IT支援室インフラチームです。
LINE FukuokaのIT支援室は社内IT全般を担う組織で、ヘルプデスクチーム、ヘルプマネジメントチーム、テクニカルサポートチーム、インフラチーム、情報セキュリティチームの5つのチームで構成されています。
▼IT支援室のお仕事についてはこちら
インフラチームは、オフィスインフラ運用管理やネットワークセキュリティ業務を担っており、サイバーセキュリティ強化のために様々な取り組みを行っています。今回は、新たに導入し、ひと月合計2万件以上の膨大なセキュリティリスクを防いだセキュリティソリューション「クラウド型Web分離システム」について、導入の背景、効果、課題まで詳しく解説します。
在宅勤務にも有効なセキュリティ対策ソリューションをお探しの社内ITの方々の参考になれば幸いです。
Webサイトに安全にアクセスしたい
業務に関連する調べ物をしていたのに、意図せず不審なサイトへ接続されてしまったという経験はないでしょうか?もし脆弱性攻撃やマルウェア感染が疑われるようなWebサイトへ接続してしまった場合、 端末のウイルススキャン、社内ネットワークからの切り離し、原因調査・・・といった対応をして、問題ないと判断されるまで業務がストップしてしまいますし、調査・調整を行う社内ITにも負担がかかります。
不審なサイトへアクセスしたからといって必ずしも端末に被害が出るとは限りませんが、特に業務で使用するPCなどにおいては、極力セキュリティリスクを減らしたいと考えるのは当然でしょう。
LINE Fukuokaには、LINEサービスに投稿されたURLや、LINE公式アカウント等LINEサービスの審査申請を頂いている企業について扱っているサービスに問題がないかなどのチェックをする業務もあるため、 どんなWebサイトにも安全に接続できて、かつ、社内ネットワークに接続するサーバーや端末への感染リスクもない、そのようなソリューションを検討しました。
セキュリティ対策「Web分離」の主な手法
Web分離とは、簡単にいえばインターネットと社内システムでWebコンテンツの実行環境を分離することです。インターネット分離と呼ばれることや、より広い意味で使われることもありますが、基本的にはセキュリティ対策ソリューションのひとつという認識で良いでしょう。
Web分離には主に以下の4つの手法があり、コスト面、使い勝手、管理の観点から、私たちは④の「クラウドを使ったWeb分離」を選択しました。
上記のとおり、Web分離には様々な手法があり、またどれもメリット、デメリットが存在します。
さらに、今回ソリューションを検討する上でもうひとつ大きな課題となったのが、在宅勤務(リモートワーク)でした。
在宅勤務にも適しているのは、オンプレミス型?クラウド型?
多くの企業が、社内からインターネットへ接続する際、その経路上にFirewallを始めたとした様々なセキュリティ装置を置き、危険なサイトへのアクセスをブロックするよう対策していると思います。もちろん、在宅勤務時においても、VPN接続していれば社内のセキュリティ装置を通ることで同様に安全なネットワーク経路をたどります。 しかし、VPN未接続の時はどうでしょうか? 社内のセキュリティ装置を経由せず、自宅の回線から直接インターネットへアクセス可能になり、仮に不正サイトにアクセスしてしまった場合、端末がマルウェアに感染するリスクが起きます。
また、VPNをスプリットトンネル(社内システムにはVPN経由、インターネット接続は自宅の回線を利用)にしている場合は、VPN接続していたとしてもインターネットへ直接出ていきます。業務用の端末が直接インターネットへ出るというのは、セキュリティリスクの大きな問題です。
セキュリティシステムには、「オンプレミス型」と「クラウド型」の2パターンあります。前者は、在宅勤務下ではVPNを経由しないとWeb分離ができないですが、後者は在宅勤務環境でもVPNを経由せずに分離が可能です。
当初の必要要件であった「安全にWebサイトへ接続ができる」「社内ネットワークに接続するサーバーや端末への感染リスクがない」に加えて、「在宅勤務環境でのセキュリティ対策としても有効」なソリューションを検討した結果、 「クラウド型」を製品選定の必須要件としました。
■メリット
クラウドからの接続が制限されているサイトへもアクセス可能
■デメリット
フルトンネルでVPN接続しないとWeb分離できないので、VPN未接続またはスプリットトンネルでVPN接続している場合はインターネットに直接接続してしまうリスクあり
別途サーバー管理コストが必要
<クラウド型>
■メリット
基盤がクラウドになるためサーバーなどの管理コスト不要
社内外問わず、同じようにサービスが利用可能(必ずWeb分離される)
■デメリット
Webサイトへの接続元IPがクラウドになるため、クラウドからの接続を制限しているサイトへアクセスできなくなる