テレワークの新たなWebセキュリティのリスクにどう対処するのか
第3営業部 第3課 勝田 進氏
新型コロナウイルス対策でテレワークの利用が広がっており、企業はリモートからのアクセスに対しセキュリティをどう担保するかという新たな課題を抱えている。また、テレワークが普及してからクラウド利用が増えており、Web会議も一般的なものになってきた。そのため、これらにアクセスするトラフィックは増加し、企業も回線増強やゲートウェイ強化などを実施している。しかし、すぐにはVPN接続のライセンスを増やせない場合もあり、暫定的にテレワーク時のセキュリティルールを緩和し、自宅のインターネット回線から直接外部サービスへのアクセスを許す状況も生まれているという。
自宅から直接アクセスしてしまうと、オフィスのLAN環境のように高度なセキュリティ対策が施せず「マルウェアから十分に守れなくなります。また、詳細なログも取得できません」と勝田氏。社内のオンプレミス環境では実現できたセキュリティポリシーの適用、Webアクセスの監視、高度なセキュリティ対策などが不可能になってしまうのだ。
この課題を解決するには「オンプレミスで提供してきたセキュリティ対策を、クラウドゲートウェイに移行させます」と勝田氏。VPNや専用線で本社のデータセンターを経由し、そこでセキュリティを担保してからクラウドなどにアクセスするのではなく、各地の拠点やテレワークを実施している自宅から、クラウド上のセキュアWebゲートウェイにアクセスする。そうするとセキュアWebゲートウェイがセキュリティを担保するため、そこから各種クラウドサービスに接続することができる。これは、拠点と本社データセンターを接続するMPLS(Multi-Protocol Label Switching)ネットワークの回線コストなどの削減にもつながるという。
「クラウド上のセキュアWebゲートウェイを使えば、段階的にセキュリティを強化できます」と勝田氏は述べている。これまでのオンプレミスにおけるWebセキュリティ対策では、第一にWebフィルタリング機能で不要なWebアクセスを防止することから始めた。その上で、ユーザーがどのようなWebアクセスを行っているかの可視化も重要となる。第二ステップでは標的型攻撃の対策を実施し、第三ステップでログ追跡を可能にしてフォレンジック対策を実現する。これらオンプレミスにおけるWebセキュリティ対策は、クラウド上のセキュアWebゲートウェイを使った対策でも同様だ。「ただし、クラウド特有の課題もあります」と勝田氏は指摘する。
セキュアWebゲートウェイの多くがSSLの複号化機能などを持っており、Webフィルタリングによる対策ではどのサービスも大きな差はない。ただしクラウドのセキュアWebゲートウェイでは、一般的に出口側のIPアドレスを固定化できず、送信元IPアドレスを制限する機能が使えないことがある。そうなれば企業のグローバルIPを使うこととなり、VPNで本社データセンター経由のアクセスが必要になる。このIP認証サイトへの対応が、クラウド特有の問題として考慮すべきポイントの1つ目だ。
2つ目のポイントは、Web経由で侵入するマルウェアへの対策だ。現状は未知の脅威もあり、通常の脅威検知機能だけでは対策しきれなくなっている。未知の脅威にAIや機械学習技術などであれば、振る舞いによる検知などで対策できるかもしれない。一方、ホワイトリストでセキュリティを担保する方法では、アクセスできるサービスを最小限に絞り込むため、ユーザーの生産性が下がってしまうのだ。
また、常に新しいフィッシングサイトが現れ、それに追随できないことが3つ目の課題となる。勝田氏は「最近ではWeb会議の招待リンクで、不正なサイトへ誘導するものもあります」と注意を促す。こういったものは、クラウドサービスのID、パスワードなどの認証情報を盗もうとするものだ。
