3 時間で学ぶ テレワーク セキュリティ ~ ゼロトラストも紹介|研修コースに参加してみた
今回参加したコースは 3 時間で学ぶ テレワーク セキュリティ です。
コロナ禍で、すっかりテレワークが普及しました。ワクチン接種も進み、リベンジ消費が盛り上がるなど、経済活動にようやく再開の兆しが見られます。オフィスへの出社も増えつつありますが、今後もテレワークは残るでしょう。
その一方で、そうしたテレワークを狙ったセキュリティインシデントも発生しています。特に、急遽始まったこともあって、技術や組織としてのセキュリティ対策が不十分な場合があります。
このコースでは、そのテレワークのセキュリティ上の問題とその対策を 3 時間でザッと解説しました。いま大注目の「ゼロトラスト」についても紹介いただいたのですが … 、これはなかなか一筋縄で実現が難しいと感じました。やっぱり銀の弾丸は無いんですね。
では、どのような内容だったのか、レポートします!
もくじ
コース情報
| 想定している受講者 | セキュリティに関する基礎知識があることが望ましい |
|---|---|
| 受講目標 | テレワークにおけるセキュリティのポイントを理解する |
講師紹介
このコースの講師は、「Web セキュリティを体系的に学ぶ ~原理原則と攻撃方法と対策~」でも登壇された 村上 博 さんです。
「現場の実例で受講者の脳を刺激する」
開発者向けではなく、システム管理者向けのセキュリティマネジメントで多くご登壇されています。
テレワークの危険性
まずはテレワークにどのような危険があるのか学びます。
まず総務省が「テレワークセキュリティガイドライン」を公開しているので、これが参考になると紹介いただきました。
前提として情報資産を危険から守るとき、セキュリティ 3 要素を担保することが求められています。
- 機密性
- 本人だけが情報資産を利用できること
- 完全性
- 処理方法やデータが間違いないこと
- 可用性
- いつでも情報資産を利用できること
テレワークではオフィスに比べ、セキュリティ 3 要素を守るのが難しくなります。オフィスはセキュリティが高いのに対し、自宅までオフィスで組んだセキュリティを持ち込むのは難しいからです。
特に問題になるのが、テレワーク端末のセキュリティです。具体的には次のような危険が考えられます。
- マルウェア感染・情報漏えい
- 物理的な紛失、盗難
- オフィスのセキュリティ外にあるため
- 情報の盗聴
- 家庭やホテルなど脆弱性の高いネットワークへの接続、混在利用が可能 ( 特に公衆無線 LAN [ 無料 Wi-Fi ] 等)
- 不正アクセス
テレワーク端末 の問題
テレワーク関連では BYOD ( Bring Your Own Device ) の問題が持ち上がりがちです。
- BYOD とは
- 従業者などが個人所有のPCやスマートフォンなどのモバイル端末を業務に用いること
この BYOD を含め、テレワークで使う端末 (スマートフォンなどを含む。以降、テレワーク端末と呼びます) の危険性には以下のようなものが挙がります。
- 情報漏えい
- 私用 PC は企業・組織上のセキュリティ管理が難しい
- 私用 PC は管理者権限も個人側なのでさまざまな操作が可能
- 例:アプリケーション追加、アクセス権限許可など
- 紛失や盗難、あるいは不正操作
- テレワーク端末に保存したデータから情報漏えいする危険性がある
- テレワーク端末を不正操作されて情報漏えいする危険性もある
- マルウェア感染などからコンピュータを不正操作されて情報が持ち出される危険性
- 無線 LAN での盗聴など
- 特に公衆無線 LAN ( 無料 Wi-Fi ) を悪用する悪魔の双子攻撃などのサイバー攻撃手法が存在する
- SSID などを公衆無線 LAN の名前に偽装したアクセスポイントを構築
- 利用者に対し、盗聴や偽装サイトへの誘導などを行う
- 特に公衆無線 LAN ( 無料 Wi-Fi ) を悪用する悪魔の双子攻撃などのサイバー攻撃手法が存在する
実際に BYOD の端末も攻撃の対象になったのは記憶に新しいところですね。
テレワーク端末 の対策
BYOD を含め、テレワーク端末の危険性に対するセキュリティ対策には次のようなものがあります。
- 盗難・紛失対策
- シンクライアント
- 端末側にデータ保存させない機能
- コストや管理が大変
- リモートロック
- 端末を遠隔操作で動作不能にする機能
- リモートワイプ
- 端末を遠隔操作でデータ消去する機能
- シンクライアント
- MDM ( Mobile Device Management モバイルデバイス管理)
- 私用 PC にデータを保存させない
- または、テレワーク専用のデータの保護領域 = コンテナを作る
- テレワーク端末の利用ルールを作る
- 権限管理やルール化(文書化)が必要
- OS のアップデート / アンチウイルスソフトの導入・更新の徹底
- Jailbreak ( iOS ) や root 化 ( Android ) の禁止 (セキュリティが低下するため)
- データ保存場所やデータ廃棄の方法
- のぞき見防止フィルム導入
- テレワーク端末利用の教育、研修も重要
- インターネット接続環境( Web アクセス、電子メール)に対するセキュリティ (必須)
- 対策例
- テレワーク端末に電子メールを保存する POP3 ではテレワーク端末の不備や脆弱性によりサイバー攻撃の危険性がある
- メール保存をサーバ側で行う IMAP4 を用いる
- 対策例
- 適切な暗号化通信
- 対策例
- VPN ( 暗号化 ) モジュールの利用
- 端末とイントラネット間の暗号化
- 対策例
wfh ( work from fome) のように自宅から業務を行う場合、ネットワークなどは自宅に依存しがちです。思い切ってテレワーク手当を出して、自宅の環境整備に充てることを推奨することも対策に入りそうです。
テレワーク方式 ~テレワークを実現する技術
ここからテレワークに必要な技術について取り上げます。
冒頭に紹介されたテレワークガイドラインでテレワーク方式 (システム構成) として 7 つが挙げられていますが、ここでは 4 つに注目します。
- PC 持ち帰り方式
- “PC 持ち帰り方式” はテレワークガイドライン 第 5 版で VPN 方式とスタンドアロン方式に分割
- リモートデスクトップ方式
- 仮想デスクトップ方式
- アプリケーションラッピング方式
- テレワークガイドライン 第 5 版ではセキュアコンテナ方式に名称を変更
PC 持ち帰り方式 ( VPN 方式)
PC 持ち帰り方式とは次のようなものです。
- オフィスの PC を自宅に持ち帰って自宅で使う
- コロナの暫定措置でやるところが多かった
- オフィスのネットワークには VPN で接続
- 大切なデータが入っているので危ない
- プラス面
- 導入費用が少ない
- すぐに実施可能
- マイナス面
- 環境設定の変更が必要
- 会社 PC の盗難、紛失、物理故障の危険性
- 会社 PC の不正利用の危険性
- ログインパスワードがあっても HDD や SSD の抜き取りに加え、 BIOS から起動すると情報漏えいする
リモートデスクトップ方式と仮想デスクトップ方式
- リモートデスクトップ方式
- 組織内に設置されている端末のデスクトップ環境に対してテレワーク端末から遠隔操作により操作する方式
- Windows にもリモートデスクトップ機能が入っている
- テレワーク端末にデータを保存させないシンクライアントシステムが可能
- 仮想デスクトップ方式
- 組織のサーバ上に構築された仮想デスクトップ基盤( VDI: Virtual Desktop Infrastructure )にテレワーク端末からログインする方法
- サーバ側で一元管理が可能
- 接続対象のユーザ端末を個別に利用する必要もない
両者は似ていますが、次のような違いがあります。
- リモートデスクトップ方式
- プラス面
- Windows の機能で可能
- マイナス面
- 接続先の PC 端末の電源 ON が必要
- 遠隔操作型マルウェアの感染や ID とパスワードの漏洩による不正アクセスの危険性
- プラス面
- 仮想デスクトップ方式
- プラス面
- 仮想環境の一元管理、セキュリティ管理が強化可能
- 作業領域、記録領域を分離、アクセス制御
- シンクライアント構築が可能(テレワーク端末内にデータ保存させない)
- マイナス面
- VDI サーバの管理負担やコストが発生する
- 仮想環境のサーバ構築が必要
- 仮想サーバへのリモートログインのため、処理負荷が高い
- プラス面
仮想デスクトップ方式では今年の夏に発表された Microsoft の Windows 365 Cloud PC が注目されましたね。ブラウザからクラウド上にある仮想デスクトップにアクセスできるということで、ブラウザとネットワークさえあれば端末を問わず、セキュアに作業できるところが評価されています。
「Windows 365 Cloud PC」が正式サービス開始。月額定額制で2vCPU/8GBメモリが5570円など - Publickey
アプリケーションラッピング方式 (セキュアコンテナ方式)
- アプリケーションラッピング方式 (セキュアコンテナ)
- テレワーク端末上に通常利用の「ローカル環境」と「セキュアコンテナ」を分離する
- 安全な「セキュアコンテナ」を作業領域としてアクセスする方式
- 主にソフトウェアのコンテナ技術を用いる
この方式は、リモートデスクトップ方式や仮想デスクトップ方式と次のような違いがあります。
- テレワーク端末内にコンテナ技術を用いてローカル環境とセキュアコンテナを分離
- セキュアコンテナはアクセス制御可能
- VDI サーバが不要なので安価にできる
- プラス面
- セキュアコンテナを制御可能
- 例:ファイル、レジストリ、コピー&ペースト、ネットワークアクセス(仮想 IP を使う)
- シンクライアント構築が可能
- テレワーク端末 PC 内にデータ保存させない
- 仮想化サーバ構築が不要
- 仮想デスクトップより安価に構築できる(管理用サーバが必要な場合もある)
- セキュアコンテナを制御可能
- マイナス面
- テレワーク端末側にコンテナ環境構築が必要
- 特定のアプリケーションしか使えない
- コンテナ内の不正アクセスや解析の危険性
ゼロトラストで VPN の問題を解決
PC 持ち帰り方式などでは VPN でオフィスのネットワークに接続していましたが、問題もあります。
- VPN の問題
- ブラウザのマルウェア感染
- プッシュ通知 API を使った不正広告 (罠サイトへの誘導がある)
- SSL-VPN を使った Pulse Connect Secure 社製品でも脆弱性が発生した
- 認証を取られるほど危険だった
- ブラウザのマルウェア感染
なにより VPN ではセキュリティと別の問題で、パフォーマンスが出にくい、という問題が大きいですよね。
ゼロトラストとは
そこで注目されているのが「ゼロトラスト」です。
- 意味:信頼はゼロ(信頼できない)
- 組織内、あるいは安全だとされたネットワークを信頼しない (ex. LAN 内でも信頼しない)
- 2020 年にガイドラインとなる NIST SP-800-207 が公開された
- 「本質的に信頼できるリスース、資産はない」
- WHY? サイバー攻撃リスク範囲は全ネットワーク
- WHERE? 内部、ファイアウォール内などネットワークの場所に関係なく、すべての通信を信頼しない
- HOW? セッションごとにアクセス可否認定。最小権限による認証と管理
- 「本質的に信頼できるリスース、資産はない」
ゼロトラストの構成
NIST SP-800-207 でまとめられているゼロトラストの理論的な構成を紹介いただきました。
- PDP( the policy decision point ):ポリシー実施ポイント
- ユーザからのアクセス要求を PE (Policy Engine) が検証しポリシーを適用
- PE からの検証結果をもとに PA (Policy administrator) が適切なアクセス権を付与
- PEP (Policy Enforcement Point) が PA に基づきアクセス制御を行う
これをネットワークのどこだろうが、実施するという理論です。
アプリケーションにおけるユーザ認証のようなものに見えますね。ただ、一番の違いは、今まで LAN 内であれば認証無しで使えた社内システム (ファイル) にもこの認証を適用させる、ということです。これは大変です … 。
あの Google でも ゼロトラストの実現に 10 年かかった理由もわかりますね。
ゼロトラストのキーポイント
- Enclave-based Deployment / Enclave Gateway Model
- テレワーク端末でもゼロトラストを行う
- 認証ゲートウェイがリモートにもある
- Device Application Sandboxing
- 初めて使用する、もしくは不明なアプリケーションは PEP の許可のあと、セキュアコンテナ内で実行
- ZTA(using Micro-Segmentation)
- 現在の最小単位であるセッション単位で認証を行う
- ID 管理
- 従来の社内認証だけでなく SaaS など外部サービス利用時の認証も行う
- ネットワーク内の アクセス情報収集、監視、測定
村上さんからは ISMS などの認証を取得していると、既に実施済みのポイントもあるとのことでしたが、 ID 管理一つとっても従来の AD などでは SaaS まではカバーしきれないので、なかなか大変なところです。
最後におっしゃっていた「 “ゼロトラスト入れたら、一発 OK!” という世界ではない」、ということが身にしみます。ゼロトラストの実現は長期で計画を立てて進めることが必要ですね。
このゼロトラストの説明を終え、コースは修了しました。
まとめ
急速に普及したテレワークにおけるセキュリティ上の問題と対策を 3 時間で学びました。
急速に普及したために、セキュリティ上の事件も事故も非常に多かった一方で、対抗する技術とノウハウも急速に発表されています。コース内に紹介のあった「テレワークガイドライン」も 2021 年 5 月に改定されています。また、このコースの最後で紹介された「ゼロトラスト」についても、 IPA が異例のスピードで導入指南書をまとめるなど、アップデートが進んでいます。
このコースはそういった動きをキャッチアップするのに、 3 時間でザッと学べて、今後の足がかりを考えられるものでした!
label SEカレッジを詳しく知りたいという方はこちらから !!
IT専門の定額制研修 月額28,000円 ~/ 1社 で IT研修 制度を導入できます。
年間 670 コースをほぼ毎日開催中!!
SEプラスにしかないコンテンツや、研修サービスの運営情報を発信しています。