東京都品川区が標的型サイバー攻撃などによる情報漏えいを防止するための新たなセキュリティ機能を構築した。これを手掛けたNECが6月29日に発表した。
品川区が講じた新たな対策機能は、「インターネット分離」と「ファイル暗号化」の2種。インターネット環境とイントラネット環境を分離することでWebサイト閲覧によるウイルス感染を防止するとともに、さまざまな形式のファイルを自動的に暗号化し、保護することで意図しない情報の流出を防ぐ。これらの機能は、2016年4月から稼働を開始しているという。
品川区では、2015年にSDNによる全庁ネットワーク基盤を稼働させており、プライベートクラウドである全庁仮想化共通基盤も導入済みであることから、新しい機能を低コストで短期導入できた。
インターネット分離では、ハードウェアとソフトウェアを組み合わせた事前検証済みのNECの統合型システム「Application Platform for Secure Web Access」を利用した。インターネット環境と機密情報を取り扱うイントラネット環境を分離し、職員のPCにはWebサイトの画面だけを転送することで、サイト閲覧によるウイルス感染を防ぐ。また、PCがウイルスに感染しても、機密情報の持ち出しに利用されるhttp/https通信は遮断されるため、情報漏えいを防げるという。
ファイルの自動暗号化では、NECの情報漏えい対策ソフトウェア「InfoCage FileShell」を利用。職員が保護されたファイルを利用する際、パスワード入力などの操作をすることなく、保護状態のまま権限に応じた閲覧や編集などが可能となる。
品川区では今後、受信したメールの添付ファイル削除やHTMLメールのテキストメール化を行う「メール無害化」や、2つの要素を組み合わせて本人確認を行う「二要素認証」、ウイルス検知時にSDN活用により対象端末の通信を自動で遮断するサイバー攻撃自動防御システムの導入などを検討している。さらに、アクセスするURLに応じてインターネット環境用、イントラネット環境用の各ブラウザを適切に起動し、通常のブラウザ利用と変わらない利便性を実現する機能の導入も検討中だ。
マイナンバー制度の本格的な運用開始に伴い、自治体の情報セキュリティ対策の強化が求められている。こうした対策では、外部からの攻撃に対する防御だけでなく、操作ミスなどによる意図しない流出を前提にした防御策が欠かせない。また品川区の今回の取り組みは、ネットワークの分離という抜本的な改革も含んでおり、本来なら導入期間の長さやコスト負担も意識せざるを得ない施策だ。そうした意味で、SDNによる全庁ネットワーク基盤を構築していたことが、具体的にどれくらいのコスト、運用メリットを生み出したのか、多くのユーザーが注目するところとなるだろう。
関連記事
- ウイルス検出の対応を30分から即時に、品川区が実験成功
職員による手作業で対応をシステムやネットワークの制御で自動化することに成功した。 - システム移行の膨大な作業、SDNで軽減 品川区がネットワーク基盤を刷新
「複雑化しすぎて全体像を把握しづらい」「追加や変更が困難」――。ネットワーク周りのこんな課題を抱えていた品川区が、全庁ネットワーク基盤を刷新。新たにSDNの基盤を採用した。 - 沖縄県教育委員会、標的型サイバー攻撃検知システムを導入へ
調査でC&Cサーバへの不正通信などが見つかり、ネットワーク監視によるシステムを導入。併せて仮想サーバで稼働するWebシステムのセキュリティ対策も強化する。 - 広島県、約80拠点に標的型サイバー攻撃監視システムを導入
標的型サイバー攻撃が疑われるメールを県庁のシステムで受信し、不審な通信の発生を確認したことから、新たにネットワーク監視製品による対策を運用している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.