コロナ禍以降の企業のセキュリティ対策の変化
サイバーセキュリティリーダー パートナー
松下 直 氏
「以前の企業ネットワークはデータセンターとオフィスのLANをWANで接続したプライベートネットワークであり、そこにサーバや端末が接続される、いわゆるオンプレミス環境でした」と松下氏は従来のネットワークを語る。
以前からリモートアクセスは利用されていたが、利用シーンは緊急時(夜間のトラブル対応など)や出張時、管理職層の在宅勤務などに限定されていた。このようなオンプレミス環境がメインで使われていた時期のセキュリティ対策はデータセンターに構築されている企業ネットワークを囲う防御壁を構築するのが一般的だ。代表的な例はFirewall、攻撃を検知するIDS、Webサーバを守るWeb Application Firewallなどのセキュリティデバイスを用いて企業ネットワークを外部、インターネットとの境界線で守る対策である。
「企業ネットワークの中にいろいろなシステムが構築されて情報資産も全てこの中に閉じ込めてあるので、リモートアクセス時には、VPNで企業ネットワークに接続することで必要なシステムにアクセスできました」と松下氏は説明する。企業のセキュリティチームはこの境界線のセキュリティ機器を使って、外に情報が出て行かないか攻撃者が入ってこないかという監視をしていればよかった。社外からVPN経由でできる業務は限定されていて、機密情報を扱うようなシステムにはアクセスできないという状態が普通だった。特に金融系の場合、業務系のシステムにリモートで入ることはできず、情報系のシステムに限定されているという。
ハイブリッドワークで生じた課題と対策とは?
ハイブリッドワークやテレワークが急激に増えていくにあたってITリソースに非常に大きな課題が発生した。これまではテレワークを全従業員が、あるいは半分の従業員が同時にという規模で実施することはなかった。VPNのアクセスにしてもたとえば1万人規模の企業が同時接続アカウントを500程度持っているのが一般的な状況であった。セキュリティにより配慮している企業はVPNで接続した先にVirtual Desktopのサーバを設置しVPN端末へは情報を持ち出すことなく業務を行うが、そのVirtual Desktopはやはり500台程度というのが普通だったという。
「それを1万人規模の企業で、一気に5000人にするとなると土台、無理な話です。リモートワークの急激な増加により、従来のインフラでは耐え切れず、多くの企業が1年半、2年で同時接続数を増やし、ネットワークを増強し、データセンター内のリソースを増やそうとしました。しかし、需要の増加にタイミング悪く半導体不足が追い打ちをかけ、サーバ、メモリ、PCなど納期が遅延する状況が起きて、それは現在も続いています」と松下氏は推移を語る。
従来型の企業ネットワークでは半数以上の従業員のハイブリッドワークの実現は困難であり、多くの企業がこれまで慎重に使ってきたクラウドを積極的に活用する方向に動いた。オンプレミス環境にあるデータをクラウドに移してしまうわけだが、それでもまだクラウドの活用に慎重な企業は既存のサーバを仮想化して、クラウドの中でもIaaSやPaaS上に移行し、アクセス経路を企業ネットワークに絞るという対策を採った。「この方式によりデータセンター内のリソースは増やさなくてもよくなりましたが、VPNで企業ネットワークに接続する以上、ネットワーク帯域や同時接続数の問題は発生します。企業によっては自宅やサテライトオフィスから、企業ネットワークを経由せず、直接クラウトにアクセスする形へシフトしてきました」と松下氏は語る。
さらにIaaSやPaaSにシステムを構築するのではなく、SaaS、つまりアプリケーションを提供するクラウドへ一気に移行する動きも加速した。IaaSやPaaSでは自社のプライベートクラウドへ情報資産を閉じ込めていたのが、その情報資産すら外部に置くことになった。しかもリモートオフィスや自宅からアクセスされるので、セキュリティのポイントであった境界線防御を通ることもない。
ハイブリッドワーク時代のセキュリティ対策
こうした環境下でSaaSの利用が増え、どこからでもアクセスができ、アカウントの乗っ取りなどのリスクが増加している。たとえばミーティングアプリもこうした問題が見受けられた。
「アカウントが乗っ取られた場合にどうなるか、考えただけでも恐ろしいことです。SaaS内の情報資産が漏えいすることも問題ですが、過去の履歴により通信相手が特定され、正規のアカウントを起点に攻撃が可能になる。つまり加害者になる可能性がある。メールアカウントを乗っ取られ、自分のお客様に請求書詐欺のような攻撃を仕掛けられて、しかも攻撃メールを削除されると自分ではなかなか気づかない。自分のお客様から『こんなメール来たけれどほんと?』と問い合わせがきてはじめて気づくことになります」と松下氏は現状のセキュリティ環境のリスクを訴える。
また私物機器の利用も盛んになれば情報漏えいのリスクは高まる。企業によっては個人のPC、スマホの利用を認めざるを得ない状況になっている。
ハイブリッドワークでのインシデント対応とは
アカウント乗っ取りのリスクについては、SaaSのユーザー認証を個々でバラバラに使うことに問題があるという。同じアカウントとパスワードの使いまわし、単純なパスワードの設定によりアカウントの乗っ取りのリスクを増大させる。アカウントを一元管理して、フェデレーションで各クラウドにアクセスすることが推奨される。この方式で、SaaSごとに独自に管理されているアカウントの乗っ取りは防ぐことができる。
とはいえ一元管理をしているアカウントを乗っ取られる危険性もあり、次に監視を強化する必要がある。アカウント乗っ取りに対しては、認証基盤でのアラートを監視することで、不正なアクセスをある程度検知できる。そうしたアラートを検知して、アカウントを止めるなどの対処を行っていく必要がある。
ハイブリッドワーク時代のセキュリティ対策
もう一つは古くからある技術だが、Mobile Device Management(MDM)によるエンドポイントの管理強化を行う対策である。リモートワイプはもちろんアプリケーションから外に情報を持ち出せない対策を行う。クラウドにアクセスする際にはCASBによって情報漏えい対策を併用することも有効だという。
「リモートワークにおいては基本的に会社支給のデバイスを利用することが原則ですが、利用を認める場合は、MDMによる管理の強制が必要になってきます。私物でも会社のMDMの管理下に置いて、管理されたアプリケーションからその他のアプリケーションにデータを持ち出しできないようにします。そうすることで私物のデバイスの中に業務の空間を作り出すという対策が可能です」と松下氏は語る。
これは国によってはプライバシー関連法規に抵触する可能性もあり、また会社が個人のデバイスをモニタリングするということになるので、従業員と事前合意をしっかりとっておく必要がある。
さらにリモートワークでは、通常とは異なるアクセスの場所、時間、通信量、閲覧先なども監視する必要がある。クラウドの環境においてこのようなアノマリー検知は現在の技術で可能であり、実施すべきセキュリティ対策だという。「CASBの中でもクラウドプロキシを使ってサテライトオフィスや自宅にあるPCがどこにどのようにアクセスしているか把握することができます。認証基盤のアラートと合わせて相関分析することでアカウントやPCの乗っ取りといたリスクを下げることが重要です。」と松下氏。
ハイブリッドワークが日常化することで、企業のセキュリティ環境は大きく様変わりしている。リスクをしっかり認識し、ニューノーマルの中でのセキュリティを強化していきたい。
