近年、企業を標的としたサイバー攻撃が頻発している上、マルウェア感染やフィッシング攻撃など、サイバー攻撃も巧妙化しています。こうした脅威から、顧客情報や財務データなどの機密情報を死守する手段として今注目されているのが、「ネットワーク分離」です。
ネットワーク分離の基礎を理解することで、データ保護やリスク管理、コンプライアンス遵守などにも役立てることができます。今回の記事では、ネットワーク分離に関する基礎知識や実現方法、ネットワーク分離が進む自治体や金融業界の事情などをご紹介します。
目次
ネットワーク分離とは?
まずは、ネットワーク分離の概要や今注目されている理由をご紹介します。
ネットワーク分離とは
ネットワーク分離とは、古くから存在するセキュリティ対策の考え方一つで、ネットワーク環境をインターネット接続系と基幹業務系に分ける考え方のことです。金融機関や公共機関などでは昔から広く導入されています。2つのネットワークを分離することで、万が一インターネット経由でサイバー攻撃を受けても、犯罪者の手に情報が渡らないよう経路を遮断できます。
なお、セキュリティ対策の一環として、総務省やIPA(独立行政法人情報処理推進機構)も推奨しています。
なぜネットワーク分離が今注目されているのか
東京商工リサーチの調査によると、2023年の上場企業の個人情報漏えい・紛失事故の件数は175件。漏えいした個人情報の数で見ると前年の7倍、4,090万8,718人分におよび、年々その数は増えています。さらに、サイバー攻撃は近年巧妙化しており、セキュリティ管理の重要性がより一層叫ばれるようになりました。
特に契機になったのが、2015年に起こった「不正アクセスによる125万件の年金情報・流出事案」です。同年5月に、日本年金機構は124通の標準型メールを受信し、職員5名が添付ファイルを開いてしまいます。これにより31台の端末がウイルスに感染。最終的に約125万件もの個人情報が3日間で流出するという深刻な被害につながりました。
この年金情報の流出事案については、下記のページに調査結果が詳しく記載されています。
不正アクセスによる情報流出事案に関する調査結果報告について|日本年金機構 
年金情報流出事案を受けて総務省は、ネットワークを3つに分離させる「三層分離」というネットワーク分離の考え方を採用し、公共機関のセキュリティ体制を盤石なものへと強化しました。三層とは、「個人番号(マイナンバー)利用事務系ネットワーク」「LGWAN(統合行政ネットワーク)接続系ネットワーク」「インターネット接続系ネットワーク」の3つの層を表します。総務省は、全国の自治体にこの三層分離を行うよう呼びかけを行いました。
なお、自治体が採用した「三層分離」については、以下より詳しく知ることができます。
地方公共団体情報セキュリティ対策の経緯について | 総務省
ネットワーク分離の実現方法
次に、ネットワーク分離の実現方法について解説します。方法は大きく「物理的な分離」と「論理的な分離」の2種類に分けることができます。
物理的な分離
こちらは文字通り、「物理的」に端末を分離する方法です。具体的には、端末をインターネット接続系ネットワークと機密情報管理系ネットワークに分けて使用します。操作する端末自体のネットワークを分けることで、物理的に侵入経路を断つことができ、より強固なセキュリティ環境を構築できます。万が一インターネット経由でマルウェア攻撃などを受けても、機密情報を扱うネットワークへの侵入経路がないため、被害を最小限に抑えることができます。
ただ、セキュリティレベルが向上する反面、利用者は用途に応じて端末を使い分けなければならず、業務効率が悪くなる可能性もあります。また、端末を複数台用意する必要があるため、初期コストや維持費用も考慮しなければなりません。
論理的な分離
こちらは物理的な分離と違い、1台の端末内で「論理的」にネットワークを分離する方法です。実現する方法としては、主に以下3つが挙げられます。
リモートデスクトップ
離れた場所に設置された端末をリモート操作する方法です。操作側からは、キーボードやマウスなど操作に必要な情報だけが送られます。一方操作される側には画面表示のみが送られるため、お互いに干渉する心配がありません。
デスクトップ仮想化
仮想サーバー上にある仮想PCでアプリケーションを実行する方法です。この方法なら、インターネット経由で攻撃を受けたとしても、基幹業務系ネットワークへの被害を回避できます。
セキュアブラウザ
セキュアブラウザとは、一般的なWebブラウザと同じ機能を持つ「セキュリティが強化されたブラウザ」と考えるとわかりやすいでしょう。セキュアブラウザで操作したデータ内容は端末に残らないため、情報漏えい防止にもつながります。
論理的な分離は、1台の端末でインターネット接続系ネットワークと基幹業務系ネットワークの両方にアクセスできるのが最大の特長です。物理的な分離よりもコストを抑えられるだけではなく、端末の使い分けも必要ないため、利便性が下がることもありません。ただ、制御法が物理的な分離よりも複雑になるという難点があります。設定ミスなどによって2つのネットワークが意図せずつながってしまう危険性もあるため、運用には十分に注意が必要です。
金融業界や公共団体の間で進むネットワーク分離事情
続いて、すでにネットワーク分離の導入が進んでいる金融業界や公共団体の現状をご紹介します。
自治体における三層分離について
先述の通り、2015年の年金情報漏えい事案を受け、総務省は2017年7月までに全国の自治体にネットワークの三層分離への対応を呼びかけました。これまでは、LGWAN(統合行政ネットワーク)接続系ネットワークとインターネットに接続するネットワークは同一となっていました。それが三層分離を進めた結果、LGWAN(統合行政ネットワーク)接続系ネットワークのインシデント件数が大幅に減少したと報告されています。一方、設置スペースの確保や管理タスクの増加、操作する端末が1台から2台に増えるなど、「セキュリティ強化は成功したものの、利便性が悪くなった」という声も挙がっています。
また、新型コロナウイルス感染拡大によって普及したテレワークに対応するため、総務省は自治体に関する情報セキュリティ・ガイドラインを2020年に改定しています。導入当初の三層分離ネットワークでは、職員が自宅のインターネットから接続できず、接続要件を満たした貸出端末からしかアクセスできないという不便な状態でした。ガイドライン改定により、LGWAN接続系ネットワークの一部の業務システムをインターネット接続系ネットワークに配置できるようになり、テレワークに適応する形となりました。
金融業界のネットワーク分離事情
金融業界においては、「FISC(The Center for Financial Industry Information Systems)」と呼ばれる内閣府所管の公益財団法人がネットワークセキュリティのガイドラインを定めています。FISCの定めるガイドライン「FISC安全対策基準(金融機関等コンピュータシステムの安全対策基準)」は、高いセキュリティが求められる金融機関システムを構築する際の指針を作るために、1985年に定められました。法的な強制力は持たないものの、事実上の標準ガイドラインとされており、金融庁もFISC安全対策基準に基づいた検査を実施しています。
また、総務省は金融機関向けのネットワークセキュリティに関する資料内 で、「FISCの対応項目」を記載しており、FISC規定のセキュリティ要件を満たす対策を推奨しています。このFISCの安全対策基準のなかでも「ネットワーク分離の重要性」が語られており、金融業界では、内部と外部のネットワークを分離させるセキュリティ対策が広まっています。
AWSでネットワーク分離を実現するためには
最後に、AWSサービスを使った「ネットワーク分離の実現法」をご紹介します。
Amazon WorkSpacesを使ったネットワーク分離
Amazon WorkSpacesは、AWSが提供しているフルマネージド型・仮想デスクトップサービスです。Amazon WorkSpacesを使えば、仮想クラウド上でWindows、Linuxなどを利用することができます。
特に、ネットワーク分離の実現に適したものが、仮想プライベートネットワーク(VPC)接続ブラウザを配信できる、Amazon WorkSpaces Webです。Amazon WorkSpaces Webを活用すると、安全なブラウザクセスが可能となり、社外SaaSにはインターネットで接続し、社内システムにはAmazon WorkSpaces Web経由で接続するといったネットワーク分離が実現できます。
なお、類似サービスとして、Amazon AppStream2.0というもサービスあります。Amazon WorkSpaces Webとの違いの一つは、利用終了の度にユーザーのセッションデータが削除される「非永続型」かどうかという点が挙げられます。
Amazon WorkSpaces、Amazon AppStream2.0について、より詳しく知りたい方は以下の記事をご覧ください。
Amazon WorkSpacesとは?その特長をまとめてみた | AWS活用法
セキュリティ向上!「Amazon AppStream2.0」で実現するWeb分離環境とは|AWS活用法
Amazon WorkSpacesの利用を検討している方は当社までご相談を
Amazon WorkSpacesは、ネットワーク分離を実現するにあたり、セキュリティ向上や柔軟なアクセス制御、運用コスト削減などの面で多くのメリットをもたらします。ただし、導入時はサブネット設計やネットワーク構成などを考える必要があり、専門的な知識が求められます。Amazon WorkSpacesを使ったネットワーク分離の対応や運用管理が自社で難しい場合は、AWSの専門家に相談するのも一つの手段です。内製化するよりも、スピードやコスト、人的リソース面で圧倒的に最適化できるケースも少なくありません。
ご興味がある方は、以下ページも参照ください。
まとめ
近年急速にペーパーレス化が進むなか、インターネット接続なしで業務を行うことは、ほぼ不可能に近くなっています。メールやファイル送受信、オンライン会議などが行えるインターネット環境は、仕事をする上で必要不可欠といえるでしょう。だからこそ、巧妙化するサイバー攻撃から機密情報を守るため、ネットワーク分離への注目度が高まっています。特に地方自治体や金融業界ではネットワーク分離の考えはすでに広く浸透しており、そのほかの業界でもネットワーク分離を進める波が拡大しつつあります。この機会に自社のネットワークセキュリティを見直してみてはいかがでしょうか。ご興味がある方は、当社にぜひご相談 ください。
