ネットワーク分離【network isolation】インターネット分離 / Internet isolation

概要

ネットワーク分離（network isolation）とは、機密情報などにアクセスする端末やネットワークを、インターネットに接続されWeb閲覧などを行うシステム系統から分離すること。

重要な情報やシステムへの不正アクセスは、マルウェアや攻撃者がインターネットを通じて端末を乗っ取り、そこを足掛かりに社内システムへ侵入していくという経路で行われることが多い。

これを根本的に遮断するため、社内の重要なシステムにアクセスする系統とインターネットを利用する系統を切り離し、インターネットを通じて端末を不正に操作しても重要な区画へはアクセスできないようするのがネットワーク分離である。

最も単純な方式として、Web閲覧や電子メールの送受信を行うための端末やネットワークと、重要システム用の端末やネットワークを別に用意する「物理的分離」がある。安全性は高いが、物理的に二系統のシステムを用意するためコストが高く、業務ごとに端末の使い分けや居室の移動が必要なため煩雑である。

物理的には一系統の端末やネットワークを使用し、仮想化技術などでインターネットと重要システムを分離する「論理的分離」が用いられることもある。例えば、端末のクライアントOSからは自由にインターネットを利用でき、重要システムへはサーバ上のデスクトップ環境を仮想デスクトップ方式で呼び出して操作するといった手法である。サーバ側とは操作の入力と画面出力のみがやり取りされ、機密データ自体がクライアント側に送信されることはない。

(2021.12.24更新)