巨大システムを守るための「境界型」と「インターネット分離」
日本郵政グループは、郵便事業を担当する「日本郵便」、金融サービスを提供する「ゆうちょ銀行」、および保険サービスを手がける「かんぽ生命保険」の三つの主要な事業を展開している。
正村氏は講演の初めに、日本郵政グループにおけるセキュリティの全体像を紹介した。全国に広がる郵便局は2万4000局に及び、従業員数は通常時で38万人、繁忙期には40万人に達する。また、PCは15万台、タブレットおよびスマートフォンは25万台が稼働。さらに、ゆうちょ銀行が運用する自動預払機(ATM)は10万台を超える。正村氏は「このように多数の端末と人員、拠点を有する企業はほぼない」と話した。
日本郵政グループのネットワークセキュリティは「境界型防御」を基本としており、その規模は郵便局からデータセンター、ATM、配達員が使用するPCに至るまで、1つの閉域網で結ばれている。この閉域網は、主に金融・決済関連と従業員の業務用の2つのセクションに分かれている。外部とのインターネット接続には「インターネット分離」の考え方を採り入れ、多層的な防御措置が施されている。具体的には、外部サイトへのアクセスは特定のブラウザ経由で行い、Menlo Securityのツールを介してセキュリティを確保している。このツールは仮想ブラウザを使ってインターネットのリスクを排除し、安全なブラウジングを可能にするものだ。また、ブラウザ以外での通信やファイルのアップロードは、許可されたアプリケーションとURLに限定されており、すべての活動は厳重に監視されている。
添付ファイルのマルウェア対策にはクラウドストレージを利用
正村氏は、メール添付ファイルによる攻撃への対策として、最近普及しつつある「脱PPAP」の手法を採用しているのが特徴だとした。具体的な運用としては、社外から送られてくるすべてのメール添付ファイルを、まずクラウドストレージ「BOX」に一時隔離するというものだ。
隔離されたファイルをダウンロードする前には、いくつかのセキュリティ手続きが求められる。パスワード付きZIPファイルであれば、内容を解凍して検疫を行い、その後PDF形式に変換して内容の確認と必要性の判断を行う。確認作業を経て、本当に必要なファイルだけをダウンロードする。ダウンロードする前には、マルウェアの有無もチェックされる。
この対策のおかげで、月に2~3件程度のファイルが検疫で引っかかるという。ダウンロードが制限されることもあるが、内容は事前に確認されているため、無用なエラーは極端に少ないそうだ。
「この制度を導入してから約1年半が経過していますが、メールが原因でエンドポイントセキュリティが検出するような不審ファイルは、今のところ0件であり、その効果が実感されています」と正村氏は語る。
