インターネット分離による セキュリティ強靭化

標的型攻撃による情報漏えい事件やマイナンバー制度の施行等により、サイバー攻撃に対するセキュリティ対策として「インターネット分離」の導入が必要とされています。本ページでは、Citrixの仮想化技術を利用したインターネット分離のポイント、有効性についてご紹介します。

【課題】なぜインターネット分離が必要なのか

標的型攻撃
標的型攻撃とは、他のサイバー攻撃のように不特定多数を狙うのではなく、攻撃者が入手したい情報を持つ「特定少数」を狙い撃ちにする攻撃です。一見、有名企業のみが攻撃の対象になるように聞こえますが、それは誤りです。中小企業も含め、あらゆる組織が対象に成り得ることを認識しなければなりません。

攻撃者は、目的を達成する為にあらゆる手口を使って、ターゲットに近い人物や端末へ侵入しようとします。攻撃は年々巧妙になっており、情報漏えいや金銭窃取の被害が後を絶ちません。その被害の多くは、メールの添付ファイル開封やリンクへのアクセス、ウェブサイトの閲覧によるウイルス感染が原因です。

標的型攻撃については、ウィルス対策ソフトやファイアウォールでの防御は極めて困難です。Webプロキシの設定やコンテンツフィルタリング、ログ監視・通信監視でも十分とは言い切れず、問題の根本解決とはなりません。
Internet Explorer(IE) のサポートポリシー変更
2016年1月12日以降、マイクロソフト社は、テクニカルサポートとセキュリティ更新プログラムを、サポートされるオペレーティングシステムで利用できる最新バージョンのみに提供致します。

サポートが終了すると、セキュリティ更新プログラム、セキュリティ以外の修正プログラム、オンライン テクニカル コンテンツ等の更新が提供されません。例えば、サポート終了以降に発見された脆弱性に対しても、マイクロソフト社から新規にセキュリティ更新プログラムや修正プログラムが提供されることはありません。そのため、使用環境での脆弱性はそのまま放置され、旧バージョンの製品を利用し続けるユーザーは、常にセキュリティリスクに曝され続けることになります。

しかしながら、旧バージョンのIEに依存したWebアプリケーションを利用している場合は、すぐに最新バージョンのIEへバージョンアップすることが難しいケースも多く存在します。将来的にはアプリケーション自体の対策も必要とはなりますが、当面の間、企業内Webアプリケーションを安全に継続利用するための対策が必要となります。
Windows OS のバージョンInternet Explorer のバージョン
Windows Vista SP2 Internet Explorer 9
Windows Server 2008 SP2 Internet Explorer 9
Windows 7 SP1 Internet Explorer 11
Windows Server 2008 R2 SP1 Internet Explorer 11
Windows 8.1 Update Internet Explorer 11
Windows Server 2012 Internet Explorer 10
Windows Server 2012 R2 Internet Explorer 11
Windows 10 Internet Explorer 11

こういった背景の中で、仮想化の仕組みを利用したインターネット分離による対策が急務となっています。

標的型攻撃とInternet Explorer(IE) の サポートポリシー変更

インターネット分離前のシステムと問題点

インターネット分離前のシステムと問題点

【これで解決!】Citrix XenApp/XenDesktop を利用したインターネット分離

インターネット分離は、情報系ネットワークと行政/基幹系ネットワークのネットワーク環境を分離することによって、外部への情報漏えいを防ぐというソリューションです。
機密情報やユーザーの個人情報などは、インターネットから分離した専用のネットワークで管理します。一方、ユーザーがインターネットにアクセスする際には、Citrix XenAppサーバー(以後、XenAppサーバー)上に展開されたIEを経由して接続します。これによって、インターネット経由で攻撃等を受けた場合でも、直接的に業務環境へ影響を与えず、情報漏えいのリスクなどを下げて、インターネットを安全に利用することが可能になります。

こういった使われ方は、金融・医療系のお客様で既に多くの実績があります。

 Citrix XenApp/XenDesktop を利用したインターネット分離

旧バージョンのIEに依存したWebアプリケーションを利用する場合には、イントラネット内のXenAppサーバー上に展開された旧バージョンのIEを経由してアクセスします。一方、インターネットにアクセスする際には、クライアントPC上の最新バージョンを利用します。
これによって、クライアントPCのOSやIEのバージョンに依存せずに、Webアプリケーションを安全に継続利用することが可能となります。また、既に動作検証済みのIEバージョンを継続して利用するため、アプリケーションの互換性チェックや改修作業は不要です。

なお、XenAppサーバーを複数に分けることによって、複数の異なるバージョンのブラウザー配信も可能です。

 Citrix XenApp/XenDesktop を利用したインターネット分離

【これで解決!】よりセキュリティ効果を高めるお役立ち機能

万が一 ウイルスに感染してしまった場合でも・・・

Citrix の Provisioning Services (PVS) により、XenApp/XenDesktopサーバーを再起動するだけで、ウィルス感染する前の環境をすぐにプロビジョニングできます。これによって、迅速にシステムを復旧することが可能です。
また、PVSを利用したシステムでは、日々のメンテナンスはvDisk のみに実施すれば良いため、大規模なシステム環境においても容易な運用管理が可能となります。 更に、XenAppの再起動設定と組み合わせることによって、日中の時間帯に行っていたメンテナンス作業を夜間の再起動で自動的に反映させることができます。

Provisiong Services (PVS)

クリップボード(Copy&Paste)機能の制御による情報漏えいのリスクを抑える

接続デバイスのHDD、USBストレージなどドライブへのリダイレクトを禁止しても、クリップボード機能によって、データの漏洩の可能性が残ります。XenApp/XenDesktopでは、ユーザー毎にクリップボード機能の利用を制御することが可能です。さらに、社内ドキュメントに記述されたURLアドレス、文書、文字列をインターネットで検索、表示させることもできます。これによって、情報漏えい、不正プログラム侵入を許さない仕組みを実現します。

クリップボード(Copy&Paste)機能の制御による情報漏えいのリスクを抑える

PAGE TOP