ホワイトリスト運用では、業務に必要なウェブサイトにアクセスできないことがある――。ユーザー企業のこのような悩みに応えて、アルプス システム インテグレーション（ALSI）はInterSafe WebFilterのウェブ分離・無害化オプション「InterSafe WebIsolation」の販売を2019年10月に開始した。ポイントは、ウェブフィルタリングで対処できない“グレー”の部分に限定してインターネット分離方式を適用していること。その結果、導入・運用コストを抑えつつ、業務アプリケーションの操作性を維持できるようになる。

「InterSafe WebIsolation」で“グレー”なURLだけを画像化＆無害化

従来のインターネット分離方式は
コストと使い勝手に問題があった

　「サイバー攻撃の脅威が続く今、当社は重要な業務システムをインターネットにさらさない『インターネット分離』の併用をお客様に勧めている」。ALSIでセキュリティ事業部プロダクト技術部企画担当の志賀信彦氏は、同社のセキュリティ対策製品の基本戦略をこう解説する。
 
　アクセス先を安全なURLに限定する「ホワイトリスト運用」では、ニッチなウェブサイトやできたばかりのウェブサイトにアクセスできず、企業・団体の実務に支障をきたす、というのが同社の考え。そこで、“黒白”がはっきりしているものは従来と同じウェブフィルタリングで対処し、グレーなものにインターネット分離を使おうというのである。

　ただ、インターネット分離にもさまざまな方式がある。これまで多く使われてきたのは、ネットワークと端末を別々に用意する物理分離方式や、操作画面を論理的に分ける仮想デスクトップ方式など。しかし、物理分離方式と仮想デスクトップ方式は導入と運用に多額のコストが発生し、業務ごとに端末を使い分けなければならないという操作面の問題もある。ウェブ分離方式ならこれらと比較してコストは抑えられるものの、製品によってはInternet Explorer（IE）、Chrome、Safariといった一般的なウェブブラウザーが使えなくなることもある。この場合、インターネットへアクセスする際には一般的なブラウザーと操作性の異なる専用アプリを利用する必要があり、利便性が損なわれてしまう。

対象URLの限定で費用を低く抑える
一般ブラウザーでの使用にも対応

　そこで、ALSIでは、今年10月に販売を開始したInterSafe WebIsolationによって「コスト抑制」と「操作性向上」という二つの目標を、ユニークな方法で実現している。
 
　第1のポイントは、ウェブフィルタリングとインターネット分離をうまく使い分けるようにした点だ。ウェブフィルタリングソフト「InterSafe WebFilter」を使って、「安全なURL」（ビジネス／教育／政治など）はアクセスを許可し、「危険なURL」（マルウェア／フィッシングなど）はアクセスをブロックする仕組みを構築。どちらでもないURLのみ、InterSafe WebIsolationで通信の内容を“無害化”する。

　その結果、InterSafe WebIsolationに流入する通信データはごくわずか。「InterSafe WebIsolationでの分離・無害化処理に回るのは、全体の約2％。お客様は、高価な大型サーバーを用意する必要はなく、InterSafe WebIsolationのライセンス費用も低く抑えることができる」と志賀氏は強調する。

　第2のポイントは、疑わしいURLから送られてくるデータを画像に変換することによって、一般的なウェブブラウザーでも内容を安全に読み取れるようにしたことにある。InterSafe WebIsolationにはブラウザーコンテナが組み込まれていて、インターネットのウェブサイトから送られてくるHTTPストリームを画像データに自動変換。JavaScriptやCSSスクリプトは自動的に除去するため、一般的なウェブブラウザーでも安全に表示や操作ができるのだ。

　InterSafe WebIsolationは、このような特徴からインターネット分離への対応が急がれている企業・団体にとって頼もしい即戦力となる。「例えば、学校に対しては文部科学省が『教育情報セキュリティポリシーのガイドライン』（2017年10月）で校務系システムとインターネットの分離の徹底を求めている」と志賀氏。一般企業については、経済産業省による「サイバーセキュリティ経営ガイドライン」のほか、金融庁も「金融分野におけるサイバーセキュリティ強化に向けた取組方針について」によってネットワークとLANの分離を求めると説明する。

パートナーにサイジング用の
情報や導入支援サービスを提供

　InterSafe WebIsolationは実際、ウェブ分離・無害化ソフト「Ericom Shield」（開発元はEricom Software）と同じもの。ALSIでは、これをInterSafe WebFilterのオプションとしてパートナー企業経由で提供する。

　また、パートナー企業に対して最適な導入・運用コストを算出するための技術情報も開示する。志賀氏は、「最適なライセンス数は、お客様の社員数に、ある係数を掛けることで算出できる」という。この係数をもとに、InterSafe WebIsolationのライセンスを決めて、その処理量に見合ったサーバーを選定すれば、顧客の企業・団体にぴったりの提案ができるのだ。

　また、有償にはなるがALSIがサイジングや導入作業を代行する「導入支援サービス」も用意している。「ちょっと手伝ってほしいというときも、当社に全て任せたいという場合も、ぜひ気軽に相談してほしい」と志賀氏は訴える。最初の案件だけ同社に支援を要請して、次の案件から自分で行うというのも一つの方法だろう。

　「ウェブフィルタリングとインターネット分離を組み合わせることで、双方の課題を解決し、より安全で利便性の高いウェブアクセス環境を実現できる」と志賀氏は強調する。