高度なセキュリティ基盤へ向けて
インターネット分離を実現
取り組みのきっかけは
日本年金機構の情報漏洩事件
2015年6月の初め、広島ガスの経営からIT推進部に対して、次のような問いかけがあった。
「当社がこんな攻撃を受けたらどうなるのか」
こんな攻撃とは、2015年5月の日本年金機構への標的型攻撃を指し、同機構はこれにより約125万件もの個人情報を流出させ、大きな社会的事件となった。
IT推進部ではこの問いかけを受けて、すぐに調査を開始。その結果、「当社でも同じことが起こりかねない。早急に対策が必要」という結論に至った。
ただし、同社ではそれまでも、サーバー、ネットワーク、クライアントそれぞれで「万全のセキュリティ対策」を講じてきた経緯がある。しかしながら、日本年金機構のセキュリティ対策と同社のそれを子細に比較検討すると、新しいセキュリティ課題が浮き彫りになってきた。
「とくに問題視したのは、当社では機密情報を置く基幹系システムと情報系システムとクライアント端末がすべて同一のセグメント内にあり、クライアントがインターネット経由で攻撃を受けて感染すると、それを踏み台にして機密情報が漏洩する恐れがある点でした」と語るのは、IT推進部の小本靖彦部長である。
また、インターネットに接続する情報系サーバーがマルウェアなどに感染すると、その感染が全社のシステムに拡大する恐れがあることや、情報系サーバーと基幹系サーバー間で通信ログが取れない仕組みであったので、問題のあるインシデントをトレースできないことも問題として挙げられた。
そこでIT推進部内にプロジェクトチームを設け、新たな対策のための調査と検討をスタートさせた。
IT推進部の梅田篤氏(部長付)は、「大きな方向性としては、情報系サーバーと基幹系サーバーを分離する“インターネット分離”でした。他社や自治体などでの実績を評価しての判断ですが、当社の環境に合わせて、いかにユーザーに負担をかけず、コストを最小限に抑えて実現するかが検討のテーマでした」と振り返る。
基幹系と情報系の分離案を
3案に絞って検討
インターネット分離の検討は、「何が基幹系で、どれが情報系なのか」というセグメントの定義から始めた。
この結論は、「インターネットにつながるものを情報系とし、それ以外は基幹系とする」というものだったが、しかし基幹系と情報系のインターネット分離といっても、さまざまな方式が考えられる。同社では最終的に、物理分断案、論理分断案、論理分断(仮想化)案の3案に絞って検討を重ねた(図表1)。
物理分断案は、基幹系と情報系のネットワーク回線を物理的に分断するもの。完全な分断となるので、セキュリティのレベルは高い。しかし回線や端末数が従来の2倍必要になるのでコスト高となり、ユーザーの利便性も低下するという難点がある。
論理分断案は、基幹系と情報系とをファイアウォールによって論理的に分断するもの。ネットワーク回線は従来と同じく基幹系と情報系とで共有するので、セキュリティのレベルは物理分断よりも低い。その一方、各拠点でファイアウォールやPCなどが従来の2倍必要になるのでコスト高となり、ユーザーの利便性も悪いという問題がある。
論理分断(仮想化)案は、情報系を仮想デスクトップとして分離し、基幹系とのネットワークを分断するもの。1台の基幹系PC上で基幹系と情報系の両方のシステムを利用できるメリットがあり、しかも論理分断案と同等レベルのセキュリティを実現できる。コストは、物理分断案・論理分断案のいずれよりも低く、ユーザーの利便性は物理分断案・論理分断案よりも高い利点がある。
同社が採用したのは、3番目の論理分断(仮想化)案である。そして2016年4月から設計・構築に入り、同10月より順次展開、2017年2月末に最終分断、という流れで進んだ。
外部から基幹系サーバーに
直接アクセスできない仕組み
図表2は、同社が構築したインターネット分離のシステムである。特徴は、基幹系と情報系をファイアウォールによって物理分断し、それとともに、基幹系と情報系の連携をすべて仮想デスクトップ経由とし、情報の出入口をごく狭く絞った点。仮想デスクトップの仕組みにより、高いセキュリティを実現している点が特徴である。
IT推進部の山田淳子氏(IT運用グループ マネジャー)は、「外部から基幹系サーバーへは直接アクセスできないので、標的型攻撃や不正アタックなどから完全に防御可能です。また万一、別経路で基幹系サーバーにマルウェアが侵入し感染を拡大させたとしても、基幹系セグメントからインターネットへの経路がないため、情報漏洩などを食い止めることができます」と、システムの特徴を説明する。
基幹系PCからインターネットにアクセスするときは、次のような手順になる。
最初に基幹系PC上の仮想デスクトップを立ち上げ、次に仮想デスクトップ上でWebブラウザを起動して、外部のサイトにアクセスする。一方、インターネットからの戻りのデータは、情報系セグメント内のシンクライアントサーバー上に蓄積され、その画面だけが基幹系PCへ転送されて表示される仕組みである。
また、外部とのやり取りが頻繁に発生するメールシステムは、基幹系セグメントに配置した。メールシステムにノーツを採用しているため、基幹系システムとの連携などが非常に多く、情報系セグメントに配置すると基幹系との連携に手間がかかり、利便性が著しく低下するからである。
外部から送られてきたメールは、情報系セグメントのメールフィルタリングサーバー「m-FILTER」(デジタルアーツ社)で受信し、添付ファイルなどを削除して無害化したあとに基幹系セグメントにあるメールシステムへ転送する形とした(図表3)。これにより、添付ファイルに仕込まれたマルウェアなどの侵入を排除できる。
添付ファイルの確認は、基幹系PCの仮想デスクトップ上でm-FILTERを起動すると、保存されているファイルの参照が可能である。また印刷もできるようにし、さらに添付ファイルを基幹系セグメントにもち込む場合は、手動でユーザー自身のPCに転送する仕組みとした。
セキュリティレベルを維持しつつ
ユーザーの利便性向上を追求
サービスイン後、ユーザーから「以前と比べてメールが使いづらい。何とかならないか」という声が上がった。
「想定していた反応ですが、標的型攻撃やマルウェアはメール経由で侵入することが多いので、ここは譲れないと判断しています。とは言え、ユーザーに過大な負荷をかけてはいけないので、今後は、今回のインターネット分離で実現したセキュリティレベルを維持したまま、ユーザーの利便性を追求していく考えです。セキュリティと利便性のバランスをどう取るか、利用部門にいかに理解してもらうかが今回の導入で最も苦労したところで、今後も大きなチャレンジだと思っています」と、山田氏は感想を述べる。
同社は今期に完成する「広島ガス防災センター」へのマシンルームの移設を予定している。「マシンの保守切れのタイミングに合わせて、順次進める予定」(山田氏)という。また、2019年末までの予定で、約2300台のクライアントPCをWindows 7からWindows 10へ順次移行する作業が控えている。
「どちらも大型のプロジェクトですが、公共事業を支えるインフラの整備だと考え、万全を期して取り組んでいくつもりです」と、小本氏は語る。
・・・・・・・・
Company Profile
本 社:広島県広島市
創 立:1909(明治42)年
資本金:51億8100万円
売上高:700億200万円(2017年3月)
従業員数:669名(2017年3月)
事業内容:ガス事業、ガス器具の販売、液化天然ガスの販売
https://www.hiroshima-gas.co.jp/
創立は1909(明治42)年。中国地方で初めてのガス事業会社として誕生し、今年創立109年を迎える。現在は広島県内の7市4町の40万9000戸に天然ガスを供給。2017年にWeb会員システムを構築し、Webサイトをオープン。顧客への情報提供や利便性向上に活用している。昨年12月に、震度7の耐震性能を備える地上5階の「広島ガス防災センター」を新築(写真)。ガスの供給保安機能を集約するが、マシンルームも移設する計画だ。
