テレワークセキュリティは企業によって環境がまちまちであり、一概に語るのが難しいところであるが、いろいろな観点で検討してまとめていきたい。今回はラックの「サイバー救急センターレポート」をネタに検討してみる。
テレワーク利用時の脅威のポイント
ラックの「サイバー救急センターレポート」の中に「テレワーク利用のエンドポイントの脅威」について書かれている。
https://www.lac.co.jp/lacwatch/pdf/20200904_cecreport_vol9.pdf
この中で、テレワーク利用時の「脅威」について、以下のようにまとめられている。
- ネットワークセキュリティ機能が提供されない
- 重要なシステムにアクセス制限なしに接続できる
- 各種の管理機能が提供されない
- 信用できないネットワークにエンドポイントが接続される
①ネットワークセキュリティ機能の恩恵が受けれない問題
【問題点】オンプレ環境にてEDRやサンドボックス等のネットワークセキュリティ機器を導入していた場合、テレワークに移行すると、テレワーク環境部分がそのままではセキュリティ機器の恩恵を受けることができなくなる。もちろんテレワーク環境にもセキュリティ機器を導入すれば同レベルのセキュリティ対策が行えるが、コストが跳ね上がる。
【解決策】即座に思いつく対策は、オンプレ環境でのネットワークセキュリティ体制は万全にし、インプレ環境内にバーチャルクライアントを配置し、テレワーク環境からVPN等を経由してバーチャルクライアント環境にログインし、そこから業務を行う方法である。オンプレ環境にバーチャルクライアント環境を用意するのがコスト的にデメリットになるが、当面は物理端末を配置し、徐々にバーチャルクライアント環境へ移行していく方法が考えられる。
②アクセス制限の問題
【問題点】テレワークを実施するにあたり、テレワーク環境からオンプレ環境等の業務を行う環境へVPN等を使って接続を行う。その際に何らかの認証を行うが、パスワードの管理や機器の脆弱性等により認証が突破される可能性がある。
また、テレワーク以前の話ではあるが、オンプレ環境とクラウド環境が何ら制限なく自由にアクセスできる環境である場合、攻撃を受けた際に広い範囲が攻撃対象となる
【解決策】対策としては、F/Wやルータ、SW-HUB等のネットワーク機器の設定についてセキュリティを意識した設定を行う、そのような設定ができる機器に入れ替える等の対策の他、認証に2要素認証、多段階認証等が考えられる。また、運用面ではパスワードの使いまわしの禁止、複雑なパスワードの使用によりパスワードの悪用を防ぐことができる。
③管理機能の不備、管理機能の分散の問題
【問題点】管理機能に不備があり、攻撃者に管理機能が乗っ取られるのは言語道断であるが、たくさんのシステムに個別に管理機能が存在し、管理運用が大変になり、十分な管理が行えなくなる問題がある
「テレワーク利用時の脅威のポイント」に対するまとめ
結論として、ラックではSASEやEPP/EDRの活用を推奨されているが、なかなかこの辺のコストが出せる企業は少ない。かといって、テレワーク端末すべてに対策を施すのは非現実的でもある。
対策の費用が出せなくて、まったく対策がなされないという状況を打開するために、「中小企業にお勧めの対策」として以後、提案したい。
