コラムCOLUMN

私が「ネットワーク分離」を捨て新会社で Bromium を販売する理由

コラム
 Bromium を販売する理由

株式会社セキュリティア
代表取締役 中村 俊一

昨年、米国国防総省はサイバー攻撃対策として「 EDR 」および「アイソレーション(分離)方式」のふたつのカテゴリを併せて導入する方針をかため、各セキュリティベンダーに提案を募集しました。双方のカテゴリ合わせて、 VDI やコンテナなども含め多くの製品が検討されましたが「分離方式」でコンテストを勝ち抜いたのがBromiumだそうです。

「アイソレーション(分離)方式」によるサイバー攻撃対策については、実は、前職で全国の地方自治体が展開した総務省のガイドライン「自治体情報システム強靭性向上モデル」で推進された「ネットワーク分離(インターネット分離)」と「メール、ファイルの無害化」を積極的に拡販した経験があります。サイバー攻撃のリスクが多いインターネット環境と、行政 / 事務系、更に絶対に漏洩が許されないマイナンバー取扱いシステムを分離してしまうという方法です。

「自治体情報システム強靭性向上モデル」概念図

最強だがベストではないネットワーク分離

インターネット環境と業務システムを完全に分離してしまうのですから、サイバー攻撃対策としてはまさに最強と思っていました。しかしながら(うすうす感づいていたのですが)あることがきっかけで、ネットワーク分離は「最強」かもしれないが、「ベスト」なセキュリティ対策でないことに気が付いたのでした。

昨年、私は前職を退任し東証2部上場の株式会社ハイパーグループで高度なセキュリティ事業を担う株式会社セキュリティアの代表取締役社長に就任しました。「ベストな提案」を方針に掲げ情報漏えい対策や次世代アンチウィルス方式である EDR 製品の販売を始めました。その後、或る地方自治体職員さんの次の言葉に衝撃を受けたのです。「ネットワーク分離は職員にとって不便極まりない・・・実は分離したインターネット環境から USB メモリで必要なデータはコピーしているのです」。

データの移動はやむを得ない場合があるので「無害化ツール」を提案していたのですが、すべての自治体が導入したわけではありません。インターネット環境から USB メモリでデータをコピーするような抜け穴を作っては、ネットワーク分離をした意味がありません。この自治体さんには「ネットワーク分離」はベストなソリューションではなかったのです。そんな時です、私が Bromium に出会ったのは。

私は、ネットワーク分離はサイバー攻撃対策としては「最強」だと言いましたが、利便性の低下、コスト、運用工数、そして抜け穴の発生、さらにソフトウェアのクラウド化などを考えると「ベスト」ではなかったのです。そして今はサイバー攻撃対策としてネットワーク分離を検討しているユーザに、 Bromium を「最強のネットワーク分離代替策」としてお勧めしています。

何故、私は Bromium を「最強のネットワーク分離代替策」と呼んだのか?

ネットワーク分離の根本的問題点

「ネットワーク分離ではインターネット環境、イントラネット間のデータ移動はしてはならない」。

ネットワーク分離は、攻撃者がインターネット経由で基幹システムにアクセスすることができないことがメリットだが、そのために、「インターネットを通じて取得したデータはイントラネットに移動してはならない、またイントラネットからインターネットにもデータを出力してはいけない」という原理原則があります。この原則を破るとせっかく莫大な費用を投じ、社員 / 職員の不便を圧してネットワーク分離をしたシステムなのに、マルウェア感染したファイルを移動したことにより台無しになってしまいます。

ネットワーク分離の大原則

ネットワーク分離の実情

では、ネットワーク分離を導入した企業、自治体は「インターネットを通じて取得したデータはイントラネットに移動していない」のかといえば、そうではありません。このインターネットが普及した世の中でソフトウェアの更新、ユーザや取引先とのやり取りなどで、「インターネット環境、イントラネット間のデータ移動」は不可欠なものなのです。そこで「ネットワーク分離」導入ユーザは以下のような「データ移動の例外」を作り出さざるを得なくなるのです。

  1. データを移動する場合には、責任者(上長)の承認を得て USB メモリ等で移動する
  2. データを移動する場合には、インターネット環境/イントラネット両方からアクセスできる中継サーバ環境に無害化ツールを導入し、責任者(上長)の承認を得てファイルを無害化転送する

「ネットワーク分離ではインターネット環境、イントラネット間のデータ移動はしてはならない」原則を破るのですから、必ず責任者の承認が必要となります。では、この責任者は何をもってデータを移動してよいか判断するのでしょうか。移動するファイルがマルウェアに感染していない保証を誰がするのでしょうか。インターネット環境およびイントラネット間に「データの移動」がある限り、「インターネット分離」によるサイバー攻撃対策は安全ではないのです。

アプリケーションのクラウド化

ネットワーク分離のもうひとつの根本的問題点が種々のアプリケーションがクラウド化しており、今後も加速していくことです。例えば AWS や Google Clound 、 Azure などのクラウドサービスはユーザの選択次第ですが、最近では元々オンプレミスで使用していた業務アプリケーションやユーティリティまでメーカーがクラウド化しています。例えば MS Office が Office365 になったり、アンチウィルスまでもがクラウドになったり、オンライン前提の業務アプリケーションやユーティリティが増大するなか、ネットワーク分離という手法は破綻しかかっているのです。

ネットワーク分離による標的型攻撃対策にはさまざまな問題点がありますが、この「データ移動」と「アプリケーションのクラウド化」が最大の問題点であるといえます。ネットワーク分離のソリューションには、 L2/L3 スイッチによる物理的分離、システム仮想化 / リモートブラウザ、コンテナ型など市場には多くの「ネットワーク分離」型サイバー攻撃対策がありますが、全てにこの根本的な問題点があるのです。

ネットワーク分離|その他の問題点

「インターネット分離」によるサイバー攻撃対策の問題点は、「データ移動」の移動の他にもあり、まとめると以下のようになります。

  1. インターネット環境およびイントラネット間の「データの移動」という例外行為
  2. 業務アプリケーション、ユーティリティのクラウド化増加
    • オンライン前提の業務アプリケーションが使用できない
    • クラウドによるメリットを享受できなくなる
  3. 業務効率/利便性の低下
    • 2つのシステムを使い分けるために生じる不便
    • インターネット環境、イントラネット間のデータ移動にかかる手間と時間
  4. コスト
    • 構築費用、運用工数
    • ソフトウェアライセンス(分離方法による)
    • 端末の増加(分離方法による)
  5. インターネット環境へのプリンタ接続
  6. WSUS やウイルス対策配信サーバの更新
    WSUS やウイルス対策配信サーバ等のパッチ配信にはインターネットが必要で、インターネット接続がされない環境へのアップデート配信はどうするのか?

何故 Bromium なのか?

このような理由から、「ネットワーク分離」方式を提案していた過去を反省し、Bromiumを提案することになったのですが、なぜ Bromium なのでしょうか。

分離(隔離)方式による隔離はよい方法

サイバー攻撃の侵入を 100% 防ぐことは不可能と言われています。だから繋がっていない環境を作ろうとしてネットワーク分離の考え方が生まれたのです。いうなれば、インターネットから悪いものは入らぬように、「中核であるシステムから隔離する」ということです。システムに入って動かなければ、マルウェアは全く無力です。 Bromium はまさに「中核であるシステムから隔離する」ことに特化した製品です。

Bromium は「隔離」をいろいろ問題点があるネットワーク分離ではなく、個々の PC 内で実施します。

e メールは隔離された仮想区間で実行し、添付ファイルは動作可能なアプリケーションであれば、 PC 内の隔離された仮想区間で展開されシステム内には入ってきません。 Bromium で制御できないアプリ/ファイル形式については実行/展開しません。ブラウザも同様に PC 内の隔離された仮想区間で実行されるので、ダウンロードファイルのみならず、ファイルレス攻撃も阻止します。

このように Bromium はネットワーク分離の問題点は一切生じない環境/手法で、インターネット分離の目的であった「インターネットからデータを活動できないように隔離する」ことが可能な「最強のインターネット分離代替策」なのです。

中村俊一

株式会社セキュリティア 顧問

1984 年大手システムインテグレーターに入社、メインフレームの技術者(アセンブラ)を経験後、 2003 年よりストレージシステム、システム開発、アウトソーシング、セキュリティ事業等の部長職を歴任した後、グループ会社に転出し複数の事業が混在していた同社を情報セキュリティ専門企業に再編成した。
「セキュリティを提案するには自社が模範とならなければ」との考えから、陣頭指揮してセキュリティマネジメントシステムを構築しその効果の証としてプライバシーマークおよび ISMS を取得。また、セキュリティエバンジェリスト育成に尽力し、企業の啓発に努めた。
2018 年、東証 2 部上場の株式会社ハイパーグループで高度なセキュリティ事業を担う株式会社セキュリティアの代表取締役社長に就任。
2020 年、株式会社セキュリティア 顧問に就任。
 CISO 羅針盤」事業では自ら得意分野の「情報セキュリティポリシー策定」、「情報セキュリティマネジメント構築」、「セキュリティ実装計画、製品購買/導入コンサルティング」等を担当する。

カテゴリー

最新記事