Web Isolation

Webサイト閲覧によるセキュリティ被害は、気付いた時にはもう遅い。
Webサイトのアクセスが被害の原因と指摘されても回避は困難。
「普通に、Webサイトをブラウザで観てただけなのに…」という背景が、セキュリティ事故や被害の原因であるとしたら、現代において必要なWebサイトの閲覧を安全にできる仕組みが求められている。

Webサイト閲覧 を 安全・安心に出来る仕組み!

  • どんなWebサイトも安全に閲覧できる。
  • 特別な知識が無く、他意も無く、ただ閲覧する時も安心な閲覧ができる。
  • 次に表示されるWebサイトの中身を気にせず、安全に閲覧できる。
  • 改ざんされたWebサイトや、マルウエア感染の懸念があるWebサイトでも気にせず安全に閲覧できる。

誰もが 無意識にブラウザで閲覧するWebサイトアクセスが原因となる、情報セキュリティの事故やインシデントの理由を作らない仕組み。

安全・安心のWebサイト閲覧環境を提供する。
(http,https通信)

キーワード:Webアクセス分離 Web無害化 セキュアWEB閲覧

Web Isolation
Symantec

“Symantec Web Isolation”は、Webアプリケーションとデータ、そしてクライアントを守るWeb無害化ソリューション。
ユーザがWebサイトを閲覧した際に、クライアント(ブラウザ)に代わってセキュアな仮想コンテナにWebをダウンロードし、レンダリングを行います。
その後、無害化したイメージデータをクライアントに届けることで、 クライアントのセキュリティを維持します。
今の環境を変えることなく、クライアント側のWebサイト閲覧操作のセキュリティストレスを大幅に低減し 安全なアクセスを実現します

Symantec社の「Web Isolation」は、ユーザがWebサイトを閲覧した際に、クライアント(ブラウザ)に 代わってセキュアな仮想コンテナにWebをダウンロードし、レンダリングを行います。その後、イメージとしてクライアントに届けることで、 Webサーバアプリケーション、クライアント双方のセキュリティを維持します。

Web Isolation の仕組み

Web Isolationの仕組み

クライアント(サイト閲覧端末)を守る!

クライアントのブラウザやWebサイト上で使われているFlash、Javascriptなどのプラグイン、コードに潜在する脆弱性を攻撃者が悪用すれば、その端末にマルウェアを感染させることができます。

Web Isolationは、セキュアなコンテナ上でクライアントに代わりすべてのWebコンテンツを実行し、ユーザに”レンダリング” の結果をイメージとして表示します。これにより、マルウェアのダウンロードを防ぎます。また、万一既にマルウェアに感染している端末がアクセスしたとしても、マルウェアはHTMLのソースを読み取ることができないため、マン・イン・ザ・ブラウザ攻撃による情報漏えいは発生しません。さらに クライアント側のマウスやキーボードの操作を認識するので、ユーザが操作を行っていない(意図しない)HTTP/HTTPS通信をキャッチします。これにより、C&Cサーバの通信をブロックします。

Web Isolation の動き

Web Isolationの動き

クライアントがWebを閲覧する際には、Web(HTML)はもちろん、ドキュメント(Office、PDF、動画など)もすべてレンダリングして、イメージとして提供することにより、マルウェアのダウンロードを防ぎます。

クライアントは、ブラウザを使用したWebサイトへのアクセス操作について、特別な操作など何も意識することは無く普段とおりにおこなえます。見た目は、何も変わりません。(*1)

例え、直前に改ざんされたWebサイトへアクセスし、不正なコードをブラウザにダウンロードするような事態となっても、Web Isolation により実行されたWebサイトの閲覧では、クライアントのブラウザで不正なコードは実行されないため安全です。Web Isolation にてレンダリングされたイメージデータのみが、クライアントのブラウザに届くため安心して閲覧できます。

Web Isolation の使い方

Web Isolation は、以下のような課題を解決し効果を発揮します。

  1. 官公庁・自治体や、公共機関で使用しているWebサイトへアクセスする端末が、不正な動作を実行しマイナンバー情報をはじめとする、機密情報の漏えいや データ破壊から保護したい。
  2. 教育庁・教育委員会や、学校などで使用しているWebサイトへアクセスする端末が、マルウエア感染などにより、生徒児童の個人情報を漏えいしたり、機密情報を改ざんや破壊するような事故から保護したい。
  3. 企業や団体のLAN内で運用されるWebアクセス端末が、Webアクセスによって乗っ取られて外部からの不正アクセスや遠隔不正操作になる懸念を払しょくし、さらに、ランサムウェアやマルウエアの感染による端末データの乗っ取りや破壊による業務妨害から保護したい。
  4. JA、銀行、保険、信用金庫など、金融機関にて運用されるWebアクセス端末が、意図しない不正アクセスによる遠隔操作などによる 個人の資産や機密情報の漏えい事故などを招くことで顧客の信頼を失墜し、かつ損害賠償を被るような重大インシデントから保護したい。
  5. 軍事機密、特許などの、最高機密情報を運用したり、又はそれに準ずるような重要情報を運用するネットワークが存在するLAN環境において、Webアクセスを分離を実現したい。
  6. 高コストなネットワーク分離と複雑なクライアント環境の構築を簡素化し、クライアント端末の利用者のセキュリティ認知度やITスキルが不安定な状態でも、安全で安心、そして簡単なWebアクセス環境を作りたい。
  7. もしも、”水飲み場攻撃サイト”、”標的型攻撃で誘導されたサイト”、”ランサムウエアにより誘導されたサイト”などへ、アクセスした際に 不正なスクリプトやデータを端末で実行され不正端末化する懸念から守りたい。
  8. セキュリティ強靭化対策、ネットワーク分離、セキュリティクラウド環境、Web無害化、安全なWEBサイトアクセス環境、など、ネットワークレベルでのセキュリティ対策を実施すべく、安心の仕組みを探していた。
  9. 総務省や経済産業省などのガイドラインで強く推奨される重要業務端末のネットワーク分離を具体的に導入実施する検討が必要になった。
  10. Webサイトで公開されるドキュメントデータを、端末にダウンロードする前に内容を確認する仕組みが欲しい。また、端末にダウンロードする際には、電子データを「無害化」して安全な形で受け取れる仕組みを探していた。
  11. WEBサイトへアクセスした際のコンテンツに対する操作制御を実施できる仕組みと、知識が少ない人や意識が低い人でも、自然に安全なWEBサイトアクセスが出来る仕組みの導入を検討している。
  12. WEBアクセス制御製品や、WEBアクセス時のコンテンツチェック製品では検知と制御が難しい、未知で新しい攻撃の仕組みのWEBサイトへアクセスしてしまっても、端末が被害を受けない仕組みを探していた。

Web Isolation は、このようなご要望にお応えします!

Web Isolation と ファイルの無害化処理の関係

Web Isolation は、総務省や経済産業省などのガイドラインで強く推奨される「無害化」の仕組みと連携することで、より強固なWEBサイトアクセスに対するセキュリティレベルを実現します。

Web Isolation VOTIRO

全国の自治体での圧倒的な導入実績で 業界リーダーの無害化ソリューションとなっている「Votiro Disarmer」と、標準機能にて連携します。

総務省・経済産業省のガイドラインにて 強く推奨される「ファイル無害化」が要求する“全ての要素”を機能として提供する、Votiro Disarmer 製品と、標準機能として連携する仕組みを搭載した、Symantec Web Isolation 製品は、これからの「無害化対策」として選ぶべき選択肢と言えます。

ファイル無害化 の仕組みは、これから当然の機能として要件が定義されるようになります。そして、その要件を満たすことが出来る仕組みは、Votiro Disarmer 製品です。

Symantec Web Isolation 製品は、Votiro Disarmer 製品との標準機能連携にて、これからのセキュリティ対策を提供します。

* Votiro Disarmer 製品については、コチラ をご覧ください。

Web Isolationとファイルの無害化処理の関係

Web Isolation アプライアンスサーバについて

Web Isolationアプライアンスサーバ は、Symantec Web Isolation 製品を、弊社が独自に設計したサーバに実装し提供する 弊社独自のオリジナル製品モデルです。

インターネット上のWEBサイトへアクセスする経路に、Web Isolation アプライアンスサーバを設置すると、短期間に安全な環境を構築することが出来るよう、予め必要なスペックをサイジング設計され、クライアント数に応じた提案モデルを準備しています。

Web Isolation アプライアンスサーバ
  1. 19インチラックマウントサイズのサーバ
  2. 仮想化技術を活用し、1台に必要な機能を搭載済
  3. システム設定の管理者操作について、サーバ内で完結
  4. 無害化処理を高速で実施するためのサーバ構成
      高速CPU、高速ディスク(SSD) 等による専用モデル化
  5. データセンターラック対応を意識した高信頼性サーバ
  6. IPMI2.0 搭載による遠隔メンテナンス機能搭載
  7. 交換用ディスクの予備添付納品

Web Isolationアプライアンスサーバ は、導入先のクライアント数に応じてモデルを選択します

  • スタートアップ環境 (500台以下目安)
    • オールインワンタイプ [ SWW-A001型 ]:1台で全ての機能を提供します。
  • 分散構成環境 (500台以上規模)
    • Managerサーバ [SWW-M001型] と、Proxy&TIEサーバ [SWW-P001型 ]
    • 2つのサーバを希望に応じて分散構成します。

Web Isolationアプライアンスサーバ は、ソフトウェア稼働確認済で納品します

  • 納品された Web Isolation アプライアンスサーバ機器は、すぐ稼働することが出来ます。
    そのため、導入から立上げまでの時間が最短化することが出来ます。