ネットワーク分離の実現方法

１．物理的なネットワーク分離
インターネットに接続する端末と内部ネットワークに接続する端末をそれぞれ用意することで、物理的にネットワークを分ける方法です。単純ですが、インターネットを経由して内部ネットワークに侵入することは不可能になるため、堅牢性は高いといえます。反面、端末の使い分けが必要になることで利便性は低下します。また、USBメモリを利用することによるリスクへの対策が必要です。

２．VDIやSBCによる論理的な分離
サーバー上に仮想環境を構築し、画面転送によってクライアント端末からインターネットをリモートで利用する方法です。物理的な分離に比べ、一台の端末でインターネットと内部ネットワークどちらにもアクセスできるため利便性は高いといえます。一方で、VDAライセンスが高額であることや、仮想デスクトップを稼働させるための高価なハードウェアが必要になるなど、コストが課題となります。

３．仮想ブラウザによる論理的な分離（Web分離）
仮想ブラウザは、「ブラウザコンテナ」内でWebコンテンツの実行とレンダリングを行い、結果を画像に変換して、その画像をローカルブラウザーで表示する仕組みです。VDIやSBC同様、一台の端末でインターネットと内部ネットワーク両方にアクセスできる上、コストも比較的低く抑えられます。

４．アクセス制御による論理的な分離
制御プログラムを端末にインストールし、ログインアカウントごとにアクセスできるネットワークを切り替えることで簡易的にネットワーク分離を実現する方法です。ログインアカウントの切り替えが必要になりますが、一台の端末でインターネットと内部ネットワーク両方にアクセスでき、コストは最も低く抑えられます。

実現方法別のメリット・デメリットまとめ

ネットワーク分離のそれぞれの実現方法について、メリット・デメリットを具体的にまとめたのが次の表です。

ネットワーク分離においては、堅牢性・コスト・利便性のバランスを考慮して、お客様のポリシーや要件にあった方式を選択することが大切です。

コスト・利便性を重視したネットワーク分離ソリューション

①コストはなるべく抑えたいが、利便性も維持したい方
＞＞＞「Web分離×Webフィルタリング」による分離がオススメ！

Web分離は、対象となるWebアクセス数に応じてライセンスコストがかかります。Webフィルタリングを活用し、Web分離の対象となる通信（Webアクセス）を絞り込むことで、コストを大幅に削減します。例えば、Webフィルタリングで「未分類」となったサイトへのアクセスのみを分離する、Webフィルタリングで許可した特定サイトへのアクセスのみを分離する、といった運用が可能です。

ソリューション：Webフィルタリングソフト「InterSafe WebFilter」×Web分離・無害化オプション「InterSafe WebIsolation」

②予算がないのでとにかくコストを抑えたい方
＞＞＞「アクセス制御」による分離がオススメ！

ログインユーザごとに、アクセスできるサーバーやネットワークを予め決められたルールに基づいて制御します。下図のように、山田_1でログインした際にはインターネットアクセスはできますが、社内ファイルサーバーへのアクセスはできず、山田_2でログインした際は、社内ファイルサーバーへのアクセスはできますが、インターネットアクセスはできない、といった制御によって簡易的に分離環境を実現します。

ソリューション：ネットワーク分離支援パック

③ネットワーク間で安全にファイル受渡しがしたい方
＞＞＞「ファイル書出し・持ち込み管理＋無害化」がオススメ！

申請・承認ワークフローを通じて外部デバイスによるファイルの書出しや持ち込みを管理します。無害化製品と連携することで、ファイル持ち込み承認時に自動で無害化処理することも可能です。申請・承認履歴やファイル原本は管理サーバーに保管されるため、監査証跡としても有効です。ネットワーク分離の実現方法に関わらず、ネットワーク間で安全なファイル受け渡しをしたい方はこちらのソリューションをぜひご検討ください。

ソリューション：InterSafeデバイス管理セット「InterSafeDeviceControl」×「InterSafe WorkFlow」

VDI方式に比べ大幅なコスト削減が可能

利便性が高い論理的なネットワーク分離の代表的な方式である「VDI」と比べて、「Web分離×Webフィルタリング」「アクセス制御」による分離は大幅に低コストでの導入が可能です。

ALSIはお客様の要件を詳しくお伺いし、最適なネットワーク分離ソリューションをご提案します。まずはお気軽にお問い合わせください。