Go to Qiita Advent Calendar 2024 Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

@XbaseFox(Hiroshi Nakamoto)

WEB分離化についての考察

Last updated at Posted at 2019-11-13

#はじめに
WEB分離化は2010年頃よりマルウェアによる甚大な被害が世界的な問題となり、日本でも2015年5月、日本年金機構に対し外部から「標的型攻撃メール」が送られ、その結果年金管理システムに保管されていた125万人分の個人情報が漏洩しました。この問題の発生を受けて、WEB分離化が注目され特に機密情報を所有する国家機関や省庁、地方自治体で導入が進んでいます。
####WEB分離化とは
以下に示すのは**「自治体情報システム強靭性向上モデル」**というもので、これまで多くの自治体は、LGWAN(統合行政ネットワーク)接続系ネットワークと、インターネット接続系ネットワークを同一ネットワーク内に設置していました。今回の総務省の通達を受けて、各自治体はこれらのネットワークを分離する必要があります。(アシスト社のHPより引用)

image.png

####WEB分離化が出来る組織は恵まれている
この分離化が出来る組織は良いのですが、社内の全員がインターネットに接続しないと業務が成り立たない企業はどうなるか?そこで、登場したのが**「WEBの仮想化と無害化」**でした。以下の図はMenlo SecurityのHPからお借りしました。

Menlo SecurityはWEB分離化の二つの方式のレンダリングに該当し速度も十分に速く好評です。一方、画面転送の方式は遅いのですが、確かに安全性は高いと言えます。WEB分離化を採用できる企業はラッキーで恵まれていると言えるでしょう。

######1.WEB分離化の二つの方式

  • WEBサイトに別のコンピュータでアクセスし、画面を自分のコンピュータに表示する仮想化。
  • アクセスしたWEBサイトのレンダリングを行い安全化して自分のコンピュータに表示する無害化。
    image.png

######2.WEB分離化を導入しない組織とは

(動かない機能がある)

  • 2019年11月現在の話ですが解決出来ていない例を実際に認知しています。運営しているサービスがWEB分離化の各社の方式では動作しない場合があります。同様にそのサービスを利用している企業ではWEB分離化を導入できなくなっています。
    (システムの複雑化)

  • WEB分離化は仮想化などシステムが複雑化し、レンダリングサーバに問題が発生するとWEB接続が切れます。

  • コストの問題とメンテナンスの問題が無視出来ない場合は導入出来ないようです。
    (リモート環境の問題)

  • リモート環境でのWEB分離化はMenlo Securityについては可能ですが、困難な場合が多く外でPCを多用する組織では片手落ちとなってしまいます。その不完全さが理由で採用しない場合も現在は多いようです。
    (盲点がある)

  • 指摘されている一つはファイルの取扱いの問題です。プレビューしたメールの添付ファイルやWEBファイルをクラウドの安全な領域で扱わずにPCへダウンロードしてしまうという問題はゼロでは無いようです。

  • もう一つは画面に表示された情報を信用するかしないかは読んだユーザ次第です。フェイクな情報かは分離化でも解決はできませんので、屁理屈に近いですが、そこは一つの問題として残ってしまいます。
    ####マルウェアの侵入経路を完全に塞げるか
    マルウェアの概要については触れませんが、侵入経路は以下が主なものになる事は一般に認知されています。

  • メールの添付ファイル

  • WEBからダウンロードされる各種ファイル

  • 閲覧したWEBサイトからの書き込み

  • USB等の記憶メディア

この中で「閲覧したWEBサイトからの書き込み」は分離化で完全に近く防止できますが、その他についてはユーザレベルでは完全に扱えないようにしてしまう以外には侵入は100%無いとは言えません。持ち込む気になれば持ち込める、ダウンロードする気になればダウンロード出来るのでは危険です。
####本当に安全な分離化とは全てのファイルを仮想領域で扱える事
GoogleのGメールではメールの添付ファイルをプレビューするのと同時にGoogleのドライブで安全に扱う事が推奨されています。またMicrosoftのクラウドでも同様の機能を持っています。最近はDropBox等も追従しているようですので、クラウドサービスそのものは安全対策が充実して来ていると言えます。
####課題はWEB分離化、クラウドストレージ、クラウドアプリの連携
少々ベタな表現になりますが**「WEB分離化+クラウドストレージ+クラウドアプリ」を今後は3本の矢**として考える必要を強く感じています。この3本の矢がマルウェアの侵入経路全てにローカルPCを介さずに対応する事が重要だと思います。その場合はUSB等の記憶メディアは使用禁止にするか、クラウドのドライブに直接転送できる外部ストレージというのも考える必要がありそうです。
####ファイルフォーマットの問題
現在「WEB分離化+クラウドストレージ+クラウドアプリ」では大半がオフィス系のデータのみに対応してます。最近の報告で、検知することが非常に難しいランサムウェア「SODINOKIBI」は「zip」ファイルで送り込まれるという事を考慮しますと、圧縮されたファイルに対応する事も重要でしょう。これは時間の問題で解決はしそうですが、3本の矢と同様に早急な対策をWEB分離化をサービス化している各社にはお願いしたいと思います。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?