NEW!!
準備は大丈夫?インターネット分離への対応
標的型攻撃が活発化する昨今、さまざまな情報漏えい事件が起きており、公共機関では年金機構の情報漏えい事件が発生し、世間や住民に不安を与えました。各企業でマイナンバー運用が始まり、一層のセキュリティ強化が求められる中、総務省からは、まず自治体に対して「自治体情報セキュリティ対策の抜本的強化」が発表され、積極的な適用が推奨されています。
その概要は二本柱として「情報流出を防止のための対策」と「情報システム系(LGWAN 接続)とインターネット接続系の分離」で構成されています。今後はこれと同様の対策が、各団体でも重要情報を守る為に必要になってきます。
ここでは発表されたモデルの概要と、対策の鍵となる「インターネット分離」について解説。
また、「インターネット分離」だけではフォローしきれないリスクへの効果的な対策もご提案いたします。
「自治体情報セキュリティ対策の抜本的強化」の概要
上記で紹介した「自治体情報セキュリティ対策の抜本的強化」は①情報流出を防止のための対策と②情報システム系(LGWAN接続)とインターネット接続系の分離で構成されています。
セキュリティ対策の要となる「インターネット分離」
これらの対策の中で、標的型攻撃をはじめとした脅威への防御策として有効なのが「インターネット分離」の実現です。普段の業務で使用する端末がインターネットへ接続されていなければ、マルウェア感染のリスクを大幅に軽減できます。また、万が一USBメモリなどの媒体を介して業務利用端末がマルウェアに感染したとしても、インターネット経由で外部から端末が操作されて機密情報が流出することもありません。
「インターネット分離」を実現する2つの方法~物理的分離と仮想的分離~
ここで、「インターネット分離」の実現する具体的な方法2つをご紹介します。それぞれの方法ごとにメリット/デメリットがあるので、各自治体の環境や業務状況、要求されるセキュリティレベルに合わせて方法を選択していくことになります。
物理的分離:インターネット利用端末と業務利用端末を物理的に分離
1つは、業務利用のための端末とインターネット利用のための端末をそれぞれ別個に用意して、ネットワークの横断を物理的に分離する方法です。
【特長】
・インターネットとの確実な分離を実現可能
・分離にあたり新たなシステム導入の必要がない
【懸念】
・インターネットアクセス用端末の購入と管理が必要
・複数の端末を利用することによる業務効率の低下
仮想的分離:シンクライアントシステムを利用したWebアプリケーション配信
もう1つは、シンクライアントシステムを利用して仮想的に分離する方法です。
【特長】
・業務に利用する端末が1台で済むため、業務効率を確保できる
・一括管理することで運用管理コストを低減できる
【懸念】
・シンクライアントシステムの構築/導入が必要
・ネットワークの接続性/安定性に依存してしまう
「インターネット分離」だけではフォローしきれないリスクとその対策
ここまでで「インターネット分離」の必要性に触れてきましたが、それだけでは対処しきれないリスクが実運用においては存在します。例えば、誰かが意図的に、もしくは意図せずにインターネット接続端末にデータをコピーしてしまうリスクです。業務効率の優先や悪意による情報持ち出しのため、情報記憶媒体やインターネット接続端末へデータをコピーし、そこから情報漏えいが発生するケースが想定されます。また、自治体においては職員の入れ替わりが頻繁に発生し、運用方法が担当者や端末利用者に正しく引き継がれない場合も考えられます。
これらのリスクに対して有効な手段となるのが「ログ管理」です。
悪意ある持ち出しへの抑止として機能し、担当者への引き継ぎミスで正しい運用がなされなかった時でも不適正な運用の発見と適正化に効果を発揮します。有事の際の原因究明・操作追跡にも有効です。
「MylogStar(マイログスター)」なら物理も仮想も対応OK!
「インターネット分離」と合わせて「操作ログ管理(証跡管理)」を実施する際、MylogStarであれば物理的分離と仮想的分離(VDI/SBC)のいずれにも対応が可能です。
物理的分離には「MylogStar Desktop(マイログスターデスクトップ)」
※MylogStar Desktopは異なるネットワークに存在する監視対象PCに対して、ピンポイントに操作ログ収集・保管・分析が可能。
仮想的分離には「MylogStar Enterprise(マイログスターエンタープライズ)」
仮想的分離(VDI)へのMylogStar対応イメージ
仮想的分離(SBC)へのMylogStar対応イメージ
※MylogStar Enterpriseは物理環境と仮想デスクトップ環境をクライアント/サーバーシステムで操作ログの一元管理が可能。
「インターネット分離」と「ログ管理」で万全の自治体情報セキュリティを!
情報漏えい事件の報道により安心・安全への要求が高まる中、マイナンバーの運用もはじまり一層の対策強化が求められる自治体情報セキュリティ。ネットワークを介した脅威を排除する「インターネット分離」と業務運営上のリスクに備える「ログ管理」を組み合わせることでより安全なセキュリティ体制を構築できます。MylogStarシリーズなら、各自治体の運用環境や要求するセキュリティレベルを問わずにログ管理を実行可能。物理環境はもちろんのこと、シンクライアント環境での運用にも対応しています。
MylogStar のラインナップと機能詳細
クライアントサーバー型
管理サーバーで監視対象のログを一元管理
スタンドアロン型
監視対象マシン内でログ管理を完結。管理サーバーは不要
MylogStar Enterprise (マイログスターエンタープライズ)
監視対象の記録を管理サーバーで一元管理
物理 / VDI / SBCすべての環境に対応、最大3万クライアントまで管理可能
MylogStar FileServer (マイログスター ファイルサーバー)
監視対象のServerOSへのスタンドアロン管理(管理サーバーレスで導入/運用が可能)
ファイルサーバーの共有フォルダのファイル操作を記録、ファイルサーバーアクセスログ管理を実現
MylogStar Desktop (マイログスター デスクトップ)
監視対象のClientOSへのスタンドアロン管理(管理サーバーレスで導入/運用が可能)
PC1台からの操作ログ管理。ネットワークのない物理環境でもログ管理を実現
ラインナップ別 機能一覧
この記事を書いた人
株式会社ラネクシー MylogStar担当者
20年以上にわたりログと向き合い、活用方法を模索し続けているMylogStarの製品担当。
新たな活用方法はないかどうか最新のトレンドにアンテナを張り、皆さまに役立つ情報をお届けします!
