インターネット分離(2) – 有効策、日本マイクロソフトの「RDS(リモートデスクトップサービス) on Azure」とは

    前島 鷹賢氏

    >第1回から読む

    標的型攻撃やランサムウェアなどの脅威が巧妙化、複雑化し、企業の事業継続を脅かすようになっています。最近では従来のセキュリティ対策に加え、多くの脅威がインターネットを介して侵入することに着目した「インターネット分離」という対策手法が注目を集めています。ここでは4回にわたり、インターネット分離について紹介していきます。

    第2回目となる今回は、具体的な対策のひとつである「RDS on Azure」について、日本マイクロソフト株式会社の前島鷹賢氏にお話をうかがいました。

    –まずは前島様について教えてください。
    前島 鷹賢氏
     私は2年前に日本マイクロソフトに入社しまして、現在はクラウドプラットフォーム技術部という部署で、クラウドインフラ系製品技術のプリセールスとして活動しています。また、「de:code」や「Tech Summit」というマイクロソフトのイベントをはじめ、マイクロソフトで開催されるセミナーなどで講師を務めることもあります。

    –「RDS on Azure」のビジネス状況についてお聞きしたいのですが、今回のテーマである「インターネット分離」以前に、そもそもRDSがAzureに移行される、もしくはAzure上で構築されるというケースは増えてきているのでしょうか。

     リモートデスクトップサービス(RDS)自体は、オンプレミスでは昔から多くのお客様にご利用いただいていますが、たとえば3年前は、Azure上にRDSを構築するケースは世界的に見てもごく僅かでした。それがここ1~2年でオンプレミスからIaaSに移行する、あるいはハイブリッドで使うというケースが肌感覚的にも増えてきています。

     この背景には、Azureがインフラとして成熟したこともあると思っています。純粋なプラットフォームとして、一番下のレイヤで見たときの信頼度という点では、オンプレミスと比較してもまったく遜色ありません。むしろAzureは数百万台のサーバを管理している実績もありますので、かえって安心してお預けいただいているケースも増えています。

    –たとえば、RDS以外にも基幹系システムをAzure上に移行するようなケースも増えているのでしょうか。

     Azureの成熟が進み、実績が出てきたことで、ソリューションの幅が広がってきています。Azureで IaaSが提供されはじめた当初は、テスト・開発環境としての利用が一般的でした。でも最近は、新規で作るアプリケーションの選択肢のひとつにクラウド環境が普通にある感じです。もちろん、テスト環境として使われるケースは現在もあります。

     お客様の業種や規模によって温度差はありますが、これまで無理だと言われていた大手金融機関でも導入実績が出始めていて、クラウドファーストの意識は一般化してきていると感じています。ただAzureでは、WindowsとLinuxは問題なく動くのですが、基幹系システムに多いホスト系は対応できません。そのため基幹系システムを移行される場合はUNIXからLinuxに移行して、それをAzureに持って行くといったワンステップが必要になります。

    なぜ「RDS on Azure」がインターネット分離で注目されるのか

    –では、インターネット分離の目的で「RDS on Azure」が注目されている理由は何でしょう。ちなみに、日本マイクロソフトではインターネット分離について定義されているのでしょうか。

     インターネット分離という言葉自体は、3~4年前から言われていました。当初はオンプレミスが圧倒的に多く、インターネット分離のためだけにわざわざラックをひとつ買い、それを運用するという形が一般的でした。ただ、それではトータルコストが高くなってしまいますので、それならばクラウドを使った方が安く、しかも早く作れると考えるお客様が増えてきました。それで「RDS on Azure」が注目されているのだと思います。

     また、インターネット分離という言葉について、日本マイクロソフトとして厳密には定義していません。自治体のお客様が多いので、総務省が出しているガイドラインがベースになり、日本マイクロソフトでも、そのガイドラインに沿うようにアレンジしてご提供するケースが一番多いです。ただ、インターネット分離と言っても、ブラウザだけ分離できればいいというケースもありますし、あるいは外との接点としてメールを分離するケースもあります。そこはお客様の要件によってどちらにも対応できるようにしています。

    セキュリティ対策としてのインターネット分離と、そのアプローチ方法

    –インターネット分離では、どのように脅威に対応するのでしょうか。

     まずインターネット分離の背景として、今はセキュリティが非常に大きなトレンドになっています。セキュリティを侵害されることは業務の継続に大きな影響を与えますので、もはやIT部門だけの話ではなく経営に直結する問題です。

      その一方で、現在はサイバー攻撃がどんどん高度化しています。少し前は、IPSやファイアウォール、ウイルス対策といった既存の対策を組み合わせた多層防御で守れていました。しかし最近は標的型攻撃という高度なサイバー攻撃が脅威になっています。

      標的型攻撃は、標的を十分に調査した上で攻撃を行います。攻撃者はどのような機器でセキュリティ対策しているのかをすでに知っており、既存の対策をすり抜けてくるので、防ぐことが困難です。そこで、さらに別のセキュリティ製品を組み合わせることが必要になります。


    昨今の標的型攻撃の基本の流れ

     ところが、「別のセキュリティ製品」は非常にたくさんあるんですね。それをすべて導入するのはコストの面でも無理ですから、企業ごとに最適な組み合わせを考えることになります。その中でインターネット分離は、主に認証基盤まわりを対象とするもので、被害を完全に防ぐというより、被害を軽減するための手法です。しかし、導入の副次効果として安全なWeb閲覧や出口対策も可能になります。

    セキュリティ対策における、インターネット分離の位置づけ
    セキュリティ対策における、インターネット分離の位置づけ

     具体的に言えば、インターネット分離は文字通り、危険なものが入ってくるインターネットを分離する、切ってしまうことが本質的なアプローチで、2つの効果が得られます。ひとつは、危険なものが入ってこないという入口対策。もうひとつは、内部で重要なデータにアクセスされても、最終的に外に出させないという出口対策です。

     なお、ガイドラインは先ほどの総務省のほか、NISC(内閣サイバーセキュリティセンター)や金融庁など、セキュリティを重視する業界を中心に提示されています。必須や推奨などガイドラインによって違いはありますが、いずれもネットワーク分離がキーワードの一つとして挙げられています。

     実際の方法としては、物理的なものと論理的なものの2つがあります。物理的な方法は、社内用のPCとインターネット専用のPCの2台を置くものです。 この方法は分離されていることが分かりやすいですが、インターネットだけのためにPCをもう1台置くのはコストも大きくなりますし、エンドユーザの使い勝手も悪くなってしまいます。

     論理的な方法では、社内ネットワークと切り離した場所にインターネット閲覧専用のサーバを置き、RDSでアクセスします。エンドユーザがインターネットを閲覧する操作は同じですが、実際にはRDSの技術で画面のみを転送します。サーバには危険なものが入ってくる可能性がありますが、社内のPCとの間は基本的に画面情報しかやり取りしませんし、それ以外の一般的な通信はすべて遮断可能です。これによりインターネットから分離するわけです。

    インターネット分離 2つのアプローチ

     このインターネット閲覧専用サーバをAzure上に置くのが「RDS on Azure」です。もともとRDSはオンプレミスの実績が世界中にありますが、それを単純にAzure上に持って行っただけです。なお社内とAzureを安全に接続するために、VPNあるいはExpressRouteと呼ばれる専用線を引いていただくのが一般的です。

     また、インターネット分離ではWebブラウザやPDFリーダーをAzure上に置くことになりますが、RDSではごく一般的な Windows Server が稼働しているため、そこにメーラーなどのアプリケーションを追加することも容易です。またRDSはインターネット分離だけでなく、ワークスタイル変革(働き方改革)にも有効です。社外のお客様やモバイルワーカー、在宅勤務などで社内のネットワークにアクセスする際にも、「RDS on Azure」を活用するニーズが増えていますので、インターネット分離と2本立てでご提案することが多くなっています。

    昨Azureを活用したインターネット分離

     

    >インターネット分離(3) – 有効策、日本マイクロソフトの「RDS(リモートデスクトップサービス) on Azure」とは