テレワークの新たなWebセキュリティのリスクにどう対処するのか
第3営業部 第3課 勝田 進氏
新型コロナウイルス対策でテレワークの利用が広がっており、企業はリモートからのアクセスに対しセキュリティをどう担保するかという新たな課題を抱えている。また、テレワークが普及してからクラウド利用が増えており、Web会議も一般的なものになってきた。そのため、これらにアクセスするトラフィックは増加し、企業も回線増強やゲートウェイ強化などを実施している。しかし、すぐにはVPN接続のライセンスを増やせない場合もあり、暫定的にテレワーク時のセキュリティルールを緩和し、自宅のインターネット回線から直接外部サービスへのアクセスを許す状況も生まれているという。
自宅から直接アクセスしてしまうと、オフィスのLAN環境のように高度なセキュリティ対策が施せず「マルウェアから十分に守れなくなります。また、詳細なログも取得できません」と勝田氏。社内のオンプレミス環境では実現できたセキュリティポリシーの適用、Webアクセスの監視、高度なセキュリティ対策などが不可能になってしまうのだ。
この課題を解決するには「オンプレミスで提供してきたセキュリティ対策を、クラウドゲートウェイに移行させます」と勝田氏。VPNや専用線で本社のデータセンターを経由し、そこでセキュリティを担保してからクラウドなどにアクセスするのではなく、各地の拠点やテレワークを実施している自宅から、クラウド上のセキュアWebゲートウェイにアクセスする。そうするとセキュアWebゲートウェイがセキュリティを担保するため、そこから各種クラウドサービスに接続することができる。これは、拠点と本社データセンターを接続するMPLS(Multi-Protocol Label Switching)ネットワークの回線コストなどの削減にもつながるという。
「クラウド上のセキュアWebゲートウェイを使えば、段階的にセキュリティを強化できます」と勝田氏は述べている。これまでのオンプレミスにおけるWebセキュリティ対策では、第一にWebフィルタリング機能で不要なWebアクセスを防止することから始めた。その上で、ユーザーがどのようなWebアクセスを行っているかの可視化も重要となる。第二ステップでは標的型攻撃の対策を実施し、第三ステップでログ追跡を可能にしてフォレンジック対策を実現する。これらオンプレミスにおけるWebセキュリティ対策は、クラウド上のセキュアWebゲートウェイを使った対策でも同様だ。「ただし、クラウド特有の課題もあります」と勝田氏は指摘する。
セキュアWebゲートウェイの多くがSSLの複号化機能などを持っており、Webフィルタリングによる対策ではどのサービスも大きな差はない。ただしクラウドのセキュアWebゲートウェイでは、一般的に出口側のIPアドレスを固定化できず、送信元IPアドレスを制限する機能が使えないことがある。そうなれば企業のグローバルIPを使うこととなり、VPNで本社データセンター経由のアクセスが必要になる。このIP認証サイトへの対応が、クラウド特有の問題として考慮すべきポイントの1つ目だ。
2つ目のポイントは、Web経由で侵入するマルウェアへの対策だ。現状は未知の脅威もあり、通常の脅威検知機能だけでは対策しきれなくなっている。未知の脅威にAIや機械学習技術などであれば、振る舞いによる検知などで対策できるかもしれない。一方、ホワイトリストでセキュリティを担保する方法では、アクセスできるサービスを最小限に絞り込むため、ユーザーの生産性が下がってしまうのだ。
また、常に新しいフィッシングサイトが現れ、それに追随できないことが3つ目の課題となる。勝田氏は「最近ではWeb会議の招待リンクで、不正なサイトへ誘導するものもあります」と注意を促す。こういったものは、クラウドサービスのID、パスワードなどの認証情報を盗もうとするものだ。
クラウド特有のWebセキュリティの課題に対処できるMenlo Security
新たにクラウド上のセキュアWebゲートウェイを選ぶ際には、これら3つのクラウド特有、または最近のセキュリティ対策課題を考慮する必要がある。オンプレミスの際に実装した優先順位でセキュリティ強化ができ、その上で3つの課題にも対処できるソリューションとして、マクニカネットワークスでは「Menlo Security」を提供している。
Menlo Securityの製品は、特許を取得したレンダリング技術ACR(Adaptive Clientless Rendering)により、Webコンテンツ閲覧時に発生するマルウェア感染の脅威を排除できる。Menlo Securityのクラウドプロキシプラットフォームには、基本的なプロキシ機能から高度な標的型対策やレポーティングまで全て揃っている。これらを使うことで本社や支社などの拠点、テレワーク環境など、どこからアクセスしても安全性を確保できる。
まずは、対策の一歩としてWebフィルタリングから利用を始め、その上でIP認証サイトへの対応などを追加することが可能だ。一般的なセキュアWebゲートウェイでは、ゲートウェイの出口IPはランダムになってしまい、IP認証サービスが利用できない。一方でMenlo Securityでは、固定IPアドレスをオプション提供しており、IP認証サービスにも対応可能だという。
対策優先順位の2つ目の脅威検知に関しては、独自のアイソレーション技術で対応する。「アイソレーションとは、ブラウザによるWebの読み込みを仮想コンテナで実行し、安全な表示情報をクライアントに表示させるものです」と勝田氏は紹介する。これによりホワイトリストでアクセスできるサイトを制限しなくても、安全性が担保できる。
「Webサイトにはさまざまなスクリプトがあり、通常はそれを端末上のブラウザが読み込んで表示しています。場合によってはスクリプトだけでなく、外部サイトのコンテンツを読み込むこともあります。アイソレーション機能で、安全なレンダリング情報だけを端末に送るため脅威は無害化され、ユーザーはどのサイトにおいても安全に閲覧することができるのです」(勝田氏)
また、Webサイトの脅威の無害化は、運用負荷の軽減にも寄与する。一般的に未分類の脅威に分類されたものは、ブロックポリシーを適用する企業が多く、アクセスすることができない。そのため、ユーザーはセキュリティ担当に連絡し、情報を見られるよう対応依頼する。このような対応依頼が1日10件あれば、年間で2400件、1件20分かかれば年間で800時間も対応に費やすことになる。Menlo Securityのアイソレーションの機能であれば、脅威は自動で取り除かれアラートが出ることもなく脅威分類も必要ないため、生産性向上につながるのだ。
Menlo SecurityならWebサイトだけでなくメールの脅威も無害化できる
Menlo Securityでは、メールから入ってくる脅威にも対処できる。メール本文にあるURLリンクはもちろん、メールの添付ファイルも仮想コンテナで脅威を取り除き、安全な情報だけをユーザーに渡すのだ。これは前段で紹介した課題の3つ目にあたるフィッシング対策にもつながる。
実際のフィッシングの例として「企業が契約しているクラウドサービスに対して不正なアクセスがあった可能性があるためパスワードを変更してください」とのメールが届くことがある。もし、ユーザーが記述されたURLにアクセスし、認証情報を入力すると情報が盗まれてしまう。このような場合、Menlo Securityでは、マルウェアの脅威を取り除くだけではなく、認証情報を盗まれないように入力制限をかけてWebサイトを表示させる。さらにカスタマイズにより、怪しいWebサイトだから入力を制限しているとWebページに表示することができるため、ユーザーには危険なフィッシングサイトがあることを知らしめることができ「ユーザーへの教育的な効果も期待できます」と勝田氏は述べる。
加えて、ゲートウェイソリューションによっては、パスワードがかけられたZipファイルはスキャンされない課題がある。脅威はゲートウェイをすり抜け、端末上で解凍されマルウェアに感染してしまう。Menlo Securityでは、コンテナ上でパスワードZipのファイルも解凍しスキャンすることができ、スキャン済みの安全なファイルだけがユーザーに届くのだ。これはWebサイトからのダウンロードでも、メールの添付ファイルでも同様に機能する。
今後のテレワークを活用する状況では、クラウド型のセキュアWebゲートウェイの利用が主流となるだろう。その際の選択ポイントは段階的な対策を施すことができ、その上でクラウド特有の課題であるIP認証の問題や未知の脅威に対するすり抜け、認証情報の漏洩などの対策ができるかを考慮すべきだと、改めて勝田氏は指摘する。その上でMenlo Securityならば、Webサイトだけでなくメールでもマルウェアの感染防止ができることを、改めて伝えてセッションは終了した。
