自治体における「ネットワーク分離」のポイント:市区町村の情報セキュリティ(3)(2/2 ページ)
2015年に総務省の「自治体情報セキュリティ対策検討チーム」が公開した報告資料をベースに、市区町村のセキュリティ対策について考える本連載。第3回は、自治体に求められるセキュリティ4要件の1つ「ネットワークの分離」のポイントを紹介します。
具体的なシステム構成
それでは、これらの環境を実現する具体的な構成を紹介します。構成は、3つのどの方式を使うかや、メーカーによって変わります。以下はあくまでもイメージと考えてください。
まず、最低限必要なのは、「1.仮想化サーバ」と「2.クライアントのライセンス」です。例えば、VDIを実現するための仮想化製品のライセンスや、マイクロソフトのVDAライセンス、CALなどが必要です。
加えて、それ以外の機器も一般的には必要です。例えば、「3.ユーザーのデータ領域を確保するストレージ」が必要です。ストレージを構築する際には、SAN(Storage Area Network)などによってストレージのネットワークを構築することもあります。また、「4.各種サーバ」も必要です。仮想環境に特化したことではありませんが、例えば、Active Directoryなどの認証サーバ、メールサーバ、仮想化システムの管理サーバ(VMware vCenter Serverなど)、DNSサーバ、バックアップサーバなどです。
通信の流れ
では、この環境で実際の通信はどのように流れるのでしょうか。上図で説明します。LGWAN系の物理PCからLGWAN接続系の各種サーバには、WebサーバであればHTTPなどのプロトコルで通信します(図の緑矢印)。
次に、インターネット接続系のネットワークにアクセスするには、画面転送プロトコル(RDP、ICA、PCoIPなど)を利用して、インターネット接続系にある仮想サーバにアクセスします(図の青矢印)。その仮想サーバから、メールであればメールサーバを経由してSMTPプトロコル、Web閲覧であればプロキシサーバを経由して外部のインターネットにHTTP(またはHTTPS)にて通信をします(図の赤矢印)。
ここでメールアドレスに関して補足します。ネットワークを分離すると、LGWAN系のメール(lg.jpドメイン)とインターネット接続系のメール(市区町村.jpなどの独自ドメイン)は、当然ながら分けられることになります。つまり、2つのメールアドレスができます。実際に2つのメールアドレスを使っている市区町村もありますが、2つのメールアドレスを持つのは普通は手間でしょう。
こうした場合は、DNSやメールサーバを適切に設定することで、1つのメールアドレスで運用することが可能です。ネットワークが分かれているので、LGWAN接続系とインターネット接続系のそれぞれのPCでメールの設定を行い、メールサーバも別々にします。
具体的には、LGWANセグメントのメールは、LGWAN接続系の端末からLGWAN接続系のメールサーバに送ります(下図の緑矢印)。インターネット接続系も、仮想PCからインターネット接続系の仮想化サーバに接続し(下図の青矢印)、そこからインターネット接続系のメールサーバにメールを送ります(下図の赤矢印)。受信経路も同じで、インターネット系のメールはインターネット系のメールサーバに、LGWAN系のメールはLGWAN系のメールサーバに届くようにできます。これは、DNSの設定などで対応可能です。
しかし、これには運用上の問題もあります。ネットワークが分離されると、メインではないシステム側に届いたメールを確認するには、その都度システムにログインをしなければいけません。また、インターネット系に届いたメールの添付ファイルを、どうやってLGWAN系に取り込むかも課題です。このあたりの仕組みに関しては、別途「無害化」の回で解説予定です。
ネットワーク分離の価格低減の方法
ネットワーク分離に伴い、物理であれ仮想であれ、追加でPCを用意することになります。もし職員が1000人いるのであれば、1000人分のPC環境を準備する必要があります。また、OSの費用やシンクライアントを実現するライセンス費用も必要です。これらの費用は、各市区町村にとって悩みの種でしょう。強靭性向上の4要件の中で、もっとも費用的な負担が大きいのがこの「ネットワーク分離」なのです。
では、ネットワーク分離の予算を抑えるにはどうすればいいのでしょうか? ここからは、そんな価格低減の工夫について紹介します。
1.方式を組み合わせる
例えば、VDI方式は柔軟性の高いシステムですが、費用が一番高いので、利用者の業務に応じて、必要最小限の台数だけをVDIにします。残りの定型的な業務の利用者は、RDSやブラウザ仮想化を利用します。また、物理PCと組み合わせるのも1つの選択肢です。
2.利用する台数を減らす
インターネット接続やインターネットメールを、職員全員が使う必要がないということをよく耳にします。そうであれば、全員分の環境を構築するのではなく、必要な分だけ準備したり、共用端末を用意したりするのも手です。特に出先の環境では、複雑な構成を組むのは大変です。また、最初は数台の導入によるスモールスタートから始め、予算に応じて規模を拡大していくのもいいでしょう。
3.Linuxベースのシステムを利用する
Windows系で仮想環境の見積もりを取得すると、ライセンス費用の高さに驚かれることがよくあります。実際、Windows系ではライセンス費用がかなりの比重を占めます。一方、Linuxベースであれば、そうした費用はかなり安くなるか、または無料になります。XRDPでLinuxのサーバにリモートアクセスすれば、特にライセンス費用を発生させずにLinuxの仮想端末を利用できます。
ただし、操作面でWindowsとの違いがあったり、IE(Internet Explorer)が使えないなどの制約、または保守の面での難しさもあります。そこで、ブラウザ仮想化に特化して利用するのも選択肢の1つです。費用面ではかなり安く構築することができますし、Linux版のブラウザ仮想化のパッケージ製品もあります。テスト環境で事前評価をした上で、検討されるのがいいでしょう。
4.アプリケーションソフトの導入を必要最小限にする
LGWAN接続系とインターネット接続系で、それぞれアプリケーションソフトを購入すると、ライセンス費用が高くなります。インターネット接続系ではアプリケーションソフトはライセンス数を最小限にするとか、Microsoft OfficeはViewerなどの機能を絞った無料版を活用する方法もあります。
さて、本稿では、ネットワーク分離の、特に仮想環境による実現方法について解説をしてきました。仮想環境を構築する際には、確認・検討することはとてもたくさんあります。例えば、「二要素認証がうまく利用できるか」「仮想サーバのスペックをどうするか」「仮想環境でソフトウェアが正常に動作するか」「プリンタをどのように配置するのか」「運用保守は誰がやるのか」など、ここに挙げ出すとキリがありません。使い勝手の良しあしは業務効率にも影響しますから、仮想環境構築の際には実績のある構築ベンダーと相談するなど、事前評価をきちんとした上で、最適なシステムを構築することをお勧めします。
筆者プロフィール
▼粕淵 卓(かすぶち たかし)
西日本電信電話株式会社 ビジネス営業本部 クラウドソリューション部 セキュリティサービスG 主査。現在はセキュリティの専門家として大規模なセキュリティシステムの設計、インシデント対応、コンサルティング、セミナーなどを担当。保有資格は、情報セキュリティスペシャリスト、ITストラテジスト、システム監査技術者、技術士(情報工学)、CISSPなど多数。著書に「NetScreen/SSG 設定ガイド(技術評論社)」などがある。
Copyright © ITmedia, Inc. All Rights Reserved.
市区町村のセキュリティ対策「4要件」とは
JTB不正アクセス事件から何を学びとれるのか?
ネットワークアクセス制御の基本――「正しいセキュリティ設計の考え方」入門