式です。
A. メリットはインターネット起点の侵入経路を大幅に減らせる点です。デメリットは端末の持ち替えや移動が発生しやすく、利便性や運用負荷が高くなりがちな点です。
A. メリットは1台の端末で運用できるなど利便性を高めやすい点です。デメリットは設計・設定・運用の不備があると抜け道が生まれる可能性があるため、境界設計と監査設計が重要になる点です。
A. 取り扱う情報の重要度に応じてネットワークを分ける考え方で、一般に「インターネット接続系」「LGWAN接続系」「マイナンバー利用事務系」などに区分し、境界を越える通信やデータ授受を厳格に管理します。
A. 分離は有効ですが、それだけで十分とは限りません。認証強化(多要素認証など)、端末対策、メール対策、ログ収集・監視、権限管理、教育などと組み合わせて全体最適にすることが重要です。
A. USBなどの抜け道を増やさず、監査可能な形で安全に受け渡しできる仕組み(ファイル転送、必要に応じて無害化連携など)を整備するのが一般的です。業務要件に合わせて運用ルールもセットで設計します。
A. Web閲覧やクラウド利用など、インターネット起点の操作を制御したい場合に有効です。端末にデータを残しにくく、持ち出し制御やログ運用と組み合わせやすい点が特徴です。
A. 「安全性だけ」を優先して現場が回らない設計にすると、例外運用(私物クラウドや私物端末など)が発生しやすく、結果的にリスクが増える点です。利便性・費用・運用負荷まで含めて設計する必要があります。
A. ネットワーク分離は「領域を分けて被害波及を抑える」設計で、ゼロトラストは「内外を問わず都度検証する」設計です。どちらか一方に寄せるのではなく、守る情報と業務要件に応じて組み合わせ、全体として運用可能な形に落とし込むことが現実的です。