【お知らせ】2023年10月1日にLINE Fukuoka株式会社からLINEヤフーコミュニケーションズ株式会社へ社名を変更しました。2023年9月30日以前の記事には旧社名で記載しています。
IT支援室インフラチームです。
LINE FukuokaのIT支援室は社内IT全般を担う組織で、ヘルプデスクチーム、ヘルプマネジメントチーム、テクニカルサポートチーム、インフラチーム、情報セキュリティチームの5つのチームで構成されています。
▼IT支援室のお仕事についてはこちら
インフラチームは、オフィスインフラ運用管理やネットワークセキュリティ業務を担っており、サイバーセキュリティ強化のために様々な取り組みを行っています。今回は、新たに導入し、ひと月合計2万件以上の膨大なセキュリティリスクを防いだセキュリティソリューション「クラウド型Web分離システム」について、導入の背景、効果、課題まで詳しく解説します。
在宅勤務にも有効なセキュリティ対策ソリューションをお探しの社内ITの方々の参考になれば幸いです。
Webサイトに安全にアクセスしたい
業務に関連する調べ物をしていたのに、意図せず不審なサイトへ接続されてしまったという経験はないでしょうか?もし脆弱性攻撃やマルウェア感染が疑われるようなWebサイトへ接続してしまった場合、 端末のウイルススキャン、社内ネットワークからの切り離し、原因調査・・・といった対応をして、問題ないと判断されるまで業務がストップしてしまいますし、調査・調整を行う社内ITにも負担がかかります。
不審なサイトへアクセスしたからといって必ずしも端末に被害が出るとは限りませんが、特に業務で使用するPCなどにおいては、極力セキュリティリスクを減らしたいと考えるのは当然でしょう。
LINE Fukuokaには、LINEサービスに投稿されたURLや、LINE公式アカウント等LINEサービスの審査申請を頂いている企業について扱っているサービスに問題がないかなどのチェックをする業務もあるため、 どんなWebサイトにも安全に接続できて、かつ、社内ネットワークに接続するサーバーや端末への感染リスクもない、そのようなソリューションを検討しました。
セキュリティ対策「Web分離」の主な手法
Web分離とは、簡単にいえばインターネットと社内システムでWebコンテンツの実行環境を分離することです。インターネット分離と呼ばれることや、より広い意味で使われることもありますが、基本的にはセキュリティ対策ソリューションのひとつという認識で良いでしょう。
Web分離には主に以下の4つの手法があり、コスト面、使い勝手、管理の観点から、私たちは④の「クラウドを使ったWeb分離」を選択しました。
上記のとおり、Web分離には様々な手法があり、またどれもメリット、デメリットが存在します。
さらに、今回ソリューションを検討する上でもうひとつ大きな課題となったのが、在宅勤務(リモートワーク)でした。
在宅勤務にも適しているのは、オンプレミス型?クラウド型?
多くの企業が、社内からインターネットへ接続する際、その経路上にFirewallを始めたとした様々なセキュリティ装置を置き、危険なサイトへのアクセスをブロックするよう対策していると思います。もちろん、在宅勤務時においても、VPN接続していれば社内のセキュリティ装置を通ることで同様に安全なネットワーク経路をたどります。 しかし、VPN未接続の時はどうでしょうか? 社内のセキュリティ装置を経由せず、自宅の回線から直接インターネットへアクセス可能になり、仮に不正サイトにアクセスしてしまった場合、端末がマルウェアに感染するリスクが起きます。
また、VPNをスプリットトンネル(社内システムにはVPN経由、インターネット接続は自宅の回線を利用)にしている場合は、VPN接続していたとしてもインターネットへ直接出ていきます。業務用の端末が直接インターネットへ出るというのは、セキュリティリスクの大きな問題です。
セキュリティシステムには、「オンプレミス型」と「クラウド型」の2パターンあります。前者は、在宅勤務下ではVPNを経由しないとWeb分離ができないですが、後者は在宅勤務環境でもVPNを経由せずに分離が可能です。
当初の必要要件であった「安全にWebサイトへ接続ができる」「社内ネットワークに接続するサーバーや端末への感染リスクがない」に加えて、「在宅勤務環境でのセキュリティ対策としても有効」なソリューションを検討した結果、 「クラウド型」を製品選定の必須要件としました。
■メリット
クラウドからの接続が制限されているサイトへもアクセス可能
■デメリット
フルトンネルでVPN接続しないとWeb分離できないので、VPN未接続またはスプリットトンネルでVPN接続している場合はインターネットに直接接続してしまうリスクあり
別途サーバー管理コストが必要
<クラウド型>
■メリット
基盤がクラウドになるためサーバーなどの管理コスト不要
社内外問わず、同じようにサービスが利用可能(必ずWeb分離される)
■デメリット
Webサイトへの接続元IPがクラウドになるため、クラウドからの接続を制限しているサイトへアクセスできなくなる
「Web分離システム」の導入結果
以下はWeb分離利用者の脅威サイトアクセス件数(直近1カ月分)です。
マルウェアなど悪意あるコンテンツへの接続履歴もあり、Web分離を使っていなければ端末への感染リスクもありました。
Web分離を導入したことで、ひと月合計2万件以上の膨大なリスクに対応することができました。また、マルウェアに区分された5件の悪意のあるコンテンツを含んだWebサイトへの接続も確認しました。もしWeb分離を使っていなければ業務停止、調査などで工数がかかってしまいますが、安全に接続できたことでその工数を削減できています。
導入して感じた「クラウド型Web分離システム」の課題
セキュリティ対策として非常に有効な「クラウド型Web分離システム」ですが、一部課題も見えてきました。
課題①Webサイト側が接続元制御をしている場合に正しく接続できない場合がある
Web分離の環境を通ってWebサイトへ接続することになるため、Webサイト側は、クラウドからのアクセスだと認識します。Webサイトによってはクラウドからのアクセスを遮断しており、Web分離を使う前には接続できていたWebサイトに接続できなくなってしまうケースがあります。接続できなくなったWebサイトが社内システムとして使っているクラウドサービスであれば、Web分離を経由しないようにPACなどで通信経路を調整すれば問題を回避できます。しかし、一般公開されている通常のWebサイトに対してWeb分離を経由しないように通信経路を調整することはセキュリティリスクを上げることになるため望ましくありません。また、Webサイトの管理者へ連絡してクラウドからの接続を許可してもらうことも難しいのが現実です。
課題②OSレベルでWeb分離を適用できない
本来であればOSレベルでWeb分離を適用して、端末から発生するすべての通信を保護したいところでした。HTTPSのWebサイトに対してWeb分離を適用したい場合、クラウドでSSL/TLSを復号化するために指定のCA証明書をOSにインポートして信頼させる必要があります。しかしアプリケーションによっては信頼するCA証明書を独自に管理しており、OSにインポートしたCA証明書を信頼しない場合があります。そうなるとアプリケーションは証明書チェーンを検証できないためSSL/TLSが正しく機能せずに正常に通信できなくなります。そのため、今回はブラウザからの通信のみをWeb分離の対象としました。
課題③必ずしも接続元の国とグローバルIPアドレスが一致しない
接続元が日本国内だったとしても通信のレイテンシが最も低いリージョンに接続されてしまうため、必ず日本国内のWeb分離の環境が使われるとは限りません。日本国外のリージョンに接続されてしまった場合、日本のグローバルIPアドレスが使われなくなります。そのため、国外からのアクセスを遮断しているWebサイトへは接続できなくなってしまいます。また、国外からアクセスを許可しているサイトへ接続できたとしても、言語表示が日本語表示でなくなったりすることもあります。
課題④Webサイトが正しく表示されないケースがあり、それを利用者側で気づくことができない
無害化処理の影響を受けてWebサイトが正しく表示されないことがあります。もともとこの表示なのか、無害化処理の影響を受けてこの表示になっているのか利用者側で判断ができません。例えばWebサイトに掲載されている広告や画像を審査する業務の場合は、正しく表示されないことで業務に支障がでることがあります。
課題⑤Webサイト接続に時間がかかるケースがある
Web分離を使うことにより無害化処理が動いてからWebサイトが表示されます。Webサイト接続時にローディングが走り、表示するまでに数秒時間がかかるサイトがあります。コンテンツが多いサイトですと、より時間がかかってしまいます。数百単位のサイトへ接続する業務では積み重なって時間ロスとなってしまうケースがあります。
短時間で大量にWebサイトにアクセスするなどWeb分離が適切でない業務もあるため、必要な一部部署にのみ導入するようにしました。上記課題解決ができるように引き続き尽力していきます。
本記事をお読みの方で、「こういった方法で上記課題を解決した」という情報がある方、または同じような手段をぜひ導入したい!詳しい話を聞いてみたい!という方は、ぜひお気軽にメッセージやコメントをお寄せください!社内ITの方々と交流できれば幸いです。
▼メッセージ・コメント受付フォーム
