マルウェア等を用いた標的型攻撃による被害が相次いでいる。

　未知の脅威を検知するソリューションとして従来はサンドボックスが採用されてきたが、100％検知することは難しいのが実態だ。そうしたなか、新たな対策として「インターネット分離・無害化」が注目を集めている。

　マルウェアが侵入する可能性のあるインターネットと、重要データを扱うネットワークを分離した上で、無害化したメールやファイルをネットワークに取り込むというもの。万が一、プログラムが実行されても被害を最小限に食い止めることができる。

（左から）シトリックス林博乃氏、サイバーソリューションズ越智義喜氏、日本ユニシス長澤良樹氏、アズジェント杉山卓也氏、ソリトンシステムズ篠田雄紀氏

画面転送でイントラの感染防止　方向性の制御など細かな設定に強み

　ここからは、インターネット分離の具体的な方法を見てみよう。まず、イントラ（社内環境）から直接インターネットに接続できないように、原則的にすべてのインターネット接続用のポートをファイアーウォール（FW）等で閉じた上で、インターネットアクセス用ネットワークゾーン（DMZ）にCitrix XenAppなどの画面転送型クライアント仮想化システムを設置する。

　XenAppでInternet Explorer（IE）を公開設定し、ユーザーはこの仮想環境上のIEの画面をネットワーク経由で遠隔操作してインターネットにアクセスする（ブラウザ分離）。

　FWには画面転送用のCitrix ICAプロトコルでの接続のみ許可する設定をするので、インターネットからイントラへはアクセスできない。そのため、XenAppサーバーがマルウェア等に感染したとしても、内部に感染を広げることはない（図表）。

図表　ユーザビリティ向上を目指したソリューション連携の全体イメージ

　シトリックス セールスエンジニアリング本部リードシステムズエンジニアの林博乃氏は「この画面転送方式がXenAppの強みであり、さらに他社にはない細かな設定ができることが採用の理由になっている」と話す。

　細かな設定の代表的なものの1つが、クリップボードの種類と方向性の制御だ。

　一般的にこの分離方式を取る際にはクリップボードの使用が課題になる。これに対し、XenAppの場合クリップボードの種類に応じて、例えば「テキスト情報のみXenAppから端末へコピーだけを許可する」といったきめ細かい設定が行える。これによりイントラからの情報漏洩を防ぐとともに、リスクを軽減しながら一定の生産性を確保できるというわけだ。

CADや一太郎も無害化の対象に　ファイルの画像化でイメージ把握

　次に、無害化について見てみよう。無害化（Sanitization）とは本来、「消毒」を意味する言葉だ。消毒が良い菌も悪い菌も除去するように、善し悪しを判断せずに無害化する。これが既存のアンチウィルスソフトやサンドボックス型と大きく異なる点だ。

　アズジェントが提供する「VOTIRO SDS（Secure Data Sanitization）」は、ファイルの構造をチェックし、そのファイル構造に不要な情報や埋め込みコード／マクロ等を強制的に除去する。ある意味「善意の改ざん」を行うようなものだ。この方式を取るためには、無害化の対象となるファイル構造を多く理解していなければならない。アズジェント取締役営業本部長の杉山卓也氏は「VOTIRO SDSはマイクロソフトOfficeやPDFをはじめとして多くのソフトに対応している。近い将来、CADソフトや一太郎にも対応していく」と今後の拡販に自信を見せる。

　無害化の対象には、メールもある。サイバーソリューションズの「CyberMail」は、「添付ファイルの削除」「HTMLメールのテキスト化」「URLリンクの削除」という3つの方法でメールを無害化する。

　業務で使うメールの場合、添付ファイルが削除されると利便性を大きく損なう可能性が高い。CyberMailでは、添付ファイルをテキスト抽出しメール本文に挿し込む機能や、画像化して再添付する機能を実装している。「100％利便性を損なうことがない利用は難しいが、こうしたユーザー志向の機能追加は、企業からご評価をいただいてる」とサイバーソリューションズ営業部マネージャーの越智義喜氏は話す。

内外ファイル共有で安全に持ち出し　自動切替ツールで手間を省く

　インターネット分離と無害化はより確実に安全性をもたらす一方、業務に不便さを強いる面がある。

　というのも、インターネット分離のシステム構造では、イントラとインターネット間でファイルの持ち出しや持ち込みができなくなるからだ。しかし業務上、インターネットを経由したファイルによる情報交換を行う機会は少なくない。この対策として、ソリトンシステムズはファイル受け渡し専用製品「FileZen」を提供している。

　FileZenは、ファイル受け渡し時の操作履歴の記録・保存、承認、利用者認証、接続元ネットワーク制限、拡張子制限、自動削除、ウイルスチェック等の多彩な機能を提供し、内外でのセキュアなファイル共有を実現する。例えば、「イントラからファイルを持ち出す際には、上長承認を必要とする」「USBメモリのような外部記録媒体の代わりとして利用する」といった利用シーンでの活用が多い。また、利用者はWebブラウザのみでFileZenを活用できるため、システム導入の簡単さもメリットの1つである。

　この他に、このインターネット分離構造になると、ユーザーはブラウザを使い分けなければならなくなるという課題もある。

　IEの「お気に入り」にインターネットのURLを登録していたり、イントラの各種ホームページにインターネットを指すURLを掲載している場合、この分離環境でそのURLをクリックすると、イントラを見るブラウザがURLに基づいてアクセスしてしまう。しかし、インターネットアクセスは閉じているため、ユーザーはXenAppのIEを起動し、対象のURLを手入力することになる。ユーザーにとっては非常に手間のかかる作業だ。

　この対策として、日本ユニシスは長年にわたるクライアント仮想化構築の経験に基づき、ユーザビリティ向上に向けた「ブラウザ自動切替ツール」を開発・提供している。同ツールを使うと、クリックされたURLがイントラかインターネットかを自動的に判別し、そのURLに応じたブラウザを起動することができる。具体的にはインターネットを指すURLがクリックされると、XenAppのIEへURLを渡しIEが自動的に起動される。これによりユーザーは今まで通りURLの中身を意識せずにクリックするだけで済む。

　日本ユニシスはこのブラウザ自動切替ツールを活用し、各種ソリューションとの連携強化により、高度なセキュリティ対策とユーザビリティの向上を同時に実現している。

　一例がCyberMailとの連携だ。CyberMailにより無害化されたメールを見たユーザーが、無害化前の添付ファイルにアクセスしたいと考えるケースは少なくない。CyberMailはWebメールであり、無害化前のメールをDMZ側にあるサーバー内に保持している。ユーザーに届くメールには元メールを指すURLが付けられているので、このURLをクリックすると、ブラウザ自動切替ツールがXenApp上のIEにURLを渡し、ユーザーは元メールを探さずに開くことができる。

　また、各ソリューション間の連携も進み始めている。CyberMailはこの1月からVOTIRO SDSと連携し、原本メールの添付ファイルをVOTIRO SDSで無害化して内部に取り込めるようになる。

　こうしたソリューション間の連携を進めることにより、ユーザービリティとセキュリティが向上する。

　「各ソリューションの連携により、ユーザビリティを向上させることがSIerの使命」と日本ユニシス・サービス企画部 共通SaaS企画室 仮想化グループリーダーの長澤良樹氏は強調する。

　日本ユニシスではインターネット分離という入口対策だけでなく、今後は出口対策でも新たなソリューションとの連携を図っていく考えだ。

ホワイトペーパーダウンロード

インターネット分離と無害化：ワンクリックで実現するユーザビリティの向上 標的型攻撃対策を初めとしたセキュリティ強化として、「インターネット分離と無害化」ニーズが高まっています。クライアント仮想化を使ったインターネット分離はこの対策として認知度が向上していますが、日本ユニシスは協業各社のソリューションと密な連携によりユーザビリティ向上を実現しています。