強靱性向上モデルのβパターン
ソリューションの選び方がポイント
川口氏は、『自治体情報セキュリティ対策の見直しについて』における自治体情報システム強靱性向上モデル(β/β’パターン)においても、「情報資産のゾーニングが重要であることはαパターンと同様」と指摘します。もちろん、テレワークなど業務環境の変化に対する対応の強化は必要ですが、情報の重要性に応じて適切なネットワーク上に配置するという点で大きな違いはないのです。
「ネットワーク分離の見直しを“αパターンが大変だから”という理由で行うのは誤りです。まずテレワークでどのような業務を行うのか、どのような情報を取り扱うのかを定義して、そのうえで利便性・管理性を損ねないようなソリューションを選定することが重要です。αパターンで実現したネットワーク分離を維持したまま、より運用しやすいものを選ぶべきなのです」(川口氏)
では、β/β’パターンではどのようなポイントに注意してソリューションを選定すべきでしょうか。テレワークやクラウドを前提とした環境に変化するということは、“重要な情報”がインターネット側に再配置された状態と捉えることができます。
しかし、そもそものゾーニングに立ち返れば、インターネット側に再配置された情報が真に重要度の高いものなのか、それとも重要度はそれほど高くないのかを、改めて見直す必要があります。レベル1に移す情報やシステムを“公開しても差し支えないもの”として整理できれば、αパターンとあまり変わりません。
それでも重要度が(ある程度)高いということであれば、セキュリティソリューションを追加します。その中で、効率よく安全性を強化できるもの、運用負荷を低減できるものを選定し、セキュリティコストを最適化します。
多層防御で運用しやすいエンドポイントセキュリティを選ぶ
βパターンでは、情報の配置場所がインターネットに近接するため、ネットワーク分離とは異なるレイヤーでの対策が必要となります。インターネットに近いぶんだけインシデントの発生から対応までに要する時間も長くなるため、人に依存した対策では限界が生じます。高度なセキュリティ技術・製品の適用が最適です。
前述したとおり、堅牢性・利便性・コストはトレードオフであり、その大きさは情報資産の重要度と相関関係にあります。言い換えれば、しっかり投資をして堅牢性を高めれば、利便性を維持したまま重要度の高い情報資産を取り扱えるということです。
具体的には、「NGAV(次世代型アンチウイルス)」や「EDR(Endpoint Detection and Response)」など、複数のセキュリティ技術を組み合わせた多層防御が有効です。
「複数のセキュリティ機能を組み合わせる多層防御は堅牢ですが、設計や運用が複雑になりがちです。運用をアウトソーシングする場合でも、事業者のエンジニア育成や学習、運用管理にかかる負担が大きく、費用が増大する可能性もあります。その点、単一のアーキテクチャで構成されたオールインワン型のソリューションであれば比較的容易に導入でき、運用負荷も小さく済むでしょう」(川口氏)
テレワークのニーズが高まっている昨今では、特にEDRは新たなセキュリティソリューションとして注目されています。ただし川口氏は、「EDRそのものを過大評価しないように」と注意を促します。EDRを導入しただけで安全になるという誤解を懸念しているのです。
またEDRは、導入後の監視と最新のセキュリティ情報に合わせたポリシー設定が欠かせません。定期的なチューニングを実施して脅威そのものを低減しなければ、膨大なアラートに悩まされることになります。
そこで、必要に応じて「MDM(Mobile Device Management)」のような端末を管理するソリューションと組み合わせたり、「MDR(Managed Detection and Response)」のようなセキュリティサービスを採用したりと、対策の多層化を図っていくことが重要です。これらが一体となって提供されていれば、運用負荷の軽減につながります。
テレワーク環境はVDIやDaaSが使いやすくて安全
テレワークの実現方法についても再考が必要です。わかりやすい方式として、庁内に設置された物理PCへリモートログインして利用する「リモートデスクトップ」を検討している組織もあるでしょう。しかし、これには大きな問題があります。
「問題はインシデント発生時のリカバリです。そもそも物理PCは、部門やユーザーごとに細かに設定して利用するケースが多く、テレワークでリモートから正常な状態に戻すのはたいへんです。マルウェアなどに感染した際に、ネットワークから切断しにくいというのも難点です」(川口氏)
そこで川口氏がおすすめするのは、仮想化基盤上に構成されたデスクトップ環境をリモートアクセスして利用する「VDI(Virtual Desktop Infrastructure)」です。物理環境と異なるネットワークセグメントにVDI基盤を配置すれば、インシデント発生時にも簡単にネットワークを切断できます。もしマルウェアに感染したとしても、その仮想マシンは、マスターから正常な仮想マシンをリカバリすることができます。あたかも“使い捨てPC”のように、すぐに正常な業務環境を取り戻せます。
場合によっては、VDIをクラウドサービスとして提供するDaaS(Desktop as a Service)も有効な選択肢です。オンプレミスシステムを持たずにユーザー単位の料金で利用し、インフラの運用はクラウドベンダーへ一任することができます。
「DaaSを選定する際に、“異なるネットワークである”という点には注意してください。ネットワークが異なるということは管理者が異なり、自らのセキュリティポリシーをそのまま適用できないということです。サービスプロバイダーとの契約の範囲で何が実現できるのか、注意して検討する必要があります」(川口氏)
しかしVDIと同様に、インシデント時に切り離しやすい、リカバリしやすいという特長は大いに活用すべきです。今後のテレワークニーズの変動に応じて、柔軟に規模を変えられるというのもDaaSの大きなメリットです。コロナ禍のような感染症対策はもちろん、台風・大雪・地震といった自然災害対応などでも高い拡張性が有効に働くことでしょう。
自在に選択できるネットワーク設計
SD-WANの活用も視野に
テレワーク環境では、ネットワークの設計も大きな課題の1つとして捉えられています。職員の自宅ネットワーク環境に差があり、また家庭のインターネット環境の安全性を懸念して、キャリアの閉域網を利用するSIMカード(閉域SIM)を採用する自治体も増えています。
閉域SIMは、安全性が理解しやすいという利点はあるものの、アクセス速度の遅さとデータ通信料に応じて課金されるパケット料金の金額が大きな課題です。安価なインターネット接続でVPN接続を利用するケースと比較して、リスクそのものにはあまり違いはありません。もちろんセキュリティポリシーなどでインターネットアクセスが認められないシステムの場合には、総合行政ネットワーク(LGWAN)などを併用し、使い分けることが必要です。
「自治体情報セキュリティクラウド」も、テレワーク環境では課題の1つとして挙げられます。もともとテレワークによる利用を主として構築されておらず、キャパシティに課題があると考えられるためです。とは言え、総務省のセキュリティガイドラインにならって、利用を前提としている自治体も少なくないのが実情です。
「本来であれば、SD-WANのような技術をセキュリティクラウド側に搭載し、柔軟にネットワークを利用できる構成にしてほしいと考えています。現状では、個々の組織で安価かつ容易に利用できるSD-WANソリューションを導入することを検討したいですね。ネットワーク設計をあまり変えずに、帯域や経路をコントロールして、快適なアクセスを実現できるようになります」(川口氏)