[事例ニュース]
我孫子市役所、Webページを画像化する「Ericom Shield」を導入、RDSによるインターネット分離から移行
2023年6月5日(月)日川 佳三(IT Leaders編集部)
我孫子市役所(所在地:千葉県我孫子市)は、職員によるWebアクセスを安全にする仕組みとして、Webページを画像化して配信するゲートウェイサーバー「Ericom Shield」を2022年1月から運用している。RDSによるインターネット分離環境は業務効率が悪かったが、Ericom Shieldに移行して解消した。Ericom Shieldの開発会社は、イスラエルのエリコムソフトウェア(Ericom Software)を買収した米クレイドルポイント(Cradlepoint)。Ericom Shieldの国内総販売代理店であるアシストと、Ericom Shieldを我孫子市役所に提案して導入したSIベンダーである大崎コンピュータエンヂニアリングが、2023年6月5日に発表した。
我孫子市役所は、職員によるWebアクセスを安全にする仕組みとして、Webページを画像化して配信するゲートウェイサーバー「Ericom Shield」を2022年1月から運用している。RDSによるインターネット分離環境は業務効率が悪かったが、Ericom Shieldに移行して解消した。
2016年から2017年にかけて構築した自治体ネットワークは、インターネット接続系ネットワークとLGWAN(統合行政ネットワーク)接続系ネットワークを分離していた。セキュリティは担保できていたが、一方でインターネット接続の利便性が低く、業務効率が悪化していた。
具体的には、職員がインターネットをWebブラウザで閲覧する場合、リモートデスクトップサービス(RDS)を介して、インターネット接続系ネットワークにあるRDSサーバー上のWebブラウザをリモート操作していた。いくつもの手順を経なければならず、業務効率が低下していた。さらに、RDSサーバー自身は、Web閲覧やファイルダウンロードにより、常にマルウェアの感染リスクに晒されていた。ダウンロードファイルの無害化もできていなかった。
こうした問題を解消するために、Ericom Shieldを導入した。これにより、ローカルブラウザと仮想ブラウザの使い分けが不要になった。使うための特別な手順もなく、導入にあたってユーザー教育も必要なかった。さらに、ダウンロードファイルを無害化する仕組みも標準で備えており、無害化済みの安全なファイルをダウンロードできるようになった。
Webページを画像に置き換え、ファイル無害化もバンドル
なお、Ericom Shieldは、Webページを画像に置き換えるという手法によって、Webページに含まれるセキュリティ上の脅威を排除するソフトウェアである(関連記事:描画済みのWebページ画像をブラウザで表示、アシストがWeb無害化ソフトを発表)。
Webアクセスを仲介するプロキシサーバーとして動作し、オリジナルのWebページの内容を、Webレンダリング済みの画像のストリーミングに置き換える。これにより、Webアクセスを介して不正なコードを実行してしまう事故を防ぐ。
サーバー側では、Webページを描画するためのWebブラウザを、Linuxコンテナとして起動する。Webアクセスが終わったら、コンテナを消去する。仮に不正なコードを実行してしまったとしても、影響範囲はコンテナの内部に閉じるほか、Webアクセス終了後に消去してしまうため、常に新しいまっさらな環境でWebブラウザを利用可能である。
オフィス文書ファイルやPDFファイルなどのファイルをWeb経由でダウンロードする際に、これを外部のファイル無害化ソフトを使って無害化する。具体的には、イスラエルのVOTIROが開発したファイル無害化ソフトウェアをバンドルしている。ファイルをダウンロードしようとすると、これをVOTIROに渡して無害化し、無害化済みのファイルをクライアントに送信する仕組み。
VOTIROのファイル無害化ソフトウェアは、Word形式やPDF形式などのファイル形式を判断し、これらを構成する上で必要のないデータをバイナリ目線で削除する。結果として、これらのファイルに含まれている不正なマクロやコードを除外し、安全なファイルへと無害化する。
