VPN装置の管理不足、クラウドの設定不備などの課題に直面
山口氏はテレワーク環境の課題を、「社内リソースへの接続環境」「クラウドリソース」「テレワーク端末」という3つのブロックに分けて解説した。社内リソースへの接続環境を急いで整備したために、VPN装置の管理不足が数多く発生している。その代表が「Fortinet社のSSL-VPNに脆弱性が存在し、認証を回避して任意のファイルを読み取られるというものです」と山口氏。SSL-VPNを突破されると、社内に侵入され情報漏洩など大きな被害に発展しかねない。さらにこの件では脆弱性の影響を受けるホスト情報が公開され、問題をさらに大きくしている。11月に情報が公開されて以来、この脆弱性を狙った攻撃が増えているのだ。
[画像クリックで拡大]
この脆弱性は既に2018年に公開され、パッチを適用していなかったことが問題の原因だ。つまり機器の管理不足で、脆弱性を内包したまま放置されていた。パッチを適用すればこの問題は解決するが、再発防止の観点では、そもそもインターネットに公開しているシステムの管理を堅牢にすることが重要だ。しかしながら、現実には管理が行き届いていない。
背景は様々で、たとえば企業の統廃合などで管理漏れ機器がある場合や、そもそも管理すべき機器を把握できていない。また、設定が適切か、不審なログがないかなどの定期的なチェックをしていないこともある。山口氏は、「新たな脆弱性が見つかっていないか、ベンダーなどの情報をウォッチする必要があります」とも言う。
ビジネス継続が必要なために、パッチ適用でVPN装置を止められない場合もある。この場合はメンテナンスを実施しやすくするため、冗長構成などで機器を停止できる時間を作る工夫が求められる。さらに第三者の視点を入れれば、考慮漏れを防ぐことにもつながる。
管理が大変な場合は、外部のVPNサービスを利用し管理者の負荷を減らす方法もある。IIJでは、VPNサービス「IIJ フレックスモビリティサービス」を用意している。また、「IIJ脆弱性管理ソリューション with Tenable.io」を用意しており、クラウド上の脆弱性管理サービスを利用して、定期的なセキュリティ診断とシステム状況の可視化ができる。これによりクリティカルな脆弱性が内在していないかをタイムリーに確認可能となる。
もう1つが、クラウドリソースの課題だ。オンプレミスでは多層防御により、サーバーの設定不備があったとしてもファイアウォールなどで守ることができるため、実害を防げる。一方クラウドでは、リソース設定の誤りやアカウント管理の不備が直接実害に結びつく。クラウドは、「いわば一枚岩の状態です」と山口氏。クラウドは日々進化するため、ユーザーが機能を熟知するのは難しい。そのため、クラウドのストレージが公開状態になったり、アクセスキーが漏洩したりすることもある。
[画像クリックで拡大]
一方でユーザーに目を向けると、監視が不十分でデータの持ち出しや意図しない利用なども見られる。使い方やルールが定められておらず、ユーザーが自由に使ってしまいデータが漏洩するケースもある。対策は、ユーザーが使い方をしっかり理解することだ。「ユーザー側で管理が必要な範囲とその理解を、後追いでも良いのでしっかりと拾い上げる必要があります」と山口氏は述べる。
クラウドではアカウント制御やロギング設定の不備が発生しやすいため、これらの点は念入りに確認する必要があるとも指摘する。また、クラウドベンダーが提供する監査機能やCSPM(Cloud Security Posture Management)といったツールを使うことで設定の監査を補うこともできる。
[画像クリックで拡大]
また、クラウドのユーザー利用の可視化という点では、いつ誰がどこから利用しているかを記録するようログを設定し、意図しない利用の監視も必要だ。これには、CASBが利用できる。特に、クラウド利用のルールを明確化など、ユーザーの理解向上が後回しになっていることは多いという。
これらクラウドの課題に対してIIJでは、「IIJ CSPMソリューション」を提供しており、アカウント制御や暗号化、アクセス制御、ロギング、ネットワークが監視対象となる。また、「IIJ CASBソリューション」もあり、サンクションITの範囲内でクラウドサービスのAPIと連携し、ファイルの共有ポリシーやユーザー行動を基にした検知などが可能となる。
