SHIELD Gateの核心技術
1. Remote Browser Isolation (RBI)
概要
RBIはすべてのウェブコンテンツを隔離されたサーバーで実行し、ユーザーのデバイスを保護する技術です。ウェブサイトの悪意のあるコードやスクリプトがユーザーのPCに届かないように完全にブロックします。
動作原理
従来のウェブブラウジング
1. 사용자가 URL 입력
2. 브라우저가 직접 웹사이트 접속
3. HTML, JavaScript, 이미지 등을 로컬로 다운로드
4. 로컬 브라우저에서 실행
└─ 위험: 악성 스크립트, 악성코드가 로컬에서 실행
SHIELDゲートRBI方式
1. 사용자가 URL 입력
2. 격리 서버가 웹사이트 접속
3. 격리 서버에서 모든 콘텐츠 실행
4. 렌더링된 화면만 사용자에게 스트리밍
└─ 안전: 악성 코드가 사용자 PC에 도달하지 않음
└─ 보안: 세션별 독립 환경으로 흔적 없이 완전 삭제
隔離される要素
ウェブコンテンツ
- HTML、CSSのパースとレンダリング
- JavaScriptを実行する
- プラグイン、ActiveX 動作
- ウェブフォント、画像の読み込み
ネットワーク
- すべてのHTTP/HTTPSリクエスト
- DNSクエリ
- WebSocket 接続
- AJAX通信
データ保存
- クッキー (Cookie)
- セッションストレージ (Session Storage)
- ローカルストレージ (Local Storage)
- IndexedDB
ユーザー入力
- キーボードイベント
- マウスイベント
- タッチイベント
- ファイルアップロード
隔離ポリシーの設定
管理者はウェブサイトごとに隔離レベルを調整できます。
完全隔離モード
대상: 알 수 없는 사이트, 위험 사이트
제한: 모든 입출력 차단
- 다운로드 차단
- 업로드 차단
- 복사·붙여넣기 차단
- 키보드 입력 차단
- 인쇄 차단
部分隔離モード
대상: 일반 업무 사이트
제한: 위험 기능만 차단
- 다운로드 → CDR 처리 후 허용
- 업로드 → 검사 후 허용
- 복사 → 내부→외부만 허용
- 키보드 입력 → 허용
- 인쇄 → 워터마크 추가
隔離除外モード
대상: 신뢰하는 사내 시스템
제한: 없음
- 모든 기능 허용
- 직접 접속과 동일
ユーザー行動制御
| 行為 | 制御オプション | 適用例 |
|---|---|---|
| ダウンロード | 許可 / CDR適用 / ブロック | 一般サイト: CDRの適用 危険なサイト: ブロック |
| アップロード | 許可 / 検査後の許可 / ブロック | 信頼できるサイト: 許可 外部サイト: 検査後に許可 |
| コピー | 双方向 / 内→外 / 外→内 / ブロック | 業務システム: 双方向 個人メール: 内→外のみ |
| 貼り付け | 双方向 / 内→外 / 外→内 / ブロック | 生成型AI: パターン検査 SNS: ブロック |
| 印刷 | 許可 / ウォーターマーク / ブロック | 一般文書: ウォーターマーク 機密文書:ブロック |
2. Zero Trust Conditional Access (ZTCA)
概要
ZTCAは「絶対に信頼せず、常に検証せよ」というゼロトラストの原則を実装した技術です。すべてのアクセス試行を検証し、状況に応じた最小限の権限のみを付与します。
ゼロトラスト vs 従来のセキュリティ
伝統的なセキュリティモデル(境界ベース)
외부 (위험) ←┤ 방화벽 ├→ 내부 (신뢰)
문제점:
- 내부망 진입 후엔 자유롭게 이동
- VPN 연결 = 내부 사용자로 신뢰
- 측면 이동 공격에 취약
ゼロトラストモデル
모든 요청 → 검증 → 최소 권한 부여
특징:
- 네트워크 위치와 무관하게 항상 검증
- 리소스별 독립적 인증
- 동적 권한 조정
5つの条件要素
1. 誰 - ユーザー (アイデンティティ)
ユーザー属性
- ユーザーID
- 所属部署
- 職位、役割
- 雇用形態(正社員、契約社員、協力会社)
例示
일반 직원: 업무 시스템 접근
프로젝트 A 멤버: 프로젝트 A 폴더 접근
관리자: 관리 시스템 접근
2. どこ - 位置 (Location)
IPアドレスベース
- 特定のIPアドレス
- IPアドレス範囲 (CIDR)
- 国、地域
例示
사내 IP: 모든 기능 허용
재택 IP: 제한된 기능 + MFA
해외 IP: 차단 또는 관리자 승인
3. いつ - 時間 (Time)
タイムゾーンと期間
- 特定の時間 (09:00-18:00)
- 曜日 (平日、週末)
- 祝日
例示
평일 09-18시: 정상 접근
평일 야간: 조회만 허용
주말: 관리자만 허용
4. 何 - デバイス (Device)
デバイスタイプ
- PC、ノートパソコン
- スマートフォン、タブレット
例示
회사 PC: 전체 접근
스마트폰: 제한 접근
5. どの - 対象 (Resource)
アプリケーション
- 内部業務システム
- SaaSアプリ
- ウェブサイト
データの感度
- 公開 (Public)
- 内部用 (Internal)
- 機密 (Confidential)
- 機密 (Secret)
例示
일반 문서: 다운로드 허용
대외비 문서: 조회만 가능
기밀 문서: 특정 사용자만 + 워터마크
3. ファイルセキュリティ
概要
SHIELD Gateはファイルのアップロード・ダウンロードプロセスで多層セキュリティ検査を実施し、マルウェア感染や情報漏洩を防ぎます。
アップロードセキュリティ
処理フロー
1. 파일 선택
↓
2. 악성코드 검사
- 실시간 바이러스 스캔
- 멀티 엔진 검사
↓
3. 확장자 검증
- 허용/차단 리스트 확인
- MIME 타입 검증
↓
4. 민감정보 탐지
- 주민번호, 계좌번호 등
- 정규표현식 패턴 매칭
↓
5. 암호화 저장
- AES-256 암호화
- 키 관리
4. 統合認証 (SSO)
SHIELD Gate: 簡単なSSO連携
Microsoft 365, Google Workspace, Kintone, Box 등
→ SAML SSO 지원으로 별도 로그인 없이 자동 인증
└─ 효과: 사용자 편의성 향상, ID/PW 관리 부담 감소
サポートサービス
- Microsoft 365 (Outlook、Teams、OneDrive、SharePoint など)
- Google Workspace
- Kintone、BoxなどのさまざまなSaaSサービス
SSO連携の利点
- 別途ログイン手続きは不要です。
- 中央集中型アカウント管理
- セキュリティポリシーの統合適用
- ユーザーの利便性を最大化
検査項目
マルウェアスキャン
- ウイルス、トロイの木馬
- ランサムウェア、スパイウェア
- マクロ、スクリプト
- ゼロデイ脅威
拡張子の検証
- 実行ファイル (.exe, .msi, .bat)
- スクリプト (.vbs, .ps1, .sh)
- 圧縮ファイル (.zip, .7z, .rar)
- 文書ファイル (.doc, .pdf, .hwp)
センシティブ情報検出
- 住民登録番号 (000000-0000000)
- 口座番号、カード番号
- パスポート番号、運転免許証番号
- ユーザー定義パターン
ダウンロードセキュリティ
CDR (Content Disarm and Reconstruction)
CDRはファイルを完全に解体し、悪性要素を除去し、安全な構造に再組み立てる技術です。
処理プロセス
1. 원본 �파일
↓
2. 파일 구조 분해
- 문서 파싱
- 메타데이터 추출
- 임베디드 객체 분리
↓
3. 위험 요소 제거
- 매크로 삭제
- JavaScript 제거
- 외부 링크 제거
- 실행 가능 코드 제거
↓
4. 안전한 파일 재구성
- 내용 유지
- 서식 유지
- 이미지 유지
↓
5. 무해화된 파일
ダウンロードパスの制御
ユーザーはファイルをダウンロードする際に保存場所を選択できます。
| 保存場所 | 説明 | セキュリティレベル |
|---|---|---|
| ユーザーPC | ローカルダウンロードフォルダー | CDRの適用 |
| SHIELD Drive | 暗号化ストレージ | 暗号化 + アクセス制御 |
| SHIELD Viewer | ビューア専用表示 | ダウンロード不可、読み取り専用 |
4. リモートアクセス
概要
SHIELD GateはVPNを代替するリモートアクセス機能と個人デスクトップアクセス、サーバーコンソール管理機能を提供します。
個人デスクトップリモートアクセス
動作方式
登録
1. 사용자가 개인 PC에 연결 에이전트 설치
2. SHIELD Gate 플랫폼에 PC 등록
3. 접근 권한 설정
接続
1. 웹 브라우저에서 SHIELD Gate 접속
2. 등록된 PC 목록 확인
3. PC 선택 후 원격 제어 시작
主な機能
Wake on LAN
- 終了したPCをリモートで電源を入れる
- スケジュールベースの自動電源管理
条件付き接続
- 時間帯別接続制御
- 位置ベースのアクセス制御
- 承認ベースの一時接続
セッション管理
- リアルタイム監視
- 強制終了
ウェブサーバーリモートコンソール
SSHターミナル
ウェブベースのSSH
- ブラウザから直接SSH接続
- 別途SSHクライアントは不要です。
ファイル転送
- ドラッグアンドドロップアップロード
- ダウンロードボタンをクリック
- 進行状況の表示
VNC/telnet サポート
VNC (Virtual Network Computing)
- Linux/Unix GUI リモートコントロール
- ウェブブラウザベースの接続
telnet
- Windowsサーバーのリモートコントロール
- ウェブブラウザベースの接続
5. SaaS統合サポート
Microsoft 365
完全互換
- Teamsのビデオ会議(音声、映像、画面共有)
- Office Web アプリ (Word, Excel, PowerPoint)
- Outlook ウェブメール
- OneDrive, SharePoint
URL単位制御
company.sharepoint.com → 허용
*.onedrive.com → 개인 계정 차단
teams.microsoft.com → 화상회의 허용
SSO統合
- Azure AD 連携
- 自動ログイン
- セッション同期