急きょ整えた「テレワーク環境のセキュリティ」、そのままで大丈夫か「何となく感じる不安を数値化することが重要」

新型コロナウイルス感染症対策の一環として急きょテレワーク環境を導入した企業は珍しくない。だが、これほど長期にわたって、大規模にテレワークが導入されることまでは想定していなかっただろう。そこにさまざまな課題が生じている。

» 2020年07月13日 10時00分 公開
[PR/@IT]
PR

 新型コロナウイルス感染症(COVID-19)の拡大を受けて、従業員の出社率を抑制しようと急きょテレワーク環境を整備した企業は珍しくない。

 結果、テレワーク環境に関する課題は大小ありつつも、「やってみれば意外とできるものだ」とテレワークのメリットを実感した人は少なくないのではないだろうか。事実、2020年4月に発出された緊急事態宣言が約1カ月で解除された後も、テレワークを継続したり、テレワーク体制に完全移行したりする企業が現れている。

スピード重視で広がったテレワークがもたらした「隙」

 場所や時間を問わずに働く環境を整えることは、以前から一部の企業で推進されてきた。特にこの数年は働き方改革の一環として、また大規模イベントの開催に伴う交通混雑の緩和策として、Web技術系企業を中心に徐々に採用が広がっていた。だが、決して「主流」の働き方ではなかった。

 前述したように新型コロナウイルス感染症が企業に大きな影響を与える中、感染症対策として自宅勤務が推奨された結果、ごく普通の企業にもテレワークが急激に広がった。

セキュアワークス 主席上級セキュリティアドバイザー 古川勝也氏

 テレワークは、柔軟で生産性の高い働き方を可能にするという意味で歓迎すべきことだ。だが、「とにかく自宅から仕事ができる環境を整える」ことが優先された。これによって既存のセキュリティポリシーとの整合性が取れないまま導入に至り、課題が生じているという。セキュアワークスで主席上級セキュリティアドバイザーを務める古川勝也氏は次のように話す。

 「テレワークがこれだけ長期化し、大規模化する事態は誰も想定していなかった。そのため、あちこちで『想定していない運用』が発生している」(古川氏)

管理者がテレワーク実施のために考えておくこと(出典:セキュアワークス)

 その一例が決裁処理だ。従来は社内で書類を回し、責任者のはんこを押すというプロセスが機能し、正式な意思決定であることを保証していた。だが、テレワーク環境になると書類を回してはいられない。そこで「ひとまず今回は口頭でOKにしましょう」と処理してしまうのだ。

 問題は、こうしたイレギュラーなプロセスがサイバー攻撃者に隙を与えていることだ。「チェックプロセスが働かない環境は、BEC(ビジネスメール詐欺)の格好の標的になる」と古川氏は指摘する。

 BECとは、あたかも取引先などのように装って「今月から振込先が変わったので、こちらに支払いをお願いします」といったメールを送り、多額の金銭を詐取するサイバー詐欺の手口だ。

 「例えば、『急ぎで承認が必要なのだけどもVPNが重くてつながらないから電話で失礼。振り込みはこちらの口座に変更しておいて』と例外的な業務フローを入れると、通常の業務を支えていたチェック機能が働かないため、攻撃の隙を与えることになる」と古川氏は警鐘を鳴らす。

 このように、イレギュラーな事態、非常事態を運用でカバーしている今の状況は、攻撃者や詐欺師にとっては好都合だ。「テレワーク環境において、セキュリティを考慮したビジネスプロセスや運用、ポリシーを整備しておかないと、必ずそれに乗じて攻撃するケースが出てくる」(古川氏)

 運用プロセス面の不備に加え、もう一つ注意が必要なのは、リモートアクセスに使うVPNだ。自宅から企業システムや業務関連のクラウドサービスにアクセスするため、VPNが広く使われている。だが実は、2019年から2020年にかけて複数のVPN機器に深刻な脆弱(ぜいじゃく)性が指摘されたばかりか、攻撃にも悪用されている。インターネットセキュリティに関する情報を発信するJPCERTコーディネーションセンター(JPCERT/CC)も、国内でVPNの脆弱性が悪用され、ランサムウェアの感染などに使われているケースがあると警告し、対応を呼び掛けてきた。

 だが残念ながら、いまだに脆弱性が修正されないまま運用されているVPN機器が一部の企業で存在するという。「こうした脆弱性は、通常のリモートアクセス環境ではおおむね解消されている。だが、急きょテレワーク環境の増強に迫られ、急いで機器を追加調達するなど、イレギュラーな形で一気にVPNを利用し始めている企業では脆弱性対応の漏れがあるのではないか」と古川氏は述べた。

VPN=最も危ない傷口

 テレワークにはこのようにさまざまなリスクがあるものの、根本的な対策もある。内と外を分けて守る境界型防御に代わる「ゼロトラストセキュリティ」だ。実践し始めた先進的な企業がある中、「ゼロトラストセキュリティの理屈は分かるけれど、まだ先の話」という声もある。

 そこで、セキュアワークスは、目の前の課題解決を支援する地に足の着いた対策を2種類提供している。自社のテレワーク環境やVPN環境にすぐ手を打つべき深刻な脆弱性が存在しないかどうかをチェックする「リモートアクセス脆弱性アセスメント」と、業務プロセスも含めてより根本的に改善点を指摘する「テレワークリスクアセスメント」だ。テクニカル面とマネジメント面の両方からセキュリティをチェックする。

 リモートアクセス脆弱性アセスメントは、対象範囲をVPNの環境に絞って、ペネトレーションテストを迅速に提供するサービスだ。「顧客の環境を見ていて一番危険だと考えているのが、VPN接続周辺の環境だ。まずここだけを切り出して短期間で素早くテストを実施し、『悪用されたら終わり』という危ない傷口を見つけていく」(古川氏)

 最近のセキュリティインシデントでは、VPNなど許可したリモートアクセスの「口」が攻撃者に狙われがちだ。そこから侵入が始まり、社内に侵害範囲を広げ、「Active Directory」など重要なサーバのアクセス権限を奪うと、あとは攻撃者のやりたい放題だ。ビジネス継続はもちろん、企業の社会的信頼などにも関わる。入り口をまずチェックすることで、リスクを減らしていく。

 セキュアワークスは以前から、企業システム全体を対象にしたペネトレーションテストや、人や設備の脆弱性を洗い出すレッドチームテストを提供してきた。ただしフルセットでの診断にはさまざまな調整が必要になり、準備に時間がかかることも事実だ。そこで、「テレワーク環境の中で最も危ないところを切り出して、わずか5日間で診断する」(古川氏)のがこのサービスだ。

 リモートアクセスのためのVPN機器やそこにログインするためのアカウント設定、ログイン時のWebアプリケーションを対象に脆弱性や設定ミスをチェックする。調査は全てリモートで実施し、3営業日でキックオフから診断までを終え、5営業日で結果報告を提出する。

リモートアクセス脆弱性アセスメントの概要(出典:セキュアワークス)

 「検出しにくいリスト型攻撃では、攻撃者グループが使う手段を基にテストを実施し、Webベースのログイン画面のなりすましもチェックする」(古川氏)。VPNと並んで攻撃の足掛かりに使われがちなRDP(Remote Desktop Protocol)など、他にもチェックしたい部分があれば、オプションで対応する。

ルールや運用面の課題をスピーディーにチェック

 スピード重視で導入したテレワーク環境について、セキュリティのルールや運用状況をチェックし、中長期的な見直しを支援するのが、テレワークリスクアセスメントだ。

 「テレワーク実施に当たってはさまざまなルールが必要になるが、それらはいずれも自社の業務に関わるものだ。つまり、企業でどのようなルールが必要になるのかは千差万別だ。VPNを利用したリモートアクセスの仕組みは型にはめられるが、テレワーク環境のルールや運用はそうではない」と古川氏は述べ、企業それぞれの業態や文化に合致したテレワーク運用プロセスの整備を手助けするとした。

 テレワークリスクアセスメントは、米国国立標準技術研究所(NIST)が発行する「NIST SP 800」シリーズや、総務省の「テレワークセキュリティガイドライン」をはじめとする国内外のさまざまなガイドラインや法規制と、セキュアワークスがこれまで蓄積してきた経験や知見を背景に、顧客の自己申告ベースでアセスメントを実施する。

 テレワークリスクアセスメントも全てリモートで実施し、2週間でキックオフから結果報告まで進める。「これによりリモートワークの現状が分かる。ガイドラインなどに示された最低限実行しなければならないとされているレベルに達しているかどうか、セキュアワークスが推奨するレベルとのフィット&ギャップがどうなっているのかを見ていく」(古川氏)

テレワークリスクアセスメントの概要(出典:セキュアワークス)

 ただし、こうしたアセスメントを実施したからといって、セキュリティに関する全ての問題点が明らかになるわけではない。これらはあくまで「最初の一歩」という位置付けだ。要望に応じて、この先どのように改善すべきか、どのようなセキュリティポリシーや手順を策定すべきなのかをアドバイスするという。

ぼんやりした不安を数値化し、リスクとして対処可能に

 半年ほど前までは他人事と思われがちだったテレワークが、新型コロナウイルス感染症対策を機に、バタバタしながらも広がった。導入が一段落し、落ち着いたところで、あらためて「セキュリティ面は大丈夫なのか」と不安を抱く企業も少なくないだろう。セキュアワークスのリモートアクセス脆弱性アセスメントとテレワークリスクアセスメントは、そういった企業が第一歩を踏み出すのにぴったりといえそうだ。

 「『不安だ』と言うのも分かるが、不安は数値化できない。アセスメントを通じてセキュリティにまつわる不安をきちんと数値化することで、リスクとして向き合い、改善点を明らかにできる」(古川氏)。セキュアワークスは人とプロセス、テクノロジーという3つの要素で成り立つセキュリティに対し、アセスメントを通じてテクニカル面とマネジメント面で改善点をアドバイスする。こうすることで、テレワーク環境のセキュリティ対策を支援していく。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:セキュアワークス株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2020年8月12日

関連リンク

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。