SHIELD Gate 活用シナリオ
多様な業務環境で SHIELD Gate をどのように活用できるかを紹介します。
1. VPN 代替
状況
大規模組織のリモートアクセス環境
多くの組織が直面する問題:
- すべての従業員 PC に VPN クライアントのインストールおよび管理負担
- バージョンアップデート、証明書更新など継続的な管理が必要
- VPN 接続後、内部ネットワーク全体へのアクセスが可能 (セキュリティリスク)
- 同時接続者数の制限によりピークタイムの接続遅延
- 暗号化オーバーヘッドによる遅い速度
SHIELD Gate 活用
構成案
1. 内部業務システム登録
- ERP、グループウェア、人事システムなど
- 各システム別の接続 URL 登録
2. 条件付きポリシー設定
- 社内 IP: 全機能許可
- 在宅 IP: 制限機能 + OTP
- 海外 IP: ブロックまたは承認必要
3. 認証連動
- Active Directory SSO
- Microsoft 365 アカウント連動
- Google Workspace 連動
4. 段階的移行
- 1段階: VPN と並行運用
- 2段階: 一部部署 SHIELD Gate 移行
- 3段階: 全社拡大
期待効果
- 管理簡素化: クライアントインストール・管理不要
- セキュリティ強化: ネットワークではなくアプリ単位のアクセス制御
- パフォーマンス改善: VPN 対比で高速な接続速度
- 拡張性: 無制限の同時接続サポート
- コスト削減: VPN 機器およびライセンス費用削減
2. 協力企業アクセス管理
状況
多数の外部協力企業との協業
協力企業管理の困難さ:
- 協力企業ごとに別途アカウント発行および管理
- プロジェクト終了後のアカウント回収漏れ
- 非管理 PC からの接続 (マルウェア感染リスク)
- 作業内容の追跡が困難
- 過度な権限付与による情報漏洩リスク
SHIELD Gate 活用
構成案
1. プロジェクト別アクセス権限
プロジェクト A メンバー → プロジェクト A フォルダのみアクセス
プロジェクト B メンバー → プロジェクト B フォルダのみアクセス
2. 完全分離モード適用
- すべての接続を分離ブラウザで
- ダウンロード完全ブロック
- コピー・貼り付けブロック
- スクリーンショットブロック
3. 作業履歴追跡
- 接続時間履歴
- ファイル照会・編集履歴
4. 自動権限管理
- プロジェクト開始日 → 自動権限付与
- プロジェクト終了日 → 自動権限回収
3. SaaS セキュリティ強化
状況
Microsoft 365、Google Workspace などのクラウド SaaS 活用
SaaS 使用のセキュリティ課題:
- 個人アカウントと会社アカウントの区別が困難
- ファイル��ダウンロード後、個人メールで送信
- 外部共有リンクの無分別な生成
- 個人 OneDrive に会社ファイル保存
SHIELD Gate 活用
構成案
1. URL 単位の細かいポリシー
company.sharepoint.com
→ 会社 SharePoint: すべての機能許可
personal-account.onedrive.com
→ 個人 OneDrive: 接続ブロック
web.whatsapp.com
→ WhatsApp Web: アップロードブロック
2. テナント制御
- 会社テナント(@company.com)のみ接続許可
- 他のテナント接続時はブロック
3. ファイルダウンロード制御
- SharePoint ファイルダウンロード → CDR 適用
- Teams 添付ファイル → 自動無害化
- 外部共有リンク生成 → ブロック
4. 生成 AI 安全使用
状況
ChatGPT、Copilot などの AI ツール活用が必要
生成 AI 使用のジレンマ:
- 業務効率のために AI ツールが必要
- 機密情報入力の懸念 (ソースコード、顧客データなど)
- 無条件ブロックは従業員の不満および生産性低下
- 個人アカウントでの迂回使用
SHIELD Gate 活用
構成案
1. AI サービス接続許可 + 分離
chatgpt.com → 分離ブラウザで開く
copilot.microsoft.com → 分離モード
2. キーボード入力パターン検査
- 住民番号パターン入力時 → ブロック
- 口座番号パターン入力時 → ブロック
- IP アドレスパターン → ブロック
3. コピー・貼り付け制御
- 内部 → AI: ブロック
- AI → 内部: 許可
(コードコピーは可能だが、ソースアップロードはブロック)
5. リモートワーク環境
状況
全社リモートワークまたはハイブリッドワーク
リモート��ワークのセキュリティ課題:
- 従業員自宅 PC のセキュリティ状態が不確実 (ワクチン未インストール、パッチ未適用)
- カフェ、公共場所での共用 WiFi 使用
SHIELD Gate 活用
構成案
1. すべての接続分離
- どのデバイスからでも分離ブラウザで接続
- マルウェア感染デバイスも安全
2. 画面ウォーターマーク
- ユーザー名、ID 表示
- 接続時間表示
- 画面撮影時、追跡可能
3. ネットワーク別ポリシー
- 外部 IP 接続時
→ 追加 OTP 認証
→ ダウンロードブロック
4. 保存位置制御
- ローカルダウンロードブロック
- SHIELD Drive にのみ保存許可
- ファイル暗号化保存
6. 個人デスクトップリモートアクセス
状況
高スペック PC が必要な業務 (デザイン、開発、動画編集)
高スペック PC 活用の困難さ:
- 在宅勤務時、高スペック作業が不可能
- VDI 構築費用負担 (サーバー、ライセンス)
- 外部作業者(フリーランサー)の事務所 PC アクセス必要
SHIELD Gate 活用
構成案
1. 個人 PC 登録
- 事務所デスクトップを SHIELD Gate に登録
- アクセス権限設定 (本人のみまたはチームメンバー)
2. Wake on LAN
- 退勤時、PC を終了しても可
- リモートから電源オン
3. 条件付き接続制御
- 平日勤務時間: 自由接続
- 夜間/週末: 接続不可
- 海外出張: 接続不可
4. セッションモニタリング
- 接続履歴ロギング
- 作業完了後、自動ログアウト
7. サーバー管理コンソール
状況
多数の Linux/Unix サーバー運用
サーバー管理のセキュリティ課題:
- SSH 直接接続によるセキュリティリスク
- 管理者作業履歴の追跡が困難
SHIELD Gate 活用
構成案
1. ウェブベース SSH ターミナル
- ブラウザから直接 SSH 接続
- 別途ターミナルプログラム不要
2. 作業履歴記録
- 誰が、いつ、どこから、どのサーバーに
8. フィッシング攻撃対応
状況
メールフィッシング攻撃の増加
フィッシング攻撃の現実:
- メールリンククリックで悪意のあるサイトに接続
- セキュリティ教育だけでは限界 (人はミスをする)
- 精巧なフィッシングサイトは区別が困難
- 1人でもクリックすれば全社感染リスク
SHIELD Gate 活用
構成案
1. すべての外部リンク分離
- メールのすべてのリンク → 分離ブラウザ
- メッセンジャーリンク → 分離ブラウザ
- 文書内リンク → 分離ブラウザ
2. 未分類サイト自動分離
- カテゴリ DB にないサイト → 完全分離
- 新規サイト → キーボード入力ブロック
- 疑わしいドメイン → ダウンロードブロック
3. 入力制御
- フィッシング疑いサイト → キーボード入力ブロック
- ログインフォーム発見 → 警告ポップアップ
- 個人情報要求 → ブロック
4. ファイルダウンロード無害化
- すべての添付ファイル → CDR 自動適用
- 実行ファイル → ブロック
- 圧縮ファイル → 内部再検査
9. コンプライアンス対応
状況
法規遵守が必要 (個人情報保護法、医療法、金融法など)
コンプライアンス要求事項:
- 個人情報アクセス履歴記録の義務
- アクセス権限最小化原則
- 機密情報漏洩防止
- 監査証憑提出
- 内部者脅威管理
SHIELD Gate 活用
構成案
1. 完全なアクセス履歴記録
誰が: ユーザー ID、名前
いつ: 接続開始/終了時刻
どこから: IP アドレス、位置
何を: アクセスしたシステム、ファイル
どのように: 照会、編集、ダウンロード
2. 機密情報アクセス制御
- 患者情報アクセス時 → ウォーターマーク自動表示
- 顧客データダウンロード → 理由入力必須
- 機密文書印刷 → 管理者承認必要
3. 最小権限原則
- 業務上必要な情報のみアクセス
- 職級、部署に応じて差別権限
- 期間満了時、自動権限回収
4. ログ整合性保証
- ログ改ざん・変造防止技術
- ブロックチェーンベースハッシュ検証
- 外部ストレージ自動バックアップ