Remote Access Thumbnail

テレワーク導入に向け、セキュリティ対策を徹底比較!

by ブログ

テレワークに関する情報流出事故が後を絶たず起こっています。特に最近は三菱重工業(記事のリンク)を皮切りに、よく知られている大企業でも発生し危機感を与えています。しかし、コロナウイルスの影響で在宅勤務を進める必要がある中、単純に社員のセキュリティ意識に全てを任すには無理があります。そんな悩みを持っている方のために、今回はテレワークのためのセキュリティ・ソリューションを徹底比較します。

 

ログ管理システム

ログ管理システムは主に従業員の勤怠管理のため使われます。個人の機器に設置され、ログを管理・確認し業務が随行されているのかを確認することが第一の目標です。また、近年には社内データの流出や不法コピーなどを早期に発見する機能を持つ製品が多数リリースされています。そのためテレワークのセキュリティ対策として使われることもありますが、本来の目的がセキュリティの確保ではないため、優れた性能を発揮するとは言い難い部分があります。

 

VPN

VPNとは「Virtual Private Network」の略称です。ネットワーク上に仮想の通路を作り通信できるようにするサービスです。社外から社内ネットワークへ安全に接続する目的でよく使われています。サーバ(ネットワーク)とデバイス(ノートパソコンなど)の間に暗号化された通路を作りますが、利用するにはソフトウェアの設置や設定の変更などを必要とします。

VPNを利用する場合のメリットは、「従業員が社内で勤務するときと同じように、社内ネットワークに存在するデータを利用できる」点です。しかしその一方では、ビジネス用VPNを利用している多数の企業が利用者が接続状況の不具合に対する不満を漏らしています。そのため、次のような機能が備わっているのかを確認する必要があるでしょう。

  • 専用サーバ: 共有サーバに接続する方式の場合、トラフィック量が増加するにつれ接続速度が低下する恐れがあります。そのため、専用サーバを保有しているのかを確認する必要があります。
  • 管理者機能: システム管理者が従業員の接続を制御し、全体的な設定をコントロールできるのかを確認する必要があります。
  • 拡張性: テレワークに当たる従業員が急に増加するなど、急変する状況に合わせ規模を流動的に調整できる必要があります。

 

リモートデスクトップ・ソリューション

企業用のリモートデスクトップ・ソリューションはその名の通り「企業内部にあるデスクトップを遠隔操作」できるようにするサービスです。個人が接続できる範囲が限られるので、システム管理者が社内ネットワークを的確に制御できるようになります。

VPNと同じく、リモートデスクトップ・ソリューションは一般的に事前設定やインストール等を必要とします。従業員が業務用PCに接続できるようテレワーク環境を整えるため、RDP(リモートデスクトッププロトコル)やTeamViewerなどが使われます。設定が終われば、ユーザはほぼ全てのデバイスでビジネス用アプリケーションを使ったり、必要なデータを利用できるようになります。つまり、物心両面で会社のPCの前に座っているようになるのです。しかし、次のようなデメリットが存在することを忘れてはいけません。

  • システムを構築するにあたり大量のリソースを必要とする
  • VPNを利用しない限り、ネットワークの面では安全だと言えない
  • ユーザが多数存在する環境の場合、複雑な設定が必要で、比較的多くの費用がかかる

 

リモートアクセスソリューション

最近COVID-19の影響で、急いでテレワークを導入する企業も増えていると思います。そのような企業には、クラウド型のサービスで提供されるリモートアクセスソリューションをお勧めします。クラウド基盤なので、利用形態や企業のシステム環境に合わせ、通信の暗号化やハイレベルの認証方式を提供することができます。また、追加的なセキュリティ対策を含んでいる場合も存在します。先ほど紹介した三つのソリューションに共通して現れるデメリットは「設定や設置などの過程で相当なリソースが消耗される恐れがある」という部分ですが、クラウド型の場合には設置を要しないという点も大きなメリットとなります。

クラウドブリックの「Remote Access Solution」も同じく、企業内部のネットワークに安全に接続する用途のソリューションです。クラウド型サービスですので、登録するだけですぐさまサービスを利用でき、ユーザもログインするだけで済むので、リソースの無駄を省きます。また、「ハッキング防止」、「2要素認証」、「リアルタイムでのモニタリング」という三つの機能を通じ、内部ネットワークを狙う脅威に対処します。

 

さいごに

テレワークを含む在宅勤務がもはや必須となった中、「セキュリティ」が企業が解決すべき最優先課題に浮かび上がっています。全てのセキュリティソリューションには一長一短があるため、状況にあったものを選ぶ必要があるでしょう。そして、その中でも「限られたリソースを最大限有効活用したい」という方には、クラウドブリックの「Remote Access Solution」をお勧めします。10月8日(木)までお申し込みをいただいた場合、3か月無料で利用いただけるキャンペーンを実施しております。リンクを通じお申し込みください。

thumbnail

WAF、シグネチャー方式とロジックベースの違いとは?

by ブログ

会員制サイトの登録機能からオンライン決済機能まで、もはやWebアプリケーションが使用されていないWebサイトを探す方が難しくなった時代です。様々の情報が蓄積されるゆえ、さらに厳重なセキュリティ対策が必要となっています。Webアプリケーションファイアーウォール(WAF)はその代表例として有名であり、実際、様々なWAF製品やサービスが市場に出回っています。しかし、専門知識が必要で導入に時間やコストなどがかかるなど、セキュリティ対策を選定する、という事は決して容易ではありません。市場に多数の製品が並んでいれば、その難易度はなおさら上がります。そこで本日は、WAFの導入を検討するシステム担当者の役に立つようにWAFを選ぶ際のチェックポイントを紹介したいと思います。WAFは大きく「シグネチャー方式」と「ロジックベース方式」に分けられますが、特にそれについて詳しく説明したいと思います。

 

名簿を見て判断する、シグネチャー方式のWAF

現在販売されている大半のWAFは「シグネチャー」に従い攻撃を検知・遮断します。簡単に説明すると、「名簿を見て判断する」形だと言えます。各シグネチャーには既に知れた攻撃の構成要素である「パターン」が含まれています。WAFは全てのリクエストとサーバの応答をシグネチャーと比較し、一致するかを確認します。そして一致するパターンが確認された場合、予め設定されたセキュリティポリシーに従って警告を行ったり、トラフィックを完全に遮断するなどの措置を取ります。

シグネチャー方式のメリット

シグネチャー方式の場合、ベンダーが新たに発見された攻撃に対して迅速にアップデートを行えるというメリットを持ちます。一般的に、一つのシグネチャーは一つの攻撃に含まれる特定のパターンを定義します。そのため運営メカニズムが比較的簡単であり、ユーザが「特定の位置で特定の攻撃だけを遮断」しようとする場合に効果的です。また、特定の攻撃パターンのみを定義するため、誤検知率が比較的低いという特徴を持ちます。

 

シグネチャー方式のデメリット

新たな攻撃が発見される度にシグネチャーを追加しなければいけない、というのがシグネチャー方式の一番のデメリットです。つまり、頻繁なアップデートが必要になるという事です。最近には一刻ごとに新たな攻撃が発見されており、多数のシグネチャーが必要となります。しかし、全ての攻撃を記録し、WAFに適用するのは事実上不可能です。莫大なサーバのリソースを占領するとともに、Webアプリケーションの性能を大きく落とす結果につながるからです。また、シグネチャーが作成されていない「ゼロデイ攻撃」など、未知の攻撃に対応できないというデメリットにも注目する必要があります。

他にも、不要なシグネチャーの数が増えるにつれ、正常なトラフィックを遮断する恐れが増えるというデメリットも存在します。これは誤検知率の上昇に繋がります。そのため、必要なシグネチャーのみを維持する必要があるでしょう。しかし、各シグネチャーの必要性を全て判断し適用できるのか、という部分が疑問として残ります。このような問題を解決するため、一部のベンダーは初期に数週間の機械学習過程を進め、アプリケーション環境を研究したりもします。しかし残念ながら、いつも最適な結果が導き出されるわけではなく、コストの上昇という悪影響を及ぼしたりもします。

 

ルールをベースに、知能的に検知するロジックベースのWAF

ロジックベースのWAFは「事前に定めたルール、つまりロジックをベースに攻撃を検知する方法」です。シグネチャー方式に比べさらにテクノロジーに依存し、人手はほとんど必要としません。一般的にシグネチャーは攻撃のソースコードで構成されますが、ルール基盤検知を活用するWAFは攻撃パターンを記録せず稼働されます。その代わり、様々な攻撃パターンからルールを導き出すのです。ロジックベースの検知エンジンを通じソースコードのパターンを分析し、主に含まれているコードを探し出します。そのため、たった一つのルールだけでも数百のシグネチャーが含む多数の攻撃を定義することが出来るのです。つまり、ルールは「パターンのパターン」だと言えます。

ロジックベースWAFのメリット

Webアプリケーションの環境によりますが、シグネチャー方式は2,000から8,000個以上までのシグネチャーを必要とします。しかしロジックベースWAFの場合、同じ量の攻撃を検知するのにわずか数十個のルールのみを要します。そのため、より速い処理速度と高い性能を保証できる点が最大のメリットとなります。

ペンタセキュリティの研究チームが行った一連のテストによると、27個のルールを使用したロジックベースのWAFは攻撃の95%を遮断するのに成功しました。これは8,000個のシグネチャーを適用したものと同様の結果です。また、何も設置されていない場合と比べ、ロジックベースWAFの場合は処理速度が20%ダウンした半面、シグネチャー方式の場合は50%ダウンしたといいます。

ロジックベースのWAFが持つもう一つの特徴は、シグネチャー方式のWAFに比べ維持・管理に要するリソースが極めて低いという点です。最初にルールが一通り設定されたら、以後追加アップデートをほぼ要しません。ベンダーは極めて必要とされる場合だけ既存のルールをアップデートし、新たなルールを追加します。またシグネチャーではなくルールで攻撃を検知するため、ゼロデイ攻撃などの未知の攻撃からも対応できます。

 

ロジックベースWAFのデメリット

一部の人たちは、介入する余地があるということでシグネチャー方式のWAFを好む場合があります。また、ロジックベースのWAFは人工知能に対する依存度が比較的高いという特徴を持ちますが、そのためコントロールするのが難しいという意見もあります。その他にも、膨大なシグネチャーリストを確認するのに慣れすぎて、「少ないルールだけでもしっかりとセキュリティ対策を取れるのか」と疑う意見もあります。まとめると、人工知能に対する不安や不信のみがロジックベースWAFのデメリットです。

 

まとめ

各企業の状況は違えど、セキュリティ対策を求められているという部分は変わりません。ハッカーの手口が進化を続けている中、セキュリティ対策もまた迅速に進化する必要があるでしょう。しかし、企業がリソースを注ぐべき分野はますます増えており、状況にあったものを選ぶ必要があります。その中で、いったん設置すればリソースをほぼ要しないロジックベースWAFもまた、有効な選択肢となるでしょう。Clourbricはロジックベース検知エンジンを搭載しながらも、手軽に運用できるクラウド型WAFです。高レベルのセキュリティ技術と合理的な価格、そして利便性までを満たします。ぜひ無償トライアルでCloudbricをご体験ください。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

VPN thumbnail

VPN関連事故多発!企業の情報に迫る脅威と対策

by ブログ

2020年8月下旬、犯罪サイトに全世界900個以上の企業のVPN情報が流出されたというニュースが大きく報道されました。この中には38個の日本企業も含まれており、大きな衝撃を与えています。VPNは外部から企業の内部ネットワークに接続する用途で使われており、新型コロナウイルスの蔓延に従ってテレワークが拡大されるにつれ、その使用量を増しています。そしてテレワークの日常化が進んでいる今時、その必須的な手段と呼ばれるVPNがハッキングされたという事実は、かなりの意味を含んでいるのです。

 

多数の企業が被害を受けた、VPNによる新たな脅威が台頭

今回発生した大規模ハッキングは、米パルスセキュア社のVPNサービスを利用している企業をターゲットにした事件です。実は2019年、対象となったVPNに脆弱性が存在していることがすでに把握され、パルスセキュアにより修正用パッチを配布されました。また、2020年4月には、アメリカ政府及び関連機関も該当サービスを利用する企業に対しハッキングの脅威を警告し続けてきました。しかし、それから数か月しか過ぎてないにも関わらず、今回の事件が発生したのです。被害を受けた平田機工は、情報流出の原因を次のように明かしました。

VPNパスワード流出、原因は「テレワーク用に急きょ稼働させた旧VPN装置に脆弱性」 平田機工
2020年8月26日
4月から始めたテレワークの負荷分散のため旧VPNシステムを急きょ稼働させたところ、最近発見された脆弱性を突かれて、社員24人とVPNシステム管理用のユーザーIDとパスワードが抜き取られたという。社内ネットワークに侵入された形跡はなかったとしている。
同社は4月後半からテレワークを実施。その負荷に現VPNシステムでは対処しきれなくなったため急きょ、前年度に交換した旧VPNシステムを4月22日から稼働させて負荷を分散させた。
だが旧VPN装置には最近発見された脆弱性があり、社員24人とVPNシステム管理用のユーザーIDとパスワードが6月25日に抜き取られ、その後、ダークウェブ上で2週間アクセス可能になっていたという。
引用: ITmedia NEWS

在宅勤務が必要になったため、VPNを急に利用した結果、このような問題が発生したとのことです。幸い、大きな被害が発生してはないとのことですが、いつ被害が発生してもおかしくはない、という状況であることも確かです。例えば奪取されたVPNの認証情報が利用され、企業の内部ネットワークやサーバに無断侵入されるケースが考えられます。

このような状況を鑑みると、今回の事件の責任は適時に最新パッチを適用しなかった企業にあると言えます。しかし、VPNに存在するすべての脆弱性が発表され、対応パッチが配布されるわけではないため、今後もいくらでもVPNによる事故が発生しかねないという事です。

 

VPNによって発生する情報流出事故の原因と対策

今回の事件によって発覚した最も大きな問題は、「VPNさえ使えば安全だ」という思い込みです。VPNは外部から内部ネットワークに接続できるよう、ブラウザとサーバ間に暗号化されたトンネルを設け、そこからの通信のみを許容します。「ネットワークに境界線を作り、内部への侵入を防ぐための対策」だと言えますが、そのトンネルが安全だと断言できるのでしょうか。

三菱電機で起こった事件が代表的な反例です。機密情報や個人情報が流出し、大きな話題になりましたが、その始まりがVPNに対する攻撃だったのです。

三菱電機へのサイバー攻撃、VPN装置にハッキングか
2020年5月2日
三菱電機への大規模なサイバー攻撃で、不正アクセスの起点が「仮想プライベートネットワーク(VPN)」と呼ばれる通信機器へのハッキングだった可能性が高いことが複数の関係者への取材で分かった。ネットワークに侵入した中国系ハッカー集団「BlackTech(ブラックテック)」が、防衛に関する機密や個人情報を流出させたとされる。…
同社の複数の関係者によると、中国拠点のPCで外部との不審な通信がないか調べたところ、中国国内にあるデータセンターに設置されたVPN装置に不正アクセスの痕跡が見つかったという。装置は中国など海外の拠点と日本の拠点をネット回線を介して互いにつなげる役割がある。この装置へのハッキングが社内ネットワークへの侵入のきっかけだったとみている。
引用: 朝日新聞

ハッカーはVPN装置に対する攻撃を起点に社内ネットワークへ侵入し、大規模なサイバー攻撃を仕掛け、その結果情報が流出されました。つまり、「VPNさえ使えば安全だ」という前提がこれ以上有効ではないのです。

また、VPN自体が安全だと仮定しても、それを利用するデバイスが安全だとは言えません。テレワークの際に個人のPCが攻撃され、認証情報が奪取された場合を想定してみましょう。VPNは普通、IDとパスワードにより使用者の認証を行い、その後のチェックは行いません。よって、ハッカーが奪取した認証情報を利用し、疑われることなく企業の内部ネットワークに接続して情報を得ることができるでしょう。またVPNはデバイスに問題があるかどうかを検証しないため、マルウェア感染がデバイスから社内アプリケーションに拡大する恐れがあります。

このような状況を未然に防ぐには、ネットワークに境界線を作り侵入を防止するのではなく、社内ネットワークの中にも脅威が存在することを認識することが重要です。例えば、内部システムに接続された後にも、多要素認証等の手続きを経たユーザだけにデータの閲覧を許可するなどの対策が考えれるでしょう。侵入を入り口だけで防ぐのではなく、壁が突破される可能性を考慮して複数の防衛線を張り、ハッカーにさらなる負担をもたらすのです。「中にある情報の価値以上の対価を支払うようにして、諦めさせる」というセキュリティの基本ポリシーを常に頭の中に入れておきましょう。

 

さいごに

生き方や働き方が絶えなく変化するのに合わせ、セキュリティに対するアプローチも常に進化する必要があります。もちろんVPNも様々なメリットを持つセキュリティ対策ですが、その限界もまたはっきりしています。当たり前のように思っていた「VPNさえ使えば安全だ」という前提を覆し、内外に関わらず全体像を考えながらセキュリティ対策を取る必要があります。クラウドブリックはこのような状況を鑑み、「Remote Access Solution」をリリースしました。VPNと同じ用途で使用でき、「ハッキング防止」、「2要素認証」、「リアルタイムのモニタリング」という三つの矢で企業のセキュリティをサポートします。さらに詳しい情報は、リンク先からご確認ください。

Cloudbric RAS