新型コロナウイルスの感染拡大防止を目的に多くの企業がリモートワークへ移行している。一方でセキュリティへの懸念から移行を躊躇している企業も少なくない。今回は、「境界」をキーワードにリモートワークにおけるセキュリティを考えてみることにしたい。
「境界」という古い考え方
クラウドサービスが当たり前のように使われる現在においては、業務に使われるシステムの多くが企業内のネットワーク、つまりLANやイントラネットではなく、インターネット上の公開サーバーに置かれているケースが多い。そのため、業務システムやエンドポイントといった情報資産をファイアウォールの内側に配置して、インターネットからの侵入に備えるという考え方は、やや古くさいモデルとなりつつある。
それでも多くの企業が、オンサイトで働く従業員が利用するエンドポイントを、LAN内の保護された環境で運用してきたし、社内にファイルサーバーを設置して運用しているケースも少なくないだろう。こうしたケースでは、リモートワークに切り替える際には、VPNなどを使って従業員が安全に企業内ネットワークに接続する手段を提供する必要がある。
しかし、VPN接続を提供した時点で、ある意味ではすでに境界は曖昧になっているといえるだろう。なぜなら、VPNのアクセスポイントはインターネット上にあり、公開サーバーとなんらな変わりがないからだ。実際、VPNサーバーへの攻撃は起きている。
新型コロナウイルスの感染拡大の始まった3月に中国政府や職員をターゲットとしたサイバー攻撃が行われた。中国のセキュリティ企業は、この攻撃を朝鮮半島に拠点を置くグループと関連づけているが、正確な場所は特定されていない。その際に侵入に使われたのがVPNサーバーのゼロデイ脆弱性であり、最終的には職員がVPNへの接続に用いるデスクトップクライアントを不正なバージョンで置き換えることで、職員の端末にバックドアを仕掛ける仕組みだった。
このような標的型の攻撃意外にも、脆弱なVPNサーバーをランダムに狙った攻撃は十分に考えられる。最近では、SHODANのようなサービスを使えばVPNサーバーを簡単に見つけることができる。 VPNサーバーの管理者は、ログを確認すれば、ランダムな攻撃の試行と思われるものを簡単に見つけることができるだろう。これらの多くは設定がいい加減なサーバーを狙ったものだが、中には脆弱性を突いてくるようなケースも考えられる。2019年には、主要なVPNデバイスに相次いで脆弱性が見つかっており、リモートワークの導入時には十分に注意が必要だ。
重要性を増すエンドポイントと認証のセキュリティ
このように、たとえVPNでオンプレミス環境に接続するようなケースでさえ、すでに境界防御という考え方は、危ういものとなりつつある。まして、クラウドサービスを多用している環境では、セキュリティはほとんどが認証の強度に依存している状態だ。したがって、リモートワークが広がれば広がるほど、ネットワークのセキュリティから人やエンドポイントのセキュリティに焦点を移動させる必要性が高まってくる。今後必要となってくるのは、ユーザーを特定するための認証方法を多要素・多段階化していくことや、ユーザーの教育、そしてエンドポイントにおける異常を素早く検知することだ。
エンドポイントのための興味深いソリューションとして、DNSを活用するものがある。個人向けのOpenDNSや企業向けのCisco Umbrellaなどがあり、リモート環境にあるエンドポイントをDNSクエリを監視することを通じて統合的に保護するソリューションだ。これについてはいつか別の機会に詳しく検証したい。
ネットワークセキュリティやサーバーセキュリティは、今後もサービスプロバイダーにとっては重要な問題であり、AWSのようなインフラを活用して自社システムを展開している場合にも、引き続きセキュリティ対策の中心となるだろう。一方で、クラウドサービスを活用するユーザー企業にとっては、エンドポイントのセキュリティや認証の強化がより重要性を増してくる。
The Business Infosec 