ネットワーク分離の効果と課題

自治体・金融機関などで広がるネットワーク分離

サイバー攻撃や内部からの情報漏えいなどのセキュリティリスクへの抜本的な対策として、業務ネットワークとインターネット接続ネットワークを分離・分割するネットワーク分離が注目されています。
ネットワークを分離することで、インターネット接続環境がマルウェアなどに感染しても、業務ネットワークへの蔓延を防止できます。逆に業務ネットワーク内の重要情報がインターネット経由で漏えいするリスクも低減されます。
都道府県・市区町村で進められている情報システム強靭性向上モデルでは、住民情報を扱うLGWANとインターネット接続系を分離する取り組みが行われています。また金融機関・病院などの機微情報を扱う業態でのネットワーク分離も進んでいます。

分離されたネットワーク間でのファイルの受け渡しが課題

ネットワークが分離されると課題になるのが、分離されたネットワーク間での情報の受け渡しです。特にマルウェアに感染した文書ファイルを内部に持ち込まれてしまうと、ネットワークを分離した意味がなくなります。

USBメモリなどの可搬媒体を用いたファイルの受け渡しは、媒体そのものの紛失リスク・ファイルの安全性を確認する手段がないなど、最適な方法ではありません。
分離ネットワーク環境での安全なファイルの受け渡しには専用の仕組みが必要です。

分離ネットワーク環境での安全なファイルの受け渡し

ファイル「無害化」という考え方

ファイルの安全性を確認する手段は、ウィルス除去に代表されるように、ファイルから有害な要素を取り除く方法が一般的でした。しかし昨今の巧妙化された攻撃手法の発達により、これまでの技術では検知漏れが発生する事態となっています。
外部攻撃から重要システムを確実に守りたい、そのためには、ファイルの安全性確保においても新たなアプローチが必要です。それがファイル無害化です。
ファイル無害化とは、有害な要素を取り除くこれまでの方法ではなく、害のない要素だけを抽出する方法です。そのため、有害な要素を発見・除去できないといったリスクはありません。

ESS FileGateは、文書ファイルから印刷イメージのみを抽出して新たなファイルとして生成することで、安全な要素だけを抽出するファイル無害化の機能を実装し、ネットワーク間の安全なファイルの受け渡しを実現しています。

分離ネットワーク間でのファイルの受け渡し

ESS FileGateは、分離されたネットワーク間の中間サーバーとして配置することで、双方のネットワークへ安全にファイルの受け渡しを行うことができます。

様々なファイル形式に対応したファイル無害化

インターネット接続ネットワークから内部の業務ネットワークへファイルを持ち込む際には、ファイルを無害化しなければ持ち込めないように制御がかけられます。 ESS FileGateのファイル無害化機能には以下のような特長があります。

多様なファイル形式をサポート

アプリケーションの印刷機能を利用して無害化処理をするため、Microsoft Office文書だけでなく、その他の文書編集ソフト・イラスト形式・CADなど、印刷が可能な文書であれば無害化処理に対応できます。

2重の画像化処理で有害なプログラムを確実に除去

文書の印刷イメージをさらに画像化することで、画像形式に感染するタイプのマルウェアについても確実に除去が可能です。

ページレイアウトなどの崩れを防止

画像化処理の前にアプリケーションの機能を使用してレイアウト調整が可能です。そのため、意図しない場所での改ページなどレイアウトの崩れを防止できます。

Linux OS、VDI環境にも対応

無害化処理を行うクライアントはWindowsだけではなく、Linux OSにも対応します。またVDIなど仮想化された環境からの処理にも対応します。

クライアント端末にソフトウェアのインストールが不要

クライアント端末には特別なソフトウェアをインストールする必要がありません。無害化処理を行う端末でESS FileGateサーバーを仮想的なプリンタとして登録するだけで使用できます。

ユーザー・グループの管理

利用者アカウントは、固有で管理ができるほか、Active Directoryとの連携が可能です。

持ち込み/持ち出し承認機能

ファイルの受け渡しに際して、上長による承認の必要設定が可能です。

2018年1月26日、ESS FileGateの最新版V1.2が販売開始となりました。V1.2では、以下の点を強化いたしました。

ネットワーク範囲の属性設定を強化

これまでは、無害化が必要なセグメント、ファイル原本の移動が可能なセグメントの指定のみでしたが、これに加え、「信頼済ネットワークセグメント」という新しい定義を追加可能となりました。これにより、ファイル移動に際しての事前承認の有無、ウィルスチェック実施の有無をより細かく設定することが可能となりました。

「信頼済ネットワークセグメント」を活用することで、以下のような定義が可能となりました。

　(1) インターネット接続端末からは原則として無害化しないと事務ネットワークにファイルを持ち込めない
　(2) ただし特定の端末からは例外的に原本を持ち込むが、上長による承認とウィルスチェックを行う
　(3) 業務ネットワーク系からファイルを持ち出す場合には都度承認は不要でウィルスチェックも不要

Active Directoryとの連携を強化

ESS FileGateの利用者の管理にActive Directoryを使用する際の連携を強化しました。具体的にはADのセキュリティグループに対しESS FileGate内でロール設定を行うことで、異動等が発生しても、AD側のユーザー変更を行うだけで、ESS FileGate側の設定変更が不要になりました。

その他以下のような点について使い勝手を改良いたしました

コメント機能

ファイル受け渡しの申請や承認・却下の際に自由にコメントできるコメント機能を新たに設けました。申請事由や却下の理由などを記載いただけます。

受け渡し元ネットワークの識別

ファイル受け渡しの申請内容で、受け渡し元のネットワークセグメントに名称定義を行うことで、より分かりやすく表示可能になりました。

ADユーザーのログインを容易に

Active Directoryと同期設定を行っている環境でADユーザーを使用してログインする際、ドメイン名の入力が不要になりました。

自治体：情報システム強靭性向上におけるファイル無害化

都道府県・市区町村で進められている情報システム強靭性向上において、インターネット接続ネットワークからLGWANへファイルを持ち込む際には、無害化されていることが必要です。
ESS FileGateは、LGWANへのファイルの持ち込みの際に、無害化して持ち込む仕組みを提供するとともに、LGWANからインターネット環境へのファイルの持ち出しに際して、承認機能を設けることで情報漏えい対策にも貢献します。

国産の文書編集ソフトなど多様な文書に対応

自治体で多く利用されている国産の文書編集ソフトをはじめ、様々な文書形式に対応しています。また、印刷機能を活用することで、使い慣れた操作方法をそのまま使用して無害化できます。

わかりやすい料金体系

自治体の人口規模で使用料金が決まります。設置するサーバー台数やユーザー数を気にする必要がありません。

一般企業：分離ネットワーク間の安全なファイルの受け渡し

セキュリティ脅威に対する抜本的な対策としてネットワークの分離・分割が効果的ですが、分離したネットワーク間でファイルの受け渡しが必要な際、可搬媒体を使用すると紛失リスクなどの問題が発生します。ESS FileGateをネットワーク間の中間サーバーとして配置することで、分離されたネットワーク間で可搬媒体を使わず安全にファイルの受け渡しを実現できます。

ESS FileGateサーバー稼働要件

クライアント稼働要件

その他

• 動作環境の詳細については、弊社までお問い合わせください。
• 本ソフトウェアは改良のため事前に告知することなくバージョンアップすることがあります。
• 本ソフトウェアに使用されている一部の技術は特許出願中です。
• ESS FileGateは、エンカレッジ・テクノロジ株式会社の商標または登録商標です。
• Microsoft, Windows, Internet Explorer, Active DirectoryおよびWindows Serverは、米国Microsoft Corporationの、米国およびその他の国における登録商標または商標です。
• Trend Micro, Deep Securityは、トレンドマイクロ株式会社の商標または登録商標です。
• その他、記載の商品名、会社名は、それぞれの会社の登録商標または商標です。