昨今、在宅勤務、シェアオフィス勤務、モバイルワーク等のテレワークは従来からの働き方の一つとして取り入れられており、徐々に浸透しつつあります。加えて、新型コロナウイルス感染症(COVID-19)の影響を受けて、各企業はこの働き方を全社、全国規模に拡張する必要性に迫られています。
昨年から今年に渡り発令された緊急事態宣言の際に、一時的な対応としてVPNを利用したり、クラウドサービスの利用制限を緩和したりと、事業継続のために必要な措置をしたものの、セキュリティの評価や見直しと言ったところができておらず、漠然とした不安を抱えているという企業も多いのではないでしょうか。
VPNを利用し続けることによって帯域が無駄に消費され、業務に遅延が生じてしまった例や、クラウドサービス利用におけるルールの策定ができておらず、情報漏洩をしてしまったという例もあります。
本記事では、テレワークの暫定的な対応をしたが、恒久的にはどのような仕組みでテレワークを全社導入すればいいのか、その際に注目すべきセキュリティはどういったところなのかに焦点を当て、新しいリモートアクセスの実現方法をご紹介いたします。
コロナ渦における企業のIT戦略の変化
昨年より、新型コロナウイルス感染症の影響により、テレワーク化とクラウド利用の推進の優先度を高めている企業が多く、関連してセキュリティの見直しを検討している企業が増えております。
当社の実態調査によると日本では約50%の企業が昨年よりテレワークを実施し始めておりますが、その中でセキュリティへの対応まで行った企業は半数強にとどまっております。
(出典)NRIセキュアテクノロジーズ「NRI Secure Insight 2020 ~企業における情報セキュリティ実態調査~」より抜粋
https://www.nri-secure.co.jp/download/insight2020-report
また、リモートアクセスの手段としては、VPNを活用し、支給されたPCから社内NWにアクセスしたり、社内に存在する端末にリモートデスクトップで接続することで、社内リソースにアクセスしたりするケースがほとんどです。
VPN利用における課題
VPNを利用したテレワークは、既に設置しているVPN装置を利用すればスムーズなテレワーク導入ができますが、以下のような課題があります。
課題① トラフィック集中や非効率な経路での通信遅延
全社的にテレワークを実施した際、トラフィックが集中することによるレスポンスの低下や遅延が発生する可能性が高まります。実際にテレワークを開始し始めたばかりの頃は、WEB会議の通信が遅延したり、容量の大きなファイルのアップロードに時間がかかったりした経験のある方は多いのではないでしょうか。
暫定的な対応も可能ですが、例えばVPN機器の増設や同時接続数の増強はコスト増加に繋がりますし、VPNを利用する人や時間帯の制限は生産性低下を招くなどの課題が出てきます。
VPN利用時の通信経路(NRIセキュア作成)
課題② VPN機器の脆弱性が狙われるリスク
世界中でのテレワーク、VPN利用者の増加に伴い、VPN機器の脆弱性を狙ったセキュリティ事故が増加傾向にあります。実際に国内外で約900社(※1)が被害にあっているとされており、日本国内においてもメガバンクや大手電機メーカーがVPN機器を入口として社内に不正アクセスされてしまった事例もあります。
攻撃者に狙われたVPN機器の脆弱性は、今から約1年以上前に発表された(※2)ものですが、CISA(※3)の情報では、脆弱性がある時に認証情報を盗まれていると、パッチを適用した後でも不正侵入される恐れがあるとのことです。
脆弱性発表後にもJPCERT/CCには、この脆弱性の悪用によるActive Directoryの資格情報窃取やランサムウエアの感染といった被害が報告されています。
※1:VPN欠陥つくサイバー攻撃 国内外900社の情報流出
https://www.asahi.com/articles/ASN8T3TNMN8TUTIL002.html
※2:複数の SSL VPN 製品の脆弱性に関する注意喚起(JPCERT/CC)
https://www.jpcert.or.jp/at/2019/at190033.html
※3:CISA:米サイバーセキュリティ・インフラセキュリティ庁
こうした脆弱性が狙われやすい原因の1つに、VPN利用時には外部に向けてオープンポートを公開しておく必要があり、社外からのインバウンド通信を受け入れる仕組み上、VPN装置自体が攻撃面となってしまう点が挙げられます。
また、製品により粒度の違いはあるものの、一度ユーザー認証した後は社内NWへの広範囲なアクセスを許容してしまうことからも、不正侵入された後に重要情報へアクセスされてしまうなど、被害が深刻になりやすい点があります。
攻撃者に狙われやすいVPN装置のイメージ(NRIセキュア作成)
課題③ クラウドサービス利用を把握/制御できない
クラウドサービス利用の際に、前述の通信遅延への対策としてスプリットトンネリング(※4)と呼ばれる構成を取っている場合がありますが、この構成では社内NWを経由せずに直接インターネットへ通信できてしまうため、アクセス制御ができないだけでなく、どこへアクセスしたかのログも取れないといった問題があります。また、ユーザーに意図的にVPNクライアントを無効化された場合も同様です。
これは情報漏洩のリスクだけではなく、有事の際に企業としての説明責任を果たせないリスクも伴います。
※4:スプリットトンネリング
社内リソース宛の通信はVPNのトンネル内を通り、それ以外のインターネット上のWebサイト等に対しては、VPNを経由せずに直接アクセスさせる設定のこと。
テレワーク時のシャドーITと情報漏洩リスク(NRIセキュア作成)
これらの課題は、テレワークにVPNのみで対応している場合に発生します。社内リソースもクラウド利用も、安全にアクセスさせるためには、VPNとは違った形でのセキュリティ対策が必要です。
次世代のリモートアクセスツールとは
それでは、VPNを利用せず、セキュアに社内リソースやクラウドへアクセスするには、どのような方法が取れるでしょうか。本記事では、NRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)が販売、導入支援、運用支援サービスを提供しているNetskopeをご紹介いたします。
Netskopeはクラウド利用やリモートアクセスにおける働き方を前提としたクラウドセキュリティプラットフォームです。NetskopeはSASE(※5)の中核機能として、CASB(※6)、Cloud SWG(※7)、ZTNA機能を提供します。
本記事では、前述のVPN利用における課題①、②を解消するZTNA機能に焦点を当ててご紹介いたします。(課題③については、NetskopeのCASB機能で解消できます。)
クラウドサービスを安全に利用するためには ~CASBをいかに活用するか~
ZTNA(ゼロトラストネットワークアクセス)とは、ファイルサーバや社内システムなど、社内リソースに対して、事前定義された条件に基づき動的にアクセス制御を行うソリューションです。Netskopeが提供するZTNAはNetskope Private Access(以下、NPA)というサービスになります。
※5 SASE:包括的なWAN機能と包括的なネットワークセキュリティ機能をクラウド上で一括提供
※6 CASB:クラウドの利用状況の可視化、詳細な制御機能を提供
※7 Cloud SWG:URLフィルタやアプリケーションフィルタ、アンチウイルス、サンドボックスなどの機能を、クラウド上で提供
NPAを利用する際の事前準備として、テレワーク端末にNetskopeエージェントを導入し、アクセス先のクラウド基盤やデータセンターに仮想アプライアンス(Publisherと呼ぶ)を設置する必要があります。
その後、Netskopeクラウドにてアクセス条件を定義したポリシーを作成することで、NetskopeエージェントはSSLトンネルを確立し、Netskopeのクラウドプロキシ経由で指定したクラウド基盤やデータセンターにアクセスすることが可能となります。
Netskopeを活用したクラウド基盤やデータセンターへのアクセスイメージ
(NRIセキュア作成)
Netskopeを活用することで、前述の課題を下記のように解決できます。
Netskopeを活用した従来のVPN利用時の課題解決(NRIセキュア作成)
NPAのユースケースとしては、自宅などの社外から社内のファイルサーバや会社ポータルサイトにアクセスできるようになるとイメージするとわかりやすいかと思います。その他、プライベートアプリの運用担当者が、NPAを利用して自宅からプライベートアプリへ限定的なアクセスを許可されることで、出社せずにシステムリリース作業を実施するといった使い方もあります。
また、ゼロトラスト(※8)の概念に則って考えるならば、NPAを利用して社内へアクセスした後、更に重要な情報にアクセスするためには、ポリシーによるアクセス可否の制御だけではなく、都度申請・承認を行って誰がどのリソースにアクセスしようとしているのか本人確認をし、必要な時間のみアクセスを許可すべきです。
※8 ゼロトラスト
守るべき情報資産にアクセスするものは全て信用せずに検証することで、情報資産への脅威を防ぐという新しい考え方
ゼロトラストに社内の重要情報を守るには
社内環境へセキュアにアクセスした後は、すべてのリソースへ自由にアクセスさせて良いかと言うとそんなことはありません。社内環境がデータセンターでもクラウドでも、重要情報へのアクセスは適切な権限管理とアクセス制御が必要です。
そこで、NRIセキュアでは、社内NWにおいて、重要情報へのアクセス制御をおこなうことができる、SecureCube Access Check(以下Access Check)を提供しております。このAccess CheckをNPAと組み合わせて利用することによって、よりゼロトラストの概念に則ったアクセス管理が可能となります。
Access Checkの詳細については以下ブログをご参照ください。
テレワークにおける特権ID管理のポイント|目指すは接続環境に依存しない統制
具体的には、ユーザーはNPAで社内環境へアクセスし、社内NWに設置されたAccess Checkにてサーバアクセスの申請、承認を行うことで初めて重要情報へアクセスすることができるようになります。
また、Access Checkでは重要情報へのアクセスログだけでなく、実際の操作内容や取得したファイルなども記録することが可能です。この構成により、自社はもちろん、開発などを委託しているベンダーがテレワークを行っていても、開発環境への安全なアクセスを実現することができます。
Netskopeエージェントが入ったクライアントのみ社内リソースへのアクセスを許可し、さらに担当する開発環境へのアクセスはAccess Checkでワークフローによる制御と操作内容の記録を行うことで、必要に応じて監査可能となり、不正操作の早期発見にもつながります。
NPAとAccess Checkを用いたゼロトラストな構成例(NRIセキュア作成)
おわりに
継続してテレワークを実施するにあたり、今後どのように環境整備をすればいいのか、社内のルールを定めればよいのか、セキュリティリスクはどこに存在するのか、なかなか結論を出せない会社も多いかと思います。
本記事で、リモートアクセスならびにリモートアクセス後の重要情報の守り方についてご案内させていただきましたが、少しでもテレワーク導入や継続の参考になれば幸いです。
今回、Netskopeならびに、SecureCube Access Checkをご紹介させていただきましたが、さらに詳しく説明を聞きたいという際は、お気軽にNRIセキュアまでお問い合わせください。