コロナ禍の影響によるリモートワークの普及に伴い、企業ではデータの送受信を暗号化するVPN接続の導入が着実に浸透しつつある。この記事では、リモートワークを実施する際に注意すべきネットワークのセキュリティ、そしてVPN接続のメリットとリスク、加えてユーザーが講じるべき対策について解説していく。
高まるネットワークセキュリティにおけるリスク
リモートワークの導入に連動した働く環境の変化に対応するべく、企業内の情報システムやネットワーク環境にも大きな変更が生じている。例えば、社内システムへ従業員の自宅から接続するといった、これまでのオフィス勤務を前提とした運用では不都合が生じているからだ。
また、クラウドサービスを利用したり、ノートパソコンなどのモバイル機器の利用が基本となったりとIT環境をめぐる変化も大きい。これらのIT環境はセキュリティ対策が十分でないケースもあり、サイバー攻撃の対象として狙われるリスクが高い。事実、不正アクセスを試みようとする攻撃者も増加傾向にある。
リモートワークを実施する際には、情報セキュリティの観点から、以下のようなリスクに対して、特に注意が必要となる。
端末の紛失・盗難
モバイル機器をオフィス外に持ち出すため、紛失や盗難のリスクが高まる。パスワードを設定していなかったり、ハードディスクを暗号化していなかったりすると、機器に保存された機密情報が外部に漏えいしてしまうリスクがある。
通信データの盗聴
社内の情報をインターネット経由で送受信する機会が増えるため、通信を暗号化していない場合、通信内容を盗聴されるリスクがある。特に、公衆Wi-Fiを用いる際には注意が必要となる。
マルウェア、フィッシングメール
モバイル機器で利用しているセキュリティソフトが最新の状態になければ、マルウェアに感染するリスクが高まる。近年、マルウェアのダウンロードを促すスパムメールやフィッシング詐欺により、機密情報や金銭を詐取しようとするメールも増加傾向にある。
不正アクセス
複数のクラウドサービスを使うようになると、それだけ多くのログイン情報を管理しなければならなくなる。その際、パスワードを使い回したり、推測されやすい簡易的なものにしてしまったりすると、サービスへ不正にアクセスされ、重要な情報が漏えいするリスクが高まる。
上記からも、リモートワークに対応したセキュリティ対策を施さなければ、情報漏えいや機密情報の窃取といった被害が生じるリスクとなる。ひとたび問題が発生すると、業務に支障が出て、ビジネスに悪影響を及ぼしかねない。
VPN接続を活用したリモートワーク環境
リモートワークを実施する際には、社内のデータを送受信する機会が増えるため、ネットワークセキュリティを高める対策が重要だ。この対策の一つに、VPN(Virtual Private Network)接続の利用が挙げられる。VPNは「仮想的な専用線」とも呼ばれるもので、社外から社内ネットワークへの接続時に通信の暗号化を実現する。
通信を暗号化することによって、データの盗聴や改ざんといったリスクを軽減できる。また、VPN接続時にはユーザー認証が求められるため、社内のネットワークへ接続するのは許可されたユーザーのみに制限されるのもメリットと言えるだろう。
VPNを技術的な観点から見ると、SSL-VPNとIPsec-VPNと言う二つの手法に大別される。以下に、その概要を解説する。
SSL-VPN
SSL(Secure Sockets Layer)と呼ばれる、Webブラウザーに標準搭載されている暗号化技術にもとづいて通信を行う。専用ソフトウェアを用いる必要がなく、Webブラウザー経由で認証の手続きを簡単に行えるのがメリットだ。ノートパソコンなどのモバイル機器を用いる場合など、異なるデバイスから並行して接続する場合でも、Webブラウザーがあれば利用できるため、リモートワークにおいて採用される場合が多い。
IPsec-VPN
IPsec(Security Architecture for Internet Protocol)と呼ばれるプロトコルを用いる方式を指す。特定の拠点間を接続する場合に採用されることが多く、高速で通信できるのがメリットとされる。一方で、専用のソフトウェアを導入する必要があり、SSL-VPNと比較すると導入や運用管理に要する手間がやや高くなる。
VPN接続に必要な機器で見つかった脆弱性
ネットワークセキュリティを向上するための手段としてVPNを介した暗号化通信が増加している一方で、皮肉なことにも、そのVPN接続自体がサイバー攻撃の標的となるケースがあった。
米国のCISA(Cybersecurity and Infrastructure Security Agency)、NSA(National Security Agency )、FBI(Federal Bureau of Investigation :連邦捜査局)の発表によると、ロシアのSVR(対外情報庁)から受けたサイバー攻撃の中に、VPN周辺機器の脆弱性を狙ったものが含まれていたと報告されている。具体的には、以下の脆弱性が確認された。
デバイス管理・アクセス制御を行う製品
デバイス管理やID管理を行う製品のVPN接続に関する機能において脆弱性が発覚した。入力を受け付けるアプリケーションを介して、サーバー上でコマンドを不正に実行させる「コマンドインジェクション」という手法だった。攻撃者がOSレベルのコマンドを実行できるようになるため、情報漏えいやマルウェア感染につながるリスクがある。
ネットワークの最適化を行う製品
SSL-VPN接続の設定等の機能を持ったゲートウェイ機器に脆弱性が見つかった事例もある。この脆弱性が悪用された場合、ゲートウェイ機器上で任意のコードが実行され、データの改ざんや情報漏えいのリスクが高まる。
リモートアクセスのための製品
ネットワークソリューションを手掛ける企業において、リモートアクセスの機能を提供する製品に脆弱性が見つかった。この脆弱性を悪用すると、遠隔操作によって認証を迂回できてしまう。悪意のある攻撃者が不正にアクセスし、任意のファイルが実行可能となる。
ファイアウォール製品
UTM(Unified Threat Management:統合脅威管理)を手掛ける世界的企業において、次世代ファイアウォール製品で、当該製品から任意のファイルを読み込み可能になる脆弱性が報告された。
上記のように、VPN関連機器の脆弱性が悪用されると、サーバーの乗っ取りや情報漏えい、マルウェアの拡散につながる恐れがある。また、標的型攻撃やランサムウェアに悪用されるリスクもある。
他にも、VPN接続に用いるログイン情報が流出したというケースが報じられている。ログイン情報を入手した悪意のある攻撃者は、社内システムへ不正にアクセスできてしまう。ユーザーとしては、ネットワークセキュリティにおいて、常に脆弱性が発生し得ることを前提として、対策を講じるのが望ましいと言える。
リモートワーク時のセキュリティ対策
どんなに通信経路のセキュリティを高めても、リモート接続を行うノートパソコンやスマートフォンで対策が講じられていなければ意味がない。VPNに関連する機器を安全に用いるため、以下のような対策が推奨される。
ウイルス対策やパーソナルファイアウォールの導入
業務に用いる機器には必ずウイルス対策のためにセキュリティソフトを導入し、パーソナルファイアウォールを有効にするようにしたい。また、常にソフトウェアを最新の状態にしておき、未知のサイバー攻撃にも備えるようにしておくこと。
接続するネットワークのセキュリティ確保
自宅の回線からネットワークに接続する場合、ルーターに最新のファームウェアを適用するようにしたい。また、公衆Wi-Fiの利用は極力避け、接続する際には必ずVPN経由で接続すること。
社内システムにアクセスするID・パスワードを適切に管理
パスワードは複数のシステムで使い回しをせず、推測されにくい文字列の組み合わせで、一定以上の長さのものを用いる。また、パスワードを他人と共有することは避けること。
マルウェア感染時など、緊急時にはシステム管理者への速やかな報告
情報システム部門にパソコンを持ち込んでヘルプを要請できるオフィスでの業務とは異なり、在宅で行うリモートワークではそういった対応は難しい。万が一マルウェアに感染した場合は、拡散防止のためにネットワークから遮断する必要がある。ネットワークへの接続ができない場合に備え、緊急連絡先はすぐに参照できるようにしておき、緊急時には速やかに報告すること。
サーバー周辺機器のソフトウェアは最新状態を維持
先述のとおり、サーバー周辺機器はサイバー攻撃の対象になりやすい。構成する機器のファームウェアやソフトウェアを最新状態に維持し、発見された脆弱性については、直ちに対応できるよう運用を徹底すること。
IT管理部門が社内システムの堅牢性をどれだけ高められたと考えていても、ユーザー側のセキュリティ意識が低ければ、そうした意識こそが脆弱性となりかねない。技術的な対策と並行して、セキュリティルールの策定・遵守、セキュリティ教育なども実施していくことが望ましいと言える。今後もネットワーク・通信に関わるサイバー攻撃は高度化・巧妙化していくと見込まれているため、十分なセキュリティ対策を講じるようにしたい。