リモートアクセスを
強制できていない場合のリスクと対策

自宅など社外から会社のサーバーへアクセスする際は、VPNなどを利用してリモートアクセスしている人が多いだろう。しかしインターネットへアクセスする際はどうだろうか。いったん会社のネットワークにVPN接続して、そこを経由してインターネットにアクセスするというルールを定めている企業も多い。しかしこのルールを強制している企業は意外と少ない。今回はそのリスクについて解説する。

リモートアクセスの現状
VPN以外の新しい技術導入の動きも

 リモートアクセスを実現するVPNは、1990年代後半からインターネットの普及とともに日本で広まり多くの企業で利用されるようになってきた技術だ。最近では新型コロナウイルス感染拡大防止に向けた取り組みの一つとして、学生も聴講のために学校にVPN接続するというような時代になっている。

 一方で新しいセキュリティの考え方であるゼロトラストネットワーク&セキュリティの導入をすでに推進している企業では、VPNではない次世代のリモートアクセス技術を採用する動きも出てきている。クラウドサービス型のゲートウェイであるSDP(Software Defined Perimeter)やIAP(Identity-Aware Proxy)という技術だ。

 ところで前回の本稿ではリモートアクセス認証の脆弱性として下記の3点を指摘した。

・VPNなどのリモートアクセスツールのパッチ適用漏れ
・パスワードの弱さ
・ID/パスワードの漏えいによる不正アクセス

 上記の3点以外で、皆さんはリモートアクセス時に不安を感じたことはないだろうか。会社のサーバーにはVPNなどを利用してリモートアクセスしていることだろう。ではインターネットなど会社のサーバー以外へのアクセスはどのように行っているだろうか。

 セキュリティの厳しい会社では自宅からインターネットアクセスする際も、まずはリモートアクセスで会社のネットワークに入り、その後にUTM(Unified Threat Management:統合脅威管理)を経由してインターネットにアクセスさせている。

 しかし上記のようなアクセス方法を強制している企業は少ないのではないだろうか。ルールでは強制していても、実際には直接インターネット接続できてしまう環境となっている企業も少なくないのだ。

リモートアクセスを強制していない場合の
インターネットアクセスのリスク

 リモートアクセスを強制していない場合、誤って、もしくは故意にインターネットに直接接続できてしまうという問題がある。この問題に対するリスクを1.~3.に、リスクに伴う脅威をその下に記載する。

1.危険なWebサイトへの接続
・ID/パスワード/クレジットカード番号などの情報窃取(フィッシング)
・マルウェアのダウンロード(ドライブバイダウンロード)
・脅迫による金銭支払い(詐欺サイト)

2.私的なインターネットサービスの利用
・フリーメールの利用による情報漏えい
・個人契約クラウドストレージ利用による情報漏えい
・SNSの利用による情報漏えい
・マルウェアのダウンロード
・ファイル共有ソフトウェアによる情報漏えい

3.マルウェアの活動
・暴露型ランサムウェアなどのマルウェアによる情報窃取やデータ破壊

 これらのリスクを考えると、リモートアクセスを強制していないことがいかに危険か分かるだろう。それでは、どうやって強制すればよいのだろうか。

リモートアクセスの利用を強制する方法
VPN接続の強制とSDP/IAPの利用

 リモートアクセスを強制する方法として、二つの実装方法を紹介しよう。

<VPN接続の強制>
会社のテレワークPCでVPN接続以外の通信を遮断する。

<SDP/IAPの利用>
クラウドサービス型のゲートウェイであるSDPやIAPでリモートアクセスを実現する。

 <VPN接続の強制>は通信制御を行う情報漏えい対策ソフトウェアなどで実現できる。会社のPCを社外に持ち出した場合、自宅やカフェなどのネットワーク(有線LANや無線LAN)につなぐことはできるが、VPN通信しか許可しないというものである。

 ユーザーはインターネットにアクセスするにしてもVPNを使わざるを得ないようになる。実は私もそのような設定のPCを利用している。誤って直接インターネット接続することもなく、とても安心してネットワークを利用できる。

 <SDP/IAPの利用>はSASE(Secure Access Service Edge)と呼ばれる分野のクラウドサービスに含まれている機能を利用する。ゼロトラストネットワーク&セキュリティへの関心の高まりや、テレワーク社員の増加によるVPN回線のひっ迫などの問題により、VPNからSDP/IAPに乗り換える企業も増えてきている。

 SDP/IAPの利用ではユーザーはテレワーク用のPCからオンプレミスまたはクラウド上にある業務システムにアクセスする際に、いったんクラウドサービス型のゲートウェイに接続する。SDP/IAPはそこでIDaaS(Identity as a Service)と連携して認証とアクセス許可を行うため、セキュアなアクセスはもちろん、なりすましも防止できる。

 以上、リモートアクセスを強制していない場合のリスクと対策について説明した。今まで気にしていなかった方々はぜひ現状を確認し、問題があれば対策してほしい。

master:
早稲田大学グローバル
エデュケーションセンター
非常勤講師


日立ソリューションズ
セキュリティソリューション事業部 企画本部
セキュリティマーケティング推進部 部長
セキュリティエバンジェリスト
扇 健一 氏