ネットワーク分離とは? 効果や方法、導入のポイントを解説
複雑化・多様化するサイバー攻撃に対するリスクマネジメントは、企業や組織の存続に関わる重要な課題です。サイバー攻撃に備えるには、サイバー攻撃の種類に応じた対策が欠かせません。様々なサイバー攻撃対策の中でも、ネットワーク分離は外部からの攻撃に有効な手段として注目されている方法です。
本記事では、ネットワーク分離の効果や方法、導入する際のポイントなどについて詳しく解説します。
ネットワーク分離とはセキュリティ対策の1つ
ネットワーク分離とは、インターネットに接続してWebサイトの閲覧やメール送受信などを行うネットワークと、顧客情報をはじめとした機密情報を保管する基幹業務系ネットワークを分離させることを意味します。重要な情報と外部との接点をなくすことによって、機密情報の漏洩を防ぐセキュリティ対策です。
ネットワーク分離は、古くからあるサイバー攻撃対策で、決して新しい方法ではありません。金融機関や自治体など、膨大な個人情報を預かる組織で導入されてきました。
近年、特定の企業や組織を狙った悪質な標的型サイバー攻撃が増加したことで、金融機関や自治体以外の企業や組織でも、ネットワーク分離を導入する機運が高まっています。巧妙化したサイバー攻撃に対して、従来のファイアウォールやウイルス対策ソフトだけでは対抗しきれないおそれがあるからです。
独立行政法人情報処理推進機構(IPA)も、複数のセキュリティ対策を組み合わせた多層防御が重要であるとし、施策の1つとしてネットワーク分離の導入を推奨しています。
- あわせて読みたい
ネットワーク分離が注目される背景
ネットワーク分離はなぜ今注目を集めているのでしょうか。その背景について、詳しく見ていきましょう。
東京商工リサーチの2022年「上場企業の個人情報漏えい・紛失事故」調査によれば、2012年から11年間の事故件数は累計1,090件、漏洩・紛失した可能性のある個人情報は累計1億2,572万人分に上りました。被害が年々増え続けているのは、進化するサイバー攻撃とその対策がいたちごっこになっており、サイバー攻撃の巧妙化が進んでいるからです。
※出典:株式会社東京商工リサーチ『「上場企業の個人情報漏えい・紛失事故」調査』ウイルス対策ソフトを導入していたとしても、マルウェア(ウイルスなど悪意ある不正プログラム)への感染リスクをゼロにするのは困難です。メールを介したサイバー攻撃は手口が巧妙化しており、対策をすり抜けてマルウェアに感染してしまうこともあります。
そこで、ウイルス対策ソフトなどのサイバー攻撃対策を突破されたとしても、被害を最小限に抑える方法として、ネットワーク分離が注目されています。
端末がマルウェアに感染したとしても、ネットワーク分離をしていれば、情報を窃取することはできません。侵入されたパソコンのネットワークに機密情報は存在しないため、機密情報が漏洩するリスクを減らすことができます。
ネットワーク分離の方法
ネットワーク分離を実現するには、複数の方法があります。ここでは、代表的なネットワーク分離の方法として「物理的な分離」と「論理的な分離」を中心に解説します。
「物理的な分離」によるネットワーク分離
「物理的な分離」とは、インターネットに接続するための端末と、基幹業務系ネットワークのための端末を物理的に分離する方法です。基幹業務系ネットワークはインターネットに接続できないため、マルウェアが侵入する経路もありません。マルウェアの攻撃を遮断する最も有効な方法だといえるでしょう。
ただし、端末が複数必要になり、用途によって使い分けることになるため、作業を担当する人の負担は大きくなります。基幹業務系の端末で作業をしながらインターネットを使いたい場合にも、端末間を移動しなくてはなりません。通常より多くの端末が必要になるため、設備投資のコストもかかります。
「論理的な分離」によるネットワーク分離
「論理的な分離」とは、物理的な分離と違ってネットワークにはつながっているものの、プロトコルを制限することで論理的に分離する方法です。例えば、インターネット接続のネットワークと機密情報のネットワーク間のやりとりを、インターネット接続のネットワークを起点に制限するなどの方法があります。物理的な分離と違って、端末を複数用意する必要はありません。
このほかのネットワーク分離の方法としては、仮想ブラウザー方式、リモートデスクトップ、セキュアブラウザーなどがあります。
仮想ブラウザ方式
仮想ブラウザー方式とは、インターネット接続から離れた仮想環境用のサーバーでアプリケーションを実行する方法です。機密情報のネットワークにアクセスする際には、仮想パソコンの画面のみが表示され、直接的にデータにアクセスすることができません。
リモートデスクトップ
リモートデスクトップとは、離れた場所にある端末をリモートで操作する方法です。操作される側からは画面表示のみが送られ、操作する側からはキーボードやマウスの操作情報だけが送られるため、お互いが干渉することがありません。
- あわせて読みたい
セキュアブラウザー
セキュアブラウザーとは、一般的なWebブラウザーと同等の機能を持ちつつ、セキュリティがより強化されたブラウザーのことです。セキュアブラウザーで操作したデータは端末に残らないため、情報漏洩や情報の持ち出し防止を実現します。
ネットワーク分離を導入するポイント
業務でのインターネット接続が不可欠な時代において、サイバー攻撃の脅威は常に身近にあります。機密情報を守るためにネットワーク分離の導入を検討する際、考えるべきポイントは「セキュリティレべル」「利便性」「コスト」のバランスです。
セキュリティレベルを最大まで高めるなら、最善の方法は物理的な分離です。しかし、インターネットに接続できない端末は利便性に欠け、導入のコストも見合いません。
一方、業務上で不可欠なインターネット接続を維持できる論理的な分離は、利便性やコストの面でも現実的だといえるでしょう。
ネットワーク分離以外のサイバー攻撃対策
ネットワーク分離には、コストや利便性の面でデメリットがあります。ここでは、アクセスを制限する方法でサイバー攻撃に備える、ネットワーク分離以外の対策を3つ紹介します。
ファイルアクセスの制御
ファイルアクセスの制御とは、従業員によるファイルの読み込みや書き込み、移動、コピーといった各種ファイルに対する操作を、一部端末のみに制限する対策です。不審なアクセスや不正なアクセスを監視・制御することで、情報漏洩のリスクを減らします。
- あわせて読みたい
Webアクセス制御
Webアクセス制御とは、従業員によるWebアクセスの状況を、管理ツールを使って監視・制御する方法です。特定のWebサイトや、特定のURLを含むWebサイトなどへのアクセスを制限することで、端末がマルウェアに感染するのを防ぎ、情報を守ります。
不正端末の接続遮断
不正端末の接続遮断とは、組織として登録していない端末が社内ネットワークに接続しようとした場合、自動的に接続を遮断する方法です。管理ツールによっては、登録のない端末が社内ネットワークに接続を試みたことを感知したら、管理者に警告を発信するという機能もあります。
機密情報へのアクセス制限で情報漏洩対策を進めよう
ネットワーク分離は、サイバー攻撃による自社の被害を抑えるために非常に有効な方法です。ただし、物理的な分離は、IT化が進む現在のビジネスシーンにおいて、あまり現実的ではありません。コストをかけて導入するかどうかは、実務の状況に合わせて十分な検討が必要です。インターネットに接続したまま行う論理的な分離と併せて、コストや利便性の面からも実行可能性を検討しましょう。
また、アクセス制御の管理ツールでリスクを軽減するなど、ネットワーク分離以外のサイバー攻撃対策についても検討することをおすすめします。
どのツールが良いか迷ったら、従業員のWebアクセスや機密ファイルへのアクセスを監視・制御する機能や、不正端末の接続遮断の機能を備えた、インターコムの「MaLion」シリーズをご検討ください。セキュリティポリシーに反する操作を感知した場合には、実行を制限すると共に、不正アクセス者に対する警告を表示します。
