新型コロナによるリモートワークとセキュリティ上の脅威:脆弱性対策・管理入門(2)
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。今回は、リモートワークとセキュリティについて。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
脆弱(ぜいじゃく)性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載「脆弱性対策・管理入門」。第1回では、「脆弱性とは何か」について説明し、WannaCryを例に挙げ、脆弱性をふさぐことの重要性を説明した。第2回になる今回は、全世界が直面する重大事である新型コロナウイルス感染症(COVID-19)の流行に伴う、リモートワーク導入に関連するセキュリティ上の脅威について、主にクライアントの脆弱性管理の観点から説明する。
2020年4月14日の原稿執筆現在、日本を含む全世界で新型コロナウイルス感染者とその死亡者が増加し続ける現在の状況は、どのように収束するのかまだ先が全く見えない歴史的な災害の最中であり、経済活動への影響も甚大である。その中で企業は懸命に従業員の安全を保ちながら経済活動を継続すべく努力を続けており、通勤やオフィスでの感染のリスクを減らすリモートワークへの移行が喫緊の課題となっている。
東京商工会議所が4月8日に発表した「新型コロナウイルス感染症への対応に関するアンケート」の調査結果でも、テレワークを「実施している」企業は26%、19.5%の企業がテレワークへの移行を検討中だ。
もともと政府からの要請で、東京オリンピック期間中、訪問客の増大により東京では通勤が難しくなることを想定し、大企業を中心にリモートワークへの準備を進めていたが、その課題が想定より4カ月先に到来した形だ。しかし東京オリンピックは長くとも2カ月間を考えればよかったが、新型コロナウイルスは収束までの期間が全く見えず、ワクチンや特効薬が開発されるまでこの状況が続くと想定すれば、リモートワークが今後のビジネスにおける常態になる可能性さえある。そしてその影響範囲は事業規模にかかわらず全国主要都市の全従業員に及ぶ。今ほどリモートワークの実現が求められているタイミングはないだろう。
しかし全く想定できなかった事態であるが故、リモートワークによるセキュリティ上の懸念点よりも目の前の現実が優先されることがあるかもしれない。この状況を狙う攻撃者たちも出てくるだろう。そのため、この記事ではリモートワークにおけるセキュリティ上の脅威について考えていきたい。リモートワークにおけるクライアント端末に対するITセキュリティ上の脅威は、大きく分別すると「情報漏えい」と「マルウェア」の2点である。
情報漏えい
日本企業が長い間気にしてきたのがPCの置き忘れや盗難などによる情報漏えいである。しかしこの点については、「Windows 10」で標準搭載されることになった「BitLockerドライブ暗号化」が問題を以前よりも大きく軽減することになった。その他ユーザーIDとパスワードの管理については、多要素認証の導入などにより強固にすることができる。そしてUSBなどデータの受け渡しでの漏えい、物理的なスクリーンの盗み見なども問題だが、これらについては既に対策の長い歴史があり、ユーザー教育も行われている。
もちろん一層の注意は必要だが、大局で見れば情報漏えいについては、今回この新型コロナウイルスにおける新たな課題とはならないだろう。しかし最近幾つかのニュースで話題になった、攻撃者の不正侵入による情報の漏えいについては別の問題であり、マルウェア対策の項目において詳しく述べたい。
マルウェア対策
リモートワークにおけるクライアントセキュリティの大きな問題はマルウェアである。WannaCryのようにランサムウェア(身代金を要求するマルウェア)に分類されるマルウェアだけではなく、標的型攻撃による不正侵入においても、多くの場合はマルウェアに感染した端末にバックドア(一度サイバー攻撃により侵入されてしまったシステムに設置される攻撃者が入りやすい入り口)を仕込み、その端末を経由してシステムへの不正侵入を繰り返す。公衆WiーFiや自宅LAN内に存在する他の端末からのマルウェア侵入のリスクが、リモートワークの禁止、企業によるVDI(仮想デスクトップ)の導入、PC持ち出し禁止の施策を促してきたといって過言ではない。
一部の危険なマルウェアは、端末の脆弱性の悪用を起点とし、ワーム(自己増殖するマルウェア)として感染を広げていく動きをする。同じネットワーク内に標的とする脆弱性を持つ端末があれば感染を繰り返し、感染した端末がまた他の端末への感染を繰り返す。企業PCが持ち出されてしまうと信頼しないネットワークへの接続を避けることはできず、そのようなところで感染した端末が企業LANに再び持ち込まれるとそのLAN内で感染がまん延する可能性もある。
VDI
コストとアプリケーション性能の問題が解決できるならVDIを導入することでこういった問題を回避することもできる。マルウェアはOSやアプリケーションに存在する脆弱性の悪用を起点として感染を広げていく。VDIを使用する環境であればクライアントのイメージ管理が容易であるため、OSのパッチ適用、全アプリケーションのセキュリティパッチ、脆弱性が存在するサービスの停止や制御など、実際に行うかどうかはユーザーに依存するが、VDIのオペレーションにおいて端末に存在する脆弱性の多くをふさぎやすくなる。
脆弱性対策のしやすさに加えて、端末自体を外部に持ち出されないこともあり、マルウェア感染のリスクはVDI環境では低くなるといえるだろう。
「PC持ち出し禁止」の解禁
繰り返すが、VDIにはコストとアプリケーション性能の問題があり、全てのユーザーに適用できるものではなく、大規模な導入が必要なため現在の状況下では時間も足りない。かといって、7割以上の従業員のリモートワークが政府から求められている現在の状況下で、PCの持ち出し禁止は受け入れられそうもない。今既に多くの企業でPC持ち出し禁止は、リモートワークのために解禁していると考えられる。ラップトップ端末が不足している企業は急きょ追加購入し、中には大きなデスクトップ端末を自宅に持ち帰っているケースもあると聞く。この状況を攻撃者は見逃さない。
この状況下、「急きょ個人所有のPCによる企業データへのアクセスを許可する企業がある」という話も聞くがこれはあまりに危険だ。最初から個人所有のIT資産も利用できる前提のシステム構築がなされていない限り、全く勧められない。個人所有のPCではマルウェアはおろか、情報漏えいにおいても、セキュリティ対策自体ができない。
会社のPCをリモートワークに使用することを考えれば、各クライアント端末において、OSとアプリケーション群におけるパッチ更新が頻繁かつ小まめに行われ、そしてWindows 10標準のファイアウォール機能とアンチウイルス機能が適切に動作している必要がある。基本的な処置であるが、これだけでマルウェアが狙う多くの脆弱性は閉じられセキュリティリスクは激減する。OSの自動アップデートを有効にするだけではなく、MicrosoftのWSUS(Windows Server Update Services)やSCCM(System Center Configuration Manager)を使用し全てのアプリケーションにおいて、常に最新のセキュリティパッチが適用されるようにしよう。
サイバー衛生
各クライアントにインストールされているアプリケーションを把握できず最新パッチ適用が難しい環境ならば、各クライアントに脆弱性管理システムのエージェントソフトウェアをインストールすることも考えよう。脆弱性管理システムのエージェントソフトウェアを使用すれば、各クライアントに存在する主要なアプリケーションにおける多くの脆弱性を可視化できる。WSUSおよびSCCMと脆弱性管理システムのエージェントソフトウェアの両方を導入しておけば、多くの環境で漏れの少ないパッチ適用を可能にする。
しかしそれでも、リモートワークが進めばマルウェアが企業LANに持ち込まれる可能性はどうしても増えることになる。接続するネットワークにおける周囲の端末は全く信用できず、パッチの存在しない未知の脆弱性を突かれるかもしれず、そして長期間企業LANに接続しないことでパッチの適用が遅れるかもしれないからだ。そのため企業LANの中では常日頃からマルウェア感染の可能性を減らすため、サイバー上の衛生管理(サイバー衛生)が保たれる必要がある。常日頃から、危険な脆弱性が排除されたクリーンな環境を保つことで、企業LANは、持ち込まれるマルウェアに対する防御力を身に付けることができる。
脆弱性管理システムは、常設された脆弱性スキャナーによって企業LANを頻繁にスキャンし、企業ネットワークにつながるクライアント、ネットワーク機器、サーバなど全端末の衛生状態を可視化できる。そして脆弱性管理システムは対策を講じるべき重要かつ緊急性の高い脆弱性を絞り込む機能を持っているため、どの脆弱性から問題解決すべきかを知ることができる。攻撃コードが存在する緊急性の高い脆弱性が全て閉じられていれば、大規模なマルウェア感染を防ぐことができ、不正侵入においても攻撃者が目的とする情報にたどりつくまで、大きく時間をかせぐことができる。
次回は、Windows 7のサポート終了によるセキュリティの脅威
まとめると、リモートワークを実現するためマルウェア対策として、下記2点が重要である。脆弱性管理システムは、この2点においてリモートワークを促進するユーザーに協力することができる。
- OSとアプリケーションに常に最新のセキュリティパッチが適用されていること
- 企業LAN内におけるサイバー衛生を保つこと
次回は、これも今日的な話題である、「Windows 7」のサポート終了によって脆弱性が放置されることのセキュリティ上の脅威について説明する。
関連記事
なぜ、「脆弱性」はなくならないの?
サイバーセキュリティの“基礎の基礎”をおさらいする本連載。今回はソフトウェアに「脆弱(ぜいじゃく)性」が生まれてしまう理由や、開発者/利用者として可能な脆弱性への対処方法について解説します。
SCAP(セキュリティ設定共通化手順)とは何か――CVE、CVSS、CPEについて
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。初回は、SCAPの概要について。
緊急、Windowsの未パッチの脆弱性(ADV200006)回避策をバッチ化する
2020年1月にWindows 7の延長サポートが終了してからまだ2カ月半ですが、既に全てのWindowsに影響する深刻度の高い脆弱性が2つ明らかになっています。そのうちの1つはセキュリティ更新プログラムが未提供(4月のセキュリティ更新に含める形で提供予定)です。影響を緩和する回避策はありますが、多数のPCを管理している人にとっては手間のかかる作業です。そこで、その回避策を簡単に実施する方法を考えました。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。