インターネットの脅威と分離技術の現状

インターネットからの脅威は悪質ないたずらを超え、今では経済的な利益を目的とした犯罪行為に発展している。攻撃者側は常にセキュリティ製品の検知技術を研究し、セキュリティ製品の検知をかいくぐる方法を模索しているため、アンチウイルスやサンドボックスなどのセキュリティソリューションを導入していても、マルウェアの侵入を許してしまうケースは少なくない。

従来のセキュリティ製品はWebから入る有害な情報を検出し阻止するという考えにより開発されているため、どのような検知技術であっても、常に「フォールス・ポジティブ（誤検知）」「フォールス・ネガティブ（検知漏れ）」といった問題が付きまとう。

こうした“いたちごっこ”から脱却した防御が「ネットワーク分離」だ。検出技術によって有害／無害を検知するのではなく、そもそも脅威があってもそれを無害化することでエンドポイントの安全性を保てればいいという考えがネットワーク分離の基本的な考え方だ。

以前は、業務端末とインターネット接続用端末を分ける物理的な分離方法もあったが、利便性や運用コスト面などの課題も多かった。その後デスクトップを仮想化するVDIや仮想ブラウザを使う技術が現れ、セキュリティを重視する組織や企業での導入が進んだが、使い勝手の面ではさまざまな課題があり、なかなか導入に踏み切れない企業もあった。

ユーザビリティーとセキュリティを両立させるネットワーク分離ソリューション

ネットワーク分離は監督官庁やIPA（情報処理推進機構）といった公的機関が導入を推奨していることもあり、導入を検討する企業も多いが、ネットワーク分離ソリューションの中には、サーバ側で生成した画面情報を画像として転送するピクセルミラーリング（画面転送）を実行するだけのソリューションもある。そのような製品は、スクロールの反応速度が遅く、画像転送によりトラフィックが増大してしまう。また、画面上の表示がテキストでないために、プラグインが継続して使えなかったり、コピー＆ペーストもできなかったりといった、使い勝手に影響を与えるケースもある。

このような既存のソリューションに見られる使い勝手に関する問題を解消したのが「Menlo Security」だ。Menlo Securityは、分離プラットフォーム「Menlo Security Isolation Platform」を経由することで、アクティブコンテンツやマルウェアなどを含まない安全なレンダリング情報だけをユーザー側に転送するSaaS型のネットワーク分離ソリューションだが、ネットワーク分離ソリューションにありがちなサーバ側で転送情報を生成するのではなく、特許技術「ACR（Adaptive Clientless Rendering）」によって、エンドポイントのWebブラウザに代わってWebコンテンツを取得し実行する。そのため、CSSのレイアウト崩れなどもなく、使い勝手を損なわない「ユーザビリティーの高いネットワーク分離」を実現する。

Menlo Security Isolation Platform(MSIP)

特許技術ACRを用いた無害化処理の仕組み

Menlo Securityは通常と変わりないWeb表現と操作性を実現

Menlo Securityの代理店を務めるマクニカ サイバーセキュリティ第3営業部の平原郁馬氏は「Menlo Securityは動画やアニメーションなどのコンテンツやテキストのコピー＆ペーストおよび右クリック表示など、通常のブラウザと同じ操作性を実現します。また、安全なサイトだけを許可するホワイトリスト方式のWebアクセス制御を実施する企業がMenlo Securityを導入することで、アクセス先を制限することなく安心してさまざまなサイトへアクセスし、利便性を向上させられるようになります」とMenlo Securityの導入意義について強調する。

また、Menlo Securityのディレクターである小澤嘉尚氏は運用管理面についてこう語る。

「既存のセキュリティソリューションは脅威が検出されるたびにアラートが上がるため、担当者の運用管理負担を押し上げる面もあります。Menlo Securityは脅威を検出するのではなく、無害処理化されたコンテンツをユーザーのブラウザに配信することが目的です。そのため、そもそもリアルタイムの脅威の確認や解析の必要もないのです。これだけでIT担当者の日々の運用管理における業務負担の軽減は大きいと思います」

特許技術を用いた徹底した無害化

ACRのコンテンツ無害化の処理は徹底している。Webサーバから送られてきたオリジナルのコンテンツがそのままユーザーに届かない仕組みを持つ。

例えば、文書ファイルや画像、動画データなどに対して見た目には分からない何らかの悪意のあるコードが埋め込まれていたとしても、そのままの形ではユーザーに届かないように全てのコンテンツを無害化し、安全性を保証する。Menlo Security Isolation Platformの仮想コンテナもユーザーブラウザとの接続を終了するたびにリフレッシュされるため、コンテナ経由での感染のリスクもない。

Menlo Securityはあらゆる企業で導入可能

Menlo Securityのソリューションは、年間サブスクリプションライセンスでユーザー単位に提供される。PCやスマートフォン、タブレット端末など複数端末を使い分けて業務を行うユーザーも多いが、ユーザー単位での提供のため、デバイス数が増えてもコストアップにつながることはない。また、既存ブラウザを使用するためWebアクセスが可能な端末であればOSを問わず、MacやLinuxなどでも利用できる点もメリットといえる。

Menlo SecurityはSaaS型のソリューションではあるが、クラウド側の処理能力も十分なリソースを確保しているため、ユーザー数が多い組織でも問題なく対応可能だ。一つの組織で国内では2万5000ユーザー、グローバルでは10万ユーザー規模のユーザー数に対応した実績がある。

また、組織内のプロキシやファイアウォールの設定を変更し、特定のユーザーからの通信だけをMenlo Securityにルーティングすることで経理やエグゼクティブなど一部の部門や役職にのみ導入したり、IT部門で試用検証を行なうためにSaaS型の特徴を生かしてスモールスタートで始めたりすることも他のセキュリティ製品と比べて容易だ。

マクニカの平原氏は、「ネットワーク分離ソリューションは、使い勝手こそが重要な検討ポイントとなるが、それは単純に機能一覧で比較するだけでは分からない。実際の利用者を含め試用した上で、Webアクセスの快適性が損なわれていないかどうかをチェックしてほしい」と語る。マクニカでは試用のための無償ライセンスなどを提供する。安全なWebアクセスを実現したい企業はこうした機会をぜひ活用してほしい。

転載元：ITmedia