テレワーク優先のOffiice365直接アクセス後は長期化に備えた選択を ~VPNを補間して生産性と安全性を並立~

 2020.08.05  EDR実践ポータル

新型コロナウイルスが拡散した2020年春、多くの企業はテレワークへの向き合い方を問われることになりました。地震などの災害を想定したBCP(事業継続計画)の準備はあっても、今回のようなパンデミックへの備えをしていた組織は皆無に近いと言っていいでしょう。

多くの企業は、差し迫ったBCPの一環としてテレワークに取り組みましたが、感染症対策は長期化するものとして、改めて制度とシステムの設計に取り組む必要がありそうです。見えてきた課題と今後の施策について考えてみましょう。

security-for-office365

急ごしらえのテレワークに綻びも

感染症が急速に拡がった2020年2月から3月。準備期間が足りないままテレワークの実施に動いた企業は少なくないと思います。テレワークの手法はいくつかありますが、比較的低コストで導入できるVPN(Virtual Private Network)を選択・増設したところが多いようです。

VPNは仮想的な専用線を設定するサービスで、エリア内であればどこからアクセスしても、端末に対して一定のセキュリティが担保されます。コスト面に加えて短期間で開通できるというメリットもありますが、継続的なテレワークのインフラとして使い続けるには、課題も指摘されるようになってきました。

VPNはMicrosoft365と相性が悪い?

VPNに対する課題としてよく聞かれる声は、“ログインが煩雑”、“つながらない”、“処理速度が遅い”といった使い勝手の悪さです。使いやすさと安全性はトレードオフの側面がありますから、これだけでVPNの評価が決まるものではありません。しかし、コロナが拡大する最中に準備した多くの企業では、いまマイナス面が喫緊の課題になっているようです。

顕著なシーンは、多くの企業が利用している「Microsoft365(旧Office365)」の稼動時。365のような多機能なクラウド型アプリは、多くのセッション(クライアント~サーバ間の一時的な通信路)をソフト上で設定するため、VPNの帯域を圧迫します。365の動作に影響する要素はこれだけではないのですが、アクセスが増えるとデータ量も増加し、パフォーマンスの低下は避けられません。

VPNを回避する行為の危険性

オフィスが始動する朝、昼食後の再始動時、夕方など通信が混み合う時間帯は、“メール機能がなかなか起動しない”、“資料の更新に時間がかかる”、“ファイル検索の反応が遅すぎる”といった症状に悩むことがあるでしょう。オフィス街やターミナル駅の周辺では、業務アプリの操作以前に無線がつながりにくい状況にも遭遇します。

スピードが要求される顧客からの急な仕様変更、新規顧客に対するプレゼンテーション、大きな契約を控えた日といったシーンでは、直前でも関連資料の更新や最新データの確認をしたいケースは多いはず。ここでVPNのパフォーマンスが、 ビジネスの生産性を落とす、というより業務継続の足かせになることさえあります。

生産性を優先したいスタッフは、煩雑な認証が必要で動作も遅いVPNより、手軽かつ高速で通信できる駅周辺などに設置された公衆Wi-Fiにつないでも不思議ではありません。しかし、コストをかけて構築した企業のセキュリティシステムをスルーしてしまうと、情報漏えいのリスクに晒されます。

脅威ハンティングの最前線 2019年版
ENDPOINT DETECTION AND RESPONSE

事業継続と安全のバランスを計る

企業と従業員は情報資産を守らなければなりません。しかし、安全性の強化が生産性の低下をまねいたり、ビジネスを拡張する行動の足かせになったりしては、何のためのセキュリティ対策なのか分からなくなってしまいます。

適切なリスクコントロールを行なうには、まず守るべき情報資産を棚卸しし、それに対するリスクを分析すること。そしてVPNの内部にある資産も外に出た状態のリソースも、同レベルのセキュリティガードが機能するような対策を施すことです。少し抽象的な話になってしまいましたが、ここから先は具体的なアクションを考えていきましょう。

ルール遵守がリスクを軽減

顧客リストや財務の記録、製品開発に関するデータなどは、多くの企業に共通する機密情報の部類ですが、テレワーク環境でも扱わなければならないでしょう。VPNは物理的に独立した回線ではないため、センター側の障害や利用企業の設定ミスなどの要因から、情報が漏えいするリスクはゼロではありません。

この点を再認識し、万一に備えて特に重要なファイルを扱う際は暗号化する、機密性が最高レベルのデータの送信時は相手先の受信が確認できたら手元の端末から削除する、といったルールの設定は有効です。何らかの理由でVPN接続ができず、従業員が直接クラウドにつないでしまった状況でも、こうした行動によりリスクは軽減できます。

経営層とシステム部門としては、ルールの遵守を呼びかけると同時に、生産性と安全性を並立できるシステムの整備を進めていくべきでしょう。そのための手法として、いま多くの企業が取り組んでいるのが、エンドポイント(PCやサーバなどネットワークの構成機器)の単位で安全を確保する「エンドポイントセキュリティ」の強化です。

エンドポイントは無防備にしない

テレワーク中の端末がMicrosoft365に直接アクセスした場合、VPNや企業ネットワークの内部で構築したセキュリティ対策が機能しないことになります。公衆Wi-Fiの利用制限、ファイルの暗号化と適切な削除などの対策でリスクは軽減するとしても、従業員が使っているエンドポイント機器自体は、無防備に近い状態と考えるべきでしょう。

在宅勤務を行うスタッフの端末を狙って、フィッシングで社内LANにアクセスするための認証情報を搾取する攻撃が増えています。LANの内部で稼動するエンドポイントは、ソフトウェアの脆弱性を修正する作業も行ないやすいのですが、LANから切り離した端末に対しては手間がかかるという現実もあります。

テレワーク環境はマルウェアに対しても脆弱です。米国のセキュリティ企業が2020年3月に実施した調査によると、企業ネットワークにマルウェアが発見された企業の割合は約13%ですが、テレワークを実施する家庭内のネットワークで検出できた企業は約45%に達していました。大きな要因は、端末がLANの内部にあるときと同様の保護が受けられないためとされています。

 

複数の視点からエンドポイントを保護

中長期のスパンからテレワーク環境を構築・運用するに際しては、企業LANとVPN利用時、そしてクラウドへのダイレクト接続の2面から対策を施すことの重要性が見えてきます。

 

  企業LAN+VPN → 既存のセキュリティシステムでガード

   ↑

エンドポイントセキュリティ

   ⇩

ダイレクト接続 → 既存システムのガードが及ばない環境

 

近年、ターゲットの内情を調べ上げ、ピンポイントで狙い撃ちする標的型攻撃やアンチウイルス対策をすり抜けてしまうファイルレス攻撃など、先鋭化した攻撃に対する100%の阻止は困難という認識ができつつあります。こうした現実も加味した上で、企業システムとテレワークに対するガードを整備していく必要があるのです。

 

ポイントは“水際対策”と“早期発見”

テレワークが急速に進展した状況では、システム形態とセキュリティ対策は過渡期とも言えますが、ほぼすべての組織に当てはまる要素は、“水際対策”と万一侵入を受けた際の“早期発見と対応”の重要性です。

水際対策

エンドポイントを外部から来る脅威から守ることで、基本的な装備はアンチウイルス(AV)です。現在は、既知のウイルスのパターンからマルウェアを検出するだけではなく、プログラムやコマンドの動作も解析し、新種と亜種に対する耐性を高めた次世代アンチウイルス(NGAV)が前線に置かれます。

security-for-office365-1

マルウェア対策を軸とした「Falcon Prevent」の機能と特長

 

 

早期発見と対応

エンドポイントの振る舞いを常時監視し、アクティビティを可視化する機能をフロントに据えて、すべてのエンドポイントを保護します。被害を最小限に抑えるには、攻撃の兆候が見えた段階で検知し、被害が拡散する前に攻撃の芽を摘み取らなければなりません。

 

security-for-office365-2

EDR製品「Falcon Insight」のモニター画面
(エンドポイントの動作をプロセスごとに可視化した例)

 

一般的には、NGAVを含めた水際対策は「EPP」、早期検知と対策を行なうソリューションは「EDR」と定義されています。

 

  エンドポイントセキュリティの手法

      ↓

  • EPP(EndPoint Protection Platform) エンドポイント保護プラットフォーム
  • EDR(EndPoint Detection and Response) エンドポイントでの検知と対応

 

ベストの選択肢はクラウドネイティブ

EPPとEDRが稼動する企業システムでは、社内LANの内側にあるエンドポイントにも、テレワーク中の端末に対しても、“水際対策”と“早期発見と対応”の機能が働きます。クラウドと直接通信するエンドポイントも海外の拠点にある端末も、セキュリティレベルに差は生じません。

セキュリティレベルを維持するには、OSとAVなどの主要ソフトは常に最新状態に保つ、脆弱性は早期にパッチを適用する、異常時にはアラートを出すといった基本機能が欠かせません。こうした機能をエンドユーザーとシステム部門に大きな負荷をかけずに実行できるのは、“クラウドネイティブ”、クラウド上の豊富なリソースに高度な機能を集約したシステムです。

外部からのさまざまな攻撃をブロックすると同時に、すべてのエンドポイントのアクティビティを可視化し、もし万一、テレワーク中の端末が不審なサイトへ接続したり、マルウェアを取り込むような動きがあったりしても、検知して動作を阻止。被害を最小限に食い止めます。

各エンドポイントは、“見張り役”に徹するセンサー(エージェント)と呼ぶソフトウェアが動作するだけですから、大きな負荷がかかることはありません。テレワークの長期化を見据えた環境整備には、クラウドネイティブのエンドポイントセキュリティが最良の選択肢なのです。

CROWDSTRIKE FALCON INSIGHT ENDPOINT DETECTION AND RESPONSE (EDR)

RECENT POST「セキュリティ全般」の最新記事


テレワーク優先のOffiice365直接アクセス後は長期化に備えた選択を ~VPNを補間して生産性と安全性を並立~
2019モバイルを狙う脅威に関するレポート LANDSCAPE REPORT

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング