「消えた18億円」とか報道されると、ついつい「自分のカードの情報が盗まれたりしないか?」「マイナンバーも大丈夫だろうか?」と不安になるもの。しかし、国もそこはちゃんと考えていて、特に自治体に対して悪党から情報を守るための「インターネット接続環境分離対策をせよ」というお達しが出されているらしい。
でも、「それっていったい何?」「不便にならないの?」と新たな疑問がムクムク…。そこで、日本ユニシスグループの総合イベント「BITS 2016」のパネルディスカッションを聴講してみた。周りは企業の情報システム部の皆さんばかりでやや場違いだけれど(汗)、ここは開き直って、素人の目線で聞いてやろうと思う。
さて登壇者は?…というと主催者側から3人。 ん? 一人はなんだかスター・ウォーズに出てくる、チューバッカのような風貌の人だ。村上さんというらしい。なんだか親近感が沸くなー。シンクライアント一筋、20年とのこと。長年取り組んできた「Citrix」のシンクライアントビジネスを、日本ユニシスの長澤さんという人に委ね、今は「VMware」という会社の方式を担当しているそうだ。
後輩にあたる長澤さんは、約10年間金融業界の営業を担当し、その後クライアント仮想化を中心とする現在の仕事についている。クライアント仮想化のマーケティング・営業支援を担当しているとのこと。
そして、モデレーター役は、ユニアデックスのクラウドサービス事業部 事業部長補佐 兼 ITコンサルタント田淵さん。スマートな語り口で、セッションが始まった。
やっかいな高度標的型攻撃対策の奥の手
「インターネット分離」の2つの方法とは?
まず、田淵さんが、冒頭IPAの調査結果を示した。
「情報セキュリティーの10大脅威として「高度標的型攻撃」は2014年には1位、15年に3位と常に上位に入っています。数こそ10年前に比べるとずいぶん減った印象がありますが、今は数よりむしろ巧妙化する「質」が問題になっています。」
確かに最近の犯罪は巧妙化しているらしい。彼らの暗躍のせいで、マイナンバー制度の施行を機に国も通達を出すほどの状態だとは、さすがの私でもわかる。で、その対策として上げられているのが『インターネット接続環境分離対策』。これについてチューバ・・・いや、村上さんが面白いことを言う。
「インターネット分離というのは、犯罪者と同じ土俵にいては勝ち目がないから、降りてしまえ、切ってしまえということです。だからこそ抜群に効果がある。」
へえ〜、なるほど、そんな乱暴な・・・いや、シンプルな発想なのか。さらに、その分離方式には、2通りあるそうだ。
まず“物理的に”PCやネットワークを内向け外向けと完全に分けてしまう「PCの物理分離方式」。もう1つは、物理的には同じ経路だけど“論理的”に分離するという「クライアント仮想化方式」。シンプルに「シンクライアント方式」と呼ばれているそう。
2万人以下の自治体なら「PCの物理分離方式」
安くて簡単、でもちょっと不便かも?
まず「PCの物理分離方式」。いい点は、“簡単”なこと。インターネットにつなぐ機器とつながない機器を用意すればいいというわけ。シンクライアントよりも機器は安い。でも、導入するには、追加のネットワークが必要だ。
一方「クライアント仮想化方式」のいい点は、追加のネットワークが要らず、既存のものをそのまま使えるという点。乱暴に解釈すると、そういうことらしい。
一番いいところは「今まで通りの作業ができること」だろう。いちいちインターネットを見るのに、専用のPCに移動するなんて、考えるだけで面倒くさい。さらに、「シンクライアント方式」の場合、管理しやすさという大きなメリットもあるという。
「たとえば今すぐパッチを反映させたい場合、PC物理分離方式だと1台ずつ入れる必要があるけれど、クライアント仮想化方式ではデータセンターに反映すればよいわけです」(村上)
おお、じゃあ、クライアント仮想化方式にすればいいのに…、と思いきや、PC物理分離方式がよいケースもあるらしい。たとえば小規模の組織で10台程度ならそこまでの管理負担はないし、導入コストを考えるとわざわざシンクライアントにする必要はないと考えられる。
村上さん曰く、人口2万人以下の自治体なら、職員数も少ないはず。PCのメンテナンスやアセット管理という見えないコストを鑑みると、「PCの物理分離方式」での方が現実的かもしれない。とのこと。「なるほど〜」と思ったら長澤さんが不思議なことを言ってきた。
「最近はシンクライアント方式でも新しいソフトが登場しており、たとえば『Menlo』『セキュアソフト』など、コンテンツの技術を使用してブラウザーの分離だけを別空間で行うものもあります。そうした新技術も鑑みながら、お客様の業務やPC利用状況を伺いながら、ベストなものを導入していくことが求められているように感じます」
シンクライアント方式の新トレンド
ダブルブラウザーのキモは「業務の棚卸し」
ブラウザーの分離による方式は、「ダブルブラウザー」と呼ばれているそう。ううーん?同じ端末で、ネットの外と中を見るブラウザーを分けるということ? いやいや、どうやらPCと内部ネットワークに到達する前に、データに変なものが入っていないかをチェックし、「画面だけ」をPCに送るという方法らしい。必要な添付資料は無害化して、PC側に持ち込むことも可能とか。
いわば、届いたものを開いてガラスの外から閲覧するみたいな。なんだか、SF映画にもそんなシーンがあったような…。あの時は、ガラスを破られて宇宙船は大変なことになったけど、そこはしっかり、入口と出口に強力なファイアーウォールが設置されていて、エイリアンは内側に入って暴れることもできないし、大切な情報を持って外に逃げ出すこともできない。これなら完璧に中と外を遮断しつつ、利便性も担保できる。
でも、いきなり導入すると、PC証明書を使っている場合には、分離化すれば当然使えなくなるわけだし、現場の人たちと業務の棚卸しをすることが必要かも。いったいどんな点を意識すればよいのかしらん? また、SIerに構築をお願いする場合と、既存のパッケージを利用するクラウドサービス利用型のどちらを選べばいいの?。仕組みが分かっても、ソリューションを選ぶのって難しい〜。
講演の記事録みたいなのは要らないからね。そういわれて書いたこのレポート、どうでした?
もっと知りたい方は、ビデオをみてね。こちらから入っていけます。http://www.uniadex.co.jp/special/event/20160602-03_bits2016-video.html