高価なVDIに代わるマルウェア感染防止対策――悩める企業を助ける“新潮流”とは

[PR／ITmedia]

PR

　会社のPCのファイルが見慣れぬアイコンに置き換わり、ダブルクリックをすると、指定の口座への入金指示が表示された――。近年になり猛威を振るう、ランサムウェア被害の典型例だ。

　この件に代表される、インターネット経由で感染するマルウェアの対応が、企業や組織にとって大きな課題となっている。業務端末へのマルウェア感染を万一許せば、データを失ってしまうだけでなく、漏えいした機密データによって自社の強みを他社に根こそぎ奪われる可能性もあるからだ。

　その対策としてVDI（デスクトップ仮想化）がある。

　しかし悩ましいのは、VDI導入は多額のコストを要することだ。管理サーバ上に仮想的なデスクトップ環境を作り出し、1台1台のPCに割り当てるその仕組みから、導入規模によっては数千万〜数億円ほどかかってしまうことも珍しくない。そのため、IT予算が乏しい企業の多くは導入を断念せざるを得なかった。

　VDIほど多額のコストはかけられないが、インターネット経由でのマルウェア感染リスクは抑えたい。そんな企業が取れるアプローチはないのだろうか。「VDIと比べて、導入コストが4分の1から6分の1で済む方法があります」――こう話すのは、コンテナ技術を用いたセキュリティ製品などを手掛けるセキュアソフトの神山竜二氏（執行役員技術本部長）だ。

VDIと比べて低コストで「環境分離」を用意するには？

　同社が提案しているのが、PC内部に隔離された「コンテナ領域」を作り、その中で特定の役割を持たせたクライアント環境を稼働させるという方法だ。セキュアソフトではこのコンテナ技術を活用した製品の代表例として、「SecureSoft i-コンテナ」と「SecureSoft S-コンテナ」を提供している。

S-コンテナとi-コンテナの概要

　神山氏によると、コンテナを用いたセキュリティ対策の特長は「安全性」と「優れたコストパフォーマンス」の両立にあるという。

　安全性を高める仕組みはこうだ。コンテナ技術では、PC内に隔離されたアプリケーション稼働環境を仮想的に設け、そこでソフトウェアを実行させる。つまり、VDIと同様に「インターネット接続環境」と「業務データを扱う場所」を切り分けられ、同様の効果が期待できるという。

　i-コンテナとS-コンテナは、この技術を異なるアプローチで活用している。i-コンテナはインターネットに接続する各種アプリケーションをコンテナ内で実行し、被害時の影響をコンテナ内に食い止め、PC全体を保護する。いわば「感染時のダメージを最小限にするアプローチ」だ。一方でS-コンテナは、コンテナ内でのみ特定のアプリケーションの作業を許可し、外部へのデータを抑止することでデータ漏えいを未然に防ぐという仕組みだ。

　だが、クライアント環境を2つに分離する上で気になるのが「コンテナ内外のデータのやり取り」だろう。例えばS-コンテナを使う場合、コンテナ内だけで機密情報を扱うといっても、それらのデータをローカル環境に移して社外に送信するというビジネスシーンもあるはずだ。

　そこで、データの移動は許可制にし、コンテナ内部のデータをローカル環境に持出す、もしくはコンテナ内部に持込みする際、管理者に申請をし、管理者はデータの持出し／持込みの許可、拒否の決定ができる。

セキュアソフトのDhomin Park研究所長

　また、ローカル環境からコンテナ内部のデータへのアクセスを細かく制御できる仕組みを用意。証明書などを用いて、いわば検査官が出入国時のビザ（査証）を確認するようにアクセスを管理し、安全性とユーザーの利便性を担保するという。

　「ネットワークやHDD、USBメモリなど、PC内外とコンテナのアクセス方法は多岐にわたります。外部からのコンテナへの厳格なアクセス制御によって、多様なアプリケーションの業務活用と、万一の被害時のPC保護を両立できます」とセキュアソフトで研究所長を務めるDhomin Park氏は説明する。

　だが、なぜVDIと比べて低コストで導入できるのか。その理由は、両製品ともソフトウェア製品であり、PCへのインストールだけで利用環境を整備できることにある。VDIのように専用サーバの用意やネットワーク強化などを一切必要としないため、導入コストを大きく抑えられるという。

　「導入コストはVDIの4分の1から6分の1ほどで済みます。この程度の額であれば、あまり予算をかけたくない企業でもご検討いただけるはず。しかも導入に必要とされる作業は、PCへのインストールと簡単な設定作業だけ。つまり、それだけ迅速に利用に乗り出せるわけです」（神山氏）

自治体や金融機関など導入事例も続々

　セキュリティ製品の導入時にしばしば課題となるのが、セキュリティポリシーの全社徹底である。特にi-コンテナやS-コンテナのようなクライアントソフトの場合、ポリシーに則った設定作業を個々のPCに行うのが大変そうだと感じる読者もいるだろう。

　しかし、そこは心配ご無用。セキュアソフトではポリシー管理のためのサーバ製品も用意しており、作業負荷を大幅に軽減できるという。コンテナ内で利用するアプリケーションや、データのローカル環境への保管など、設定項目も多岐にわたる。

　これらの魅力から、同社のコンテナ型セキュリティ製品は企業や自治体からの引き合いも多いという。ある地方自治体は、庁舎内の全PC（約6000台）にi-コンテナを導入。また、西日本に拠点を置く地方銀行も、外勤営業スタッフに配布する約750台のノートPCにi-コンテナを導入した。このほか、電子カルテの保護などを目的とした医療機関での利用も進んでいるという。

新サービス、新製品も続々発表予定

　2016年10月には、Webブラウザのみをi-コンテナで利用できる廉価版の「SecureSoft memoret」（予定価格は1ユーザー当たり年間使用料9000円）も発表。「インターネットの閲覧だけを隔離した環境で利用したいとの要望に応えたものですが、発表以来、多くのお問い合わせをいただいております」と神山氏は話す。

　ネット経由のマルウェア感染リスクは恐ろしいが、対策のためにVDIほどのコストはかけられない――そんな悩める企業の担当者は、セキュアソフトのコンテナ型ソリューションを検討してみる価値がありそうだ。

　さらに「今後、セキュアソフトはグループ会社であるサービス＆セキュリティ株式会社とともに、セキュリティ監視サービスの新センターを今春大阪に開設し、サービス事業も本格展開します。これでセキュリティソリューション、サービス、人材による統合セキュリティパートナーとしてのビジョンを具体化していきたいと考えております」と神山氏。これからますますセキュアソフトから目が離せない。