ネットワーク仮想化によるマイクロセグメンテーション
インターネットにセキュアに接続するソリューションを紹介する前に、先ほどのマルウェアの感染経路と現在の物理パソコンの場合のセキュリティ保護の方法について、特徴をまとめてみましょう。
サーバーシステムとパソコンのシステムはセグメントが分かれていることがほとんどで、その間にファイアウォールが置かれていることが一般的です。そのため、もしパソコンがマルウェアに感染した場合でも、ファイアウォールの境界を超えてマルウェアが感染を拡大していくことは難しいと言われています。しかし、境界内の通信というのは、ほとんどセキュリティ保護されていないのが現状です。たとえば、自分のパソコンのIPを調べて、IPを1増やしてpingを打ってみてください。おそらく応答があるはずです。このように、パソコン間の通信というのは、自由にできるようになっていることがほとんどです。ただ、業務においては、みなさんはサーバーを介して業務をしており、パソコン間の通信が必要なケースはないと思います。もうおわかりの通り、パソコン間の通信は必要ないにも関わらず、自由に通信できるようになっており、それがマルウェアの感染パスになっているということになります。
では、パソコン間通信をできなくすれば良いのですが、これを現在のソリューションで実現するのは非常に難しく、パソコンから出るケーブルのところに小さなファイアウォールをそれぞれにつければ実現可能かもしれませんが、現実的にそんなことは不可能です。これを実現するのが、「ネットワーク仮想化によるマイクロセグメンテーション技術」になります。
物理パソコン1台1台にファイアウォールを掛けるという不可能だったことを、ネットワーク仮想化技術により実現します。今までは、セグメントがセキュリティ保護単位だったわけですが、ネットワークの仮想化により、仮想マシン1台1台がセキュリティ保護単位となります。仮想マシン単位にファイアウォールが掛かっているため、本来不要であるはずの仮想マシン間の通信をブロックして自由にさせないことができます。これにより、仮想マシンにマルウェアが感染したとしても、他の仮想マシンに感染が拡大することを防ぐことができるようになり、被害を最小限にすることが可能です。さらに、ファイアウォールのブロックが発生するということは、本来通信があるはずのない仮想マシン間の通信がおこなわれているということになります。それが判明すれば、マルウェアが感染している可能性を検知することができます。このように、セキュリティ保護単位を最小化して、セキュリティを保護するソリューションをマイクロセグメンテーションと呼んでいます。
これにより、誰かがマルウェアに感染したとしても、拡散を防止することで被害を最小化し、アンチウィルスソフトウェアで検知できないようなゼロデイ攻撃に対しても検知をすることができるようになることから、非常に注目されているソリューションになります。
セキュアブラウザ機能でPCとインターネットを論理的に分離
もう1つ、標的型攻撃への対策として多く検討されているのが、セキュアブラウザというインターネット分離の手法です。通常は物理パソコンから直接インターネットに接続できるようになっているはずですが、ブラウザの脆弱性により、情報漏えいする可能性もあるわけです。ブラウザは、不特定多数のWEBサイトにアクセスできるように、物理パソコンからHTTP(ポート番号80)およびHTTPS(ポート番号443)を通じて、インターネットに出られるようなネットワーク設計になっています。マルウェアとしては、踏み台のC&Cサーバーにアクセスするために、不特定多数に接続できるようになっているHTTPとHTTPSを利用することが最も多く、情報漏えいのパスになってしまう可能性が高いです。
セキュアブラウザ機能とは、物理パソコンにインストールされているブラウザからインターネットには直接接続させないようにし、イントラネットのWEBポータルやWEBサービスを利用するためだけに使用します。このようにすることで、物理パソコンからインターネットへのHTTPとHTTPSのポートを塞ぐことができるようになり、セキュアな環境を実現することが可能です。ただし、これではインターネットに接続できないので業務に支障が出てしまいます。そのため、インターネットに接続するためには、インターネットに接続可能なDMZに置いたサーバーでブラウザを開き、そのブラウザのウィンドウ画面を物理パソコンに転送することで可能になります。このようなしくみにすることで、物理パソコンとDMZのサーバー間に許可すれば良いネットワークポートは、画面転送に利用するためのポート(PCoIPの場合は、4172番)のみで良く、セキュアにすることができます。もしDMZにあるサーバーにてマルウェア感染したとしても、物理パソコンからは画面を見ているだけであるため、直接影響があるわけではありません。このように、イントラネット用とインターネット用のブラウザを切り替えることによって、パソコンとインターネットを論理的に分割できるようになります。この方式はブラウザだけではなく、メール等の他のアプリケーションのウィンドウを物理パソコンに画面転送することも可能です。VMwareのVDIソリューションは、総称してHorizonと呼ばれています。
こちらを実現する方式は下記の図のようになっています。大きく分けて3つ種類があります。
- ブラウザのウィンドウだけを物理パソコンに画面転送する
- デスクトップの画面を丸ごと物理パソコンに転送する
- Linuxデスクトップの画面を物理パソコンに転送する
画面転送するアプリケーションがブラウザだけの場合は、1を選択することがシンプルです。自らのパソコンのデスクトップに、違和感なくインターネットに接続できるブラウザのウィンドウを利用することが出来ます。
また、複数のアプリケーションを組み合わせて利用したい場合は、ブラウザのウィンドウだけでなく、サーバー側のデスクトップウィンドウを転送することもできます。それが2のパターンです。さらに、インターネットに接続することに限定すれば、Linuxデスクトップの画面を転送することも可能です。なぜLinux VDIという選択肢があるかというと、今までのようなサーバー経由でインターネットに接続する場合には、Microsoft Remote Desktop Service CALライセンスがアクセス元の物理パソコンの数だけ必要になり、これがコスト観点でネックになる場合に有効的な手段だからです。
これらのしくみを庁内に構築することも可能ですが、最近ではパブリッククラウド上にDaaS(Desktop as a Service)として構築することを検討する自治体も多くなってきました。VMwareはHoizon Airというサービス名でDaaSを提供しています。VMwareの調べでは、自治体の50%はパブリッククラウド上で問題ないと考えられているようです。そもそも、インターネットに接続するためのものなので、これがパブリッククラウドにあっても支障がないということが1つの理由です。また、パブリッククラウドの利点を大きく活かそうという考えも多く見られます。たとえば、庁内に構築する場合は、通常の情報システムとは別の調達にて、5年という期間のシステムの構築運用が必要になってしまうわけですが、パブリッククラウドを利用した場合には、1ヶ月単位で利用を継続するかやめるかを決めることができ、期間に縛られることはありません。早急な対策を求められる中、2週間程度で利用可能になることからも、構築期間の短縮が見込めるというのも大きなメリットです。さらにはユーザー単価も非常に安価になり、一般的にユーザーあたり月額1000円程度で、このようなしくみを導入することができるため、導入のハードルが低いのが大きな魅力になり、ますますパブリッククラウドの導入が進んでいくと考えられています。