【情シス基礎知識】Webアイソレーションとその活用事例
Webサービスの利用が増える中、新しいセキュリティ技術「Webアイソレーション」が注目されています。従来は脅威を検出+対処のアプローチがメインでしたが、脅威がエンドポイントまで到達できない仕組みを作るアプローチです。このWebアイソレーションについて実例を交えて紹介します。
この記事の目次
Webセキュリティは“検知”から“分離”へ
日常業務の場で一番使われているアプリは“Webブラウザ”であると言われています。
従来のExcel作業はkintoneなどのWeb DBに、文書作成ソフトや表計算ソフトでさえもG SuiteやOffice365などのクラウドサービスへの移行が進んでいる現在、Webに対する依存度は以前よりも格段に上がっていることは間違いありません。
また、ネット検索を一切せずに業務を行う、社内備品の購入にもネット通販を利用しないなど、「インターネットに接続することがない」という環境もほとんどないのではないでしょうか? そこで重視されるのがWebに対するセキュリティなのです。
“分離”が必要な背景
Web分離は二つの目的に対して有効といわれています。一つは「巧妙化・増加するWeb経由の攻撃対策」、もう一つは「Webアクセス管理の運用負荷増大対策」です。
巧妙化・増加するWeb経由の攻撃
Web経由の攻撃は「閲覧しただけで感染する」「感染したことに気づかない」という特徴があります。コンテンツの表示・閲覧だけで感染リスクがあるマルバタイジングや、サイトを改竄してマルウェア感染させる水飲み場攻撃、悪意のあるソフトウェアを一方的にダウンロードさせ、勝手にインストールまでさせてしまうドライブバイダウンロード攻撃などが有名なところです。
また、一見信頼できる企業サイトにおいても、約40%の企業サイトで容易に攻撃可能な問題が検出されています。つまり、従来のフィルタリング対象にならない企業サイトからもマルウェアに感染する危険があると言えるのです。
Webアクセス管理の運用負荷増大
アンチウイルス、Webフィルタ、サンドボックスやビッグデータ分析など従来の防御手法は検知を目的としており、コンテンツを確認して最終的に検知・遮断を行います。しかし、この手法では完全に正しい判別ができるとは言い切れず、誤った判別により脅威が網をすり抜けてしまったり、問題のないものを誤検知することもあります。
また、攻撃と防御のいたちごっことなっていることにより、年々多層防御が複雑化し、運用負荷も増大している企業が多いという実情もあります。
この現状を脱却し、最新のWeb経由の攻撃にも備えることのできるセキュリティ対策の見直しが必要です。
このような背景により、従来とは異なるセキュリティアプローチが注目されることになりました。それが「Webアイソレーション」なのです。
「Webアイソレーション」とは、これまでの“いかに迅速に不正検知できるか”というアプローチから、そもそもWeb利用の仕組みの上で脅威がエンドポイントに到達することができないシステムを実現したものです。
果たして、これはどのような仕組みなのでしょうか。従来のセキュリティ手法とは根本的に何が違うのかを解説します。
Webアイソレーションとは何か
なぜアイソレーション(分離)なのか
「Webアイソレーション」は、「Web分離(インターネット分離)」という意味で、Web利用を行うエンドポイント端末と、実際にWeb接続する端末を分けるという仕組みのことです。
一般的にセキュリティは、多層防御が必要といわれています。
<多層防御>
・ファイヤウォール・IPS/IDSなどインターネットから侵入されるのを防ぐ層
・ウイルススキャンやサンドボックスなど侵入されてしまったことを検知する層
・アンチウイルスやEDRなど分析対処を行う層
ざっくりと分けても、このようにいくつもの層で様々な対策を重ねるという防御のしかたです。さらに普段からバックアップをとる、データを暗号化するなど被害を抑える対策も必要です。
このようにたくさんの対策を必要とするのは、『全ての侵入を100%防ぐことができない』という考え方が前提となっているからです。
特にインターネットを通した攻撃は多く、日々新しいマルウェアが開発されていて攻撃する側も進化を続けています。既知の脅威を防ぐことのできるブラックリスト型の製品や、AIによって怪しい挙動を検知する次世代アンチウイルスだけでは、全く未知の脅威やゼロデイ攻撃には対応できないこともあるのです。
そのため、重要な個人情報などのデータはそもそも外界とつながるネットワークから切り離し、インターネットを通して攻撃が入ってきてしまってもたどり着けない状態にする必要があるのです。
これまでもインターネット接続を行うネットワークの分離は、高いセキュリティが必要とされる金融系や官公庁のシステムにおいて、使われてきた技術です。しかしながら、従来は、重要なデータを含む端末をオンラインシステムから隔離し、オフライン状態で使うなどインターネット端末と社内ネットワーク環境とを物理的に分離する方法が主流でした。そうすることで、インターネットから未知の強力なマルウェアが万が一侵入してしまった場合でも守ることができるのですが、その反面、運用コストや利便性が犠牲になってきました。
<画像出典:NRIセキュアテクノロジーズ・Web分離の方式)
物理的なネットワーク分離はユーザーにとっては不便な構成です。業務を行う為に複数の端末を行き来させられ、時間だけでなく場所も取られてしまいます。
そのような理由から必要に迫られている場合を除いて使われてこなかったと言えるでしょう。
しかしながら、時代は変わり、クラウド全盛の今、安全の為にはネットワーク分離が求められています。 現在は物理的な分離ではなく、仮想的に分離する方法が主流となっています。中でも、近年注目されているのが仮想環境上でWebコンテンツの読込・実行を行い、無害な表示結果のみをブラウザ上で表示させるコンテンツ無害化技術です。
仮想環境を利用したWebアイソレーションはこのネットワーク分離を代替する新しい技術なのです。
Webアイソレーションの仕組み
Webアイソレーションは、物理的にネットワークを分けるのではなく、Webへの接続を仮想空間上で代替して行うことで、端末から切り離す仕組みになります。
中でもここ最近、注目を集めているのは“コンテンツ無害化”技術です。
インターネット接続する際に、Webアイソレーション用サーバーに接続し、そのサーバー内で立ち上げた仮想空間から実際にインターネット接続を行います。この仮想空間内で接続先ページの情報や含まれているファイルを無害化して、安全な表示情報だけをユーザー端末に転送します。
1.Web接続時、リモートサーバー上で仮想空間(コンテナなど)を立ち上げる
2.仮想空間上でWebサイトの読み込み・実行
3.マルウェアなどが含まれていれば除去、無害化
4.レンダリング情報のみが閲覧する端末に転送される
5.Web閲覧後、使用した仮想空間は破棄される
Webアイソレーション用サーバーから無害化された情報だけがユーザー端末に転送されてくるといっても、単純な画面情報のみでなくレンダリング情報が転送されます。ユーザーがWebブラウザ上でコピー&ペーストしたりファイルを開いたりという操作ができ、違和感なく使うことができます。
また、接続に使われる仮想空間はコンテナなどで実現され、この仮想空間の立ち上げはセッションごとに行われます。 そしてこの仮想空間内でWebページの情報を読み込み、実行します。 実行した結果、仮想空間がマルウェアに感染してしまったとしても、セッションが閉じられた時点で廃棄となります。 仮に感染してしまっても感染した環境をまるごと捨ててしまうので、被害はサーバーやユーザー端末まで届きません。
こうしたWebアイソレーションを採用することによって、外界からのマルウェアの侵入を効果的に防ぐことができます。
こうしたWebアイソレーションにより、セキュリティを重視するあまりホワイトリスト型のフィルタリングで通常業務がしにくくなったり、不正ではないものまで過検知してしまいアラートに振り回されてしまうというケースからも解放されます。
Webアイソレーションの活用事例
2016年頃から、Menlo(メンロー)のWebアイソレーションシステム「Menlo Security」が日本上陸、Fujitsuの「アイソレーションゲートウェイサービス」のリリース、Symantec(シマンテック)の「Symantec Web Isolation」、ジェイズ・コミュニケーションの「SCVX」など、ここ2~3年で次々とWebアイソレーションサービスが登場しています。
前述のMenloではユーザー端末にクライアントアプリの導入が必要なく、ブラウザの遅延が少ないといったメリットがあります。こうした既存の業務環境に影響を与えない点の評価が高く、多数の端末を使用する日本郵政株式会社がMenlo Securityを導入しています。
この事例では、まず通常の業務で使用するWebサイトをホワイトリストとして定め、それ以外をWebアイソレーションサービス適用しています。あらかじめホワイトリストを設定することで、そのサイトはこれまで通り使えるので業務へのインパクトはありません。また、ホワイトリストサイト以外のサイトへのファイルアップロードを制御することで、従業員によるミスや不正の抑止にもつながったといいます。
こうしたWebアイソレーションサービスはクラウドサービスとして提供され、更新作業不要で運用の負担が少ないことももう一つのメリットと言えるでしょう。ユーザーごとのサブスクリプション制であれば、一人で複数の端末を利用していてもコストが抑えられます。
ただし、そしてWebアイソレーションサービスの導入によってWeb遅延が多少発生し、Webブラウザの使い勝手が変わることもあります。導入に際しては、試用期間などを利用して業務への影響を慎重に見極める必要があります。
Webアイソレーションは万能薬ではありません。Webブラウザに仕込まれたマルウェアには効果的ですが、Webアイソレーションだけで全ての攻撃を防ぐことができるわけではありません。メールやUSBメモリを介したマルウェア感染や内部不正、脆弱性などの様々な脅威がまだ残されています。
セキュリティに多層防御が必要なのは変わりませんが、大きな入り口であったインターネットからの攻撃を防ぐことができるWebアイソレーションは、業務を守る新しく強力な盾としての役割が期待されます。
【執筆:編集Gp 星野 美緒】