インターネット分離とは

近年、標的型サイバー攻撃による情報漏洩インシデントが多発しています。この事態を受けて、総務省・IPA*1・NISC*2は個人情報などの機密情報を扱うシステムをインターネットから分離する事を推奨しています。「インターネット分離」とは、インターネット経由で攻撃者が重要システムにアクセス出来る経路を断絶することを意味します。

Ericom Connect によるインターネット分離

公開アプリケーションでブラウザを配信し、インターネットには配信されたブラウザ経由で接続、（機密情報のある）イントラサイトには既存のローカルブラウザで接続することで、機密情報の漏えいを防止するソリューションです。Ericom 社製品の日本国内における総販売代理店であるアシスト社は「ダブルブラウザソリューション」と呼んでいます。 詳細についてはこちらを参照ください。

インターネット分離時のファイル共有

インターネット分離をした際、ファイルの共有が課題となります。本記事では、Ericom Connect のダブルブラウザ利用時に、ユーザ間でファイル共有を行う例について紹介します。

RDS サーバにファイルサーバを接続

RDS サーバにファイルサーバ上のフォルダをドライブマップするためのスクリプトを作成します。

@echo off
rem サーバ「ad01.example.com」の「share」フォルダを X: ドライブマップ
net use X: \\ad01.example.com\share /persistent:yes

「ファイル名を指定して実行」を起動して「gpedit.msc」と入力し、「OK」をクリックします。

「ユーザーの構成」 > 「Windows の設定」 > 「スクリプト（ログオン/ログオフ）」 > 「ログオン」 をダブルクリックし「追加」をクリックします。

「スクリプト名(N):」に作成したスクリプトのパスを設定し「OK」クリックします。

「コンピューターの構成」 > 「管理テンプレート」 > 「システム」 > 「グループポリシー」 > 「ログオンスクリプトの遅延を構成する」 をダブルクリックします。

「無効」にチェックし「OK」クリックします。

「コンピューターの構成」 > 「管理テンプレート」 > 「システム」 > 「スクリプト」 > 「ログオンスクリプトを同期的に実行する」 をダブルクリックします。

「有効」にチェックし「OK」クリックします。

「コンピューターの構成」 > 「管理テンプレート」 > 「システム」 > 「ログオン」 > 「コンピュータの起動およびログオンで常にネットワークを待つ」 をダブルクリックします。

「有効」にチェックし「OK」クリックします。

「gpupdate /force」を実行します。

「ファイル名を指定して実行」を起動して「rsop.msc」と入力し、「OK」をクリックします。

ポリシーが正しく適用されていることを確認します。

ファイルサーバの接続確認

クライアント端末で Access Pad を起動し「user01」でログインします。

「Internet Explorer」をクリックします。

「ファイル」タブから「名前を付けて保存」をクリックします。

ファイルサーバ上のフォルダがドライブマップされている事を確認します。

ファイルサーバへのファイル保存と共有

仮想ブラウザでダウンロードしたインターネット上のファイルをファイルサーバへ保存します。

クライアント端末で Access Pad を起動し「user02」でログインします。

ファイルサーバに保存したファイルを閲覧可能なアプリケーションをクリックします。本例では「PDF」を使用します。

対象のファイルを選択し「開く」をクリックします。

ファイルが閲覧可能なことを確認します。

以上