分散した企業を長期的に保護
リモートワーカーのための短期的なセキュリティ対策からの脱却
新型コロナウイルス感染症パンデミックの影響で、企業は分散した従業員のセキュリティを改善せざるを得なくなりました。セキュリティ強化策として、二要素認証とVPNなどのリモートアクセスツールが多く採用されています。
そうした改善策により組織のセキュリティ体制を強化することはできますが、それだけではリモートワーカー保護戦略として不十分です。パンデミックのプレッシャーとリソースの制約がある中、ITチームとセキュリティチームは、リモートワーカーをハイブリッドクラウド環境、SaaSアプリケーション、インターネット経由でセルフホスト型アプリケーションに接続するための長期的戦略を構築しようにも、そのための時間と予算が不足しがちでした。そのため、組織は可能な範囲で投資と変更を行いました。
残念なことに、短期的な修正が可視性とセキュリティのギャップを生み出し、リモートワーカーのコンピューターやクラウドソリューションがサイバー攻撃者の格好の標的になってしまいました。
ここでは、パンデミック下で企業が実装した最も一般的な5つの「一時しのぎ」ソリューションと、それらに関連する長期的影響を説明します。その後、これらのソリューションの代わりに、長期的により効果のある労働力セキュリティ戦略を採用する方法についてお話します。
リモートワーカーのための一般的な「一時しのぎ」ソリューション:
1. VPN使用の拡大
パンデミックが始まった時、多くの組織は仮想プライベートネットワーク(VPN)接続を使用して、リモートワーク中の従業員が企業ネットワークに安全にアクセスできるようにしました。
VPNは効果的なリモートアクセスソリューションになり得ますが、元々、少数システムによる定期的で短期間の接続という特定のユースケースを想定して設計されています。VPNには次のようないくつかの制約があるため、すべてのリモートワーカーが常時使用するのには適していません。
パフォーマンスの低下:VPNインフラストラクチャは、通常、組織の従業員のごく一部を対象に設計されており、ユーザー数の増加と共に、その負荷も増加します。つまり、リモートワーカーのアクセスニーズにより、組織のVPNとセキュリティインフラストラクチャが過負荷になり、パフォーマンスの低下やクラッシュにつながる可能性があります。
セッションタイムアウト:VPNセッションタイムアウトは、必要なセキュリティ機能です。ただし、VPNを企業ネットワークアクセスのプライマリソースとして使用するリモートワーカーには不便です。
アクセス制御:VPNには内蔵型のアクセス制御がないため、ロール(役割)に関係なく企業ネットワークへのフルアクセスをユーザーに付与します。ファイアウォールも役には立ちますが、多くはIPベースのルールを使用していて、高レベルのデバイスモビリティやIPを常に変更するクラウドアプリではうまく機能しません。次世代のファイアウォールはユーザーベースのアクセス制御を提供する可能性がありますが、通常は、さまざまなIDプロバイダーを同時に操作できる柔軟性は持ち合わせていません。また、クラウドベースのIDプロバイダーとの統合が困難になることもあります。
ID管理の欠如:VPNは、2 つのポイント間の暗号化された接続を提供することのみを目的としています。VPN接続が承認されたデバイスからのものであることを確認するには、パブリックキーインフラストラクチャなどの追加のソリューションが必要です。
可視性の欠如:多くの組織のVPNは、レイヤー7プロキシを終端としていません。これは、接続内の特定のユーザーインタラクションを可視化できないこと、つまり、大きなギャップがあることを意味します。
VPNは、リモートワークの従業員をサポートするための一時的なソリューションにすぎません。テレワークの拡大に伴い、追加のVPNアプライアンスの容量と冗長性に投資する組織には、制約を緩和しセキュリティ上の問題を軽減するための対策が必要です。
2. スプリットトンネルVPN
前述のように、VPNの使用量が急増すると、VPNサーバーに負荷がかかり、エンドユーザーにネットワーク遅延が発生することもあります。このため、一部の組織では、ネットワークバウンドトラフィックがVPNを介して安全にルーティングされ、インターネットバウンドトラフィックが宛先に直接送信されるスプリットトンネリングアプローチを採用しています。
スプリットトンネルVPNでは遅延を減らすことはできますが、セキュリティが犠牲になります。具体的には、リモートワーカーのコンピューターからインターネットへのトラフィックの可視性が失われてしまいます。これにより、それらのデバイスが検出漏れしたマルウェアに感染したり、リモートユーザーのコンピュータ上の機密データが盗まれてしまう可能性があります。
さらに、スプリットトンネリングVPNトラフィックを使用すると、リモートデバイスが境界ベースの防御によって保護されなくなり、フィッシング攻撃やパッチが適用されていないソフトウェアの悪用により、安全性が損なわれるリスクが高まります。リモートデバイスの安全性が損なわれ、VPN接続が有効になっている場合、攻撃者が企業ネットワーク内のシステムにアクセスできるようになります。また、ユーザーがSaaSアプリケーションに直接ログインすると、侵害されたリモートデバイスがWebブラウザ内でキャッシュされたデータを漏えいしようとする可能性もあります。
3. リモートアクセスとセキュリティの分離
以前は、組織のインフラストラクチャはすべてオンプレミスに配置されていたため、セキュリティもそこにデプロイされていました。クラウドコンピューティング、SaaS アプリケーション、およびリモートワークの増加に伴い、このモデルも変化しています。
リモートアクセスとセキュリティを向上させるために、アプリケーションとデータのクラウドへの移行を進めた組織もあります。ただし、このような動きは、多くの場合、同期されていません。よくある誤りは次の2つです:
セキュアWebゲートウェイプロキシの制御をクラウドに移行する。クラウドアプリケーションセキュリティブローカー(CASB)ソリューションを介して承認アプリのみに焦点を当てる場合もあるが、リモートアクセスVPNは保持。
セキュアWebゲートウェイ(もしくはファイアウォール全体)をクラウドに同時に移行することなく、リモートアクセスをクラウドに移行する(VPNのようなクライアントの有無にかかわらず)。
リモートアクセスとセキュリティ機能を分離すると、ネットワークのパフォーマンスかセキュリティのいずれかが損なわれることになります。リモートアクセスクライアント経由のトラフィックはセキュリティ検査を受けないことがあり、その結果、リモートワーカーはフィッシングや悪意のあるWebサイトに対して脆弱になります。逆に、トラフィックが組織のセキュリティスタックがある場所にバックホールされてしまう場合があります。この場合は、セキュリティのために、従業員の生産性とアプリケーションのパフォーマンスが損なわれます。
4. リモートエンドポイントの更新
パンデミック初期に散見された状況として、リモートワークの従業員に個人デバイスでの作業を許したことにより、プライバシーとセキュリティの潜在的問題がいくつか生じました。個人デバイスでは、企業のセキュリティポリシーの適用やエンドポイントセキュリティソリューションの使用が難しく、そのため、多くの組織はリモートワーカーに会社からコンピューターを支給することを選びました。会社支給のコンピューターには、すでにセキュリティソフトウェアがインストールされており、企業ポリシーに準拠するように設定されていることもあります。
ただ、リモートワーカーにノートパソコンを支給しても、テレワークのセキュリティ上の課題の一部しか解決できません。組織には、これらのリモートデバイスにポリシーとソフトウェアの更新を配布するためのインフラストラクチャとポリシーも必要です。企業は一般的にソフトウェア更新の適用に時間がかかり、従来、リモートデバイスはオンサイトにあるものよりもパッチの受信が遅くなります。ソフトウェア更新をリモートワーカーにプッシュするインフラストラクチャが整備されていないと、リモートワーカーに対する攻撃ベクトルが発生してしまいます。
5. スタンドアロン型のセキュリティソリューション
リモートワークへの移行により、組織には新たにセキュリティと監視の課題が生じます。これらの課題に対処するため、セキュリティチームは、多くの場合、クラス最高のさまざまなプロバイダーから、特定のユースケースに対処可能なセキュリティツールを探し出し、導入してきました。たとえば、リモートアクセスを保護するためのZero Trustネットワークアクセス(ZTNA)、SaaSアクセスを保護するためのCASB、インターネットアクセスを保護するためのクラウドセキュアWebゲートウェイ(DNSおよびファイアウォール機能付き)などです。
その結果、スタンドアローン型の個別セキュリティツールがたくさんあってオーバーラップしている状態になっています。たいていのセキュリティチームが経験するアラートの洪水はますます膨れ上がり、さまざまなツールの機能の境目にセキュリティと可視性のギャップが生じています。こうした可視性のギャップを利用して攻撃者が侵入し、企業のシステムにアクセスします。
長期的にセキュアなリモートワークインフラストラクチャの構築
組織が上記の短期的ソリューションの1つ以上に依存している場合、その結果として生じるセキュリティと可視性のギャップを埋めることができれば、長期的な戦略がより持続可能で効果的なものになります。
まず、次の5つの推奨事項を検討してください。
リモートアクセスセキュリティサービスをクラウドに移行する
セキュアなリモートアクセスサービスにより、すべてのビジネストラフィックが転送中に暗号化され、可視性が保たれ、企業側がセキュリティ検査とポリシー適用を実行できるようになります。しかし、アプリケーションがクラウドに移行するにつれて、ハードウェアVPNやファイアウォールなどのオンプレミスのリモートアクセスソリューションでは、アプリケーションのパフォーマンスが低下してしまう可能性があります。
リモートアクセスソリューションがアプリケーションとともにクラウド内で動作する場合、トラフィックを検査のために社内LANへバックホールする必要がなくなります。これにより、リモートユーザーのトラフィックのパフォーマンスと遅延が改善され、クラウドベースのソリューションは、従来のアプライアンスベースのソリューションよりも優れた柔軟性と拡張性を提供できるようになります。
VPNの使用を止める
VPNは、古い境界ベースのセキュリティモデル向けに設計されたリモートアクセステクノロジーです。認証済みユーザーには企業リソースへの完全なアクセスが提供されますが、これは最小権限とZero Trustセキュリティの原則に反します。Zero Trustポリシー下では、特定リソースへのユーザーアクセスは、ケースバイケースで認められます。
VPNをクラウドに移行して最新化を試みた企業もあり、VPNインフラストラクチャを社内LAN上に集中させることの問題は確かに解消されています。しかし、このアプローチでは、VPNが分散化した現代の企業を想定して設計されていないというより大きな問題を解決することはできません。そこで、VPNに代えて、Zero Trustセキュリティモデルをネイティブにサポートするソリューションを導入する必要があります。
内部アプリやSaaSアプリへのアクセスにZero Trustセキュリティを導入する
内部アプリケーションをホストするためのクラウドの使用が普及するにつれ、攻撃対象領域も拡大しています。リモートワーカーやインターネット全体に公開されているアプリケーションの一つ一つが、新たな潜在的攻撃ベクトルになります。
リスクを最小限に抑えるには、アプリケーションアクセスにZero Trustポリシーを適用する必要があります。認証されたユーザーに組織の環境とアプリケーションへのフルアクセスを認める代わりに、アクセスの許可はアクセス制御ポリシーで定め、ケースバイケースで認めるべきです。
そうするには、組織のネットワーク全体にアクセス制御を適用できなくてはなりません。これには、大規模なグローバルネットワークを使用して、セルフホスト型アプリケーションとSaaSクラウドアプリケーションの両方にアクセス制御を適用する機能が必要です。
アプリケーションとインターネットアクセスの両方にZero Trustブラウジングを実装する
リモートワーカーのデバイスは、オンプレミスのデバイスより安全性が低い傾向があります。従来、リモートデバイスはパッチの適用に時間がかかり、個人デバイスを使用するリモートワーカーの保護は、企業VPNを経由する接続を対象とした企業セキュリティソリューションのみという場合があります。その結果、リモートワーカーがブラウザの脆弱性悪用その他のサイバー脅威にさらされるリスクが高くなります。
Zero Trustブラウジングは、クラウドベースのブラウザ分離を実装することで、サイバーリスクを軽減します。Webページに埋め込まれたスクリプトを、ユーザーのデバイス上ではなく、一回限りの削除可能なブラウザインスタンスで実行します。
クラウドベースのソリューションは、ユーザーのためにサイトをブラウジングし、ページのレプリカをユーザーに配信します。このレプリカは、高いパフォーマンスとセキュリティの両方を提供できるように(つまり、遅延を追加したり、サイトを壊したり、潜在的に悪意のあるコードを侵入させたりしないように)構築される必要があります。Zero Trustブラウジングは、データ漏えいの試みやその他のサイバー攻撃を識別してブロックするために必要な可視性と制御を提供します。
Zero Trustでリモートワーカーを守る
組織のネットワークが複雑化し、攻撃対象領域が拡大しているため、セキュリティチームは組織を保護できるようなソリューションを必要としています。極めて高性能なZero Trustアプリケーションアクセスとインターネットブラウジングのソリューション、Cloudflare Zero Trustは、リモートワーカーのための長期的セキュリティソリューションであり、次のような機能によってデータ損失、マルウェア、フィッシングを阻止します。
Zero Trustアプリケーションアクセス:Cloudflare Accessは、SaaSアプリやセルフホストアプリにZero Trustアプリケーションアクセスを提供し、セキュリティ検査とポリシー適用のために、すべてのインバウンドトラフィックをCloudflareグローバルエッジネットワーク経由でルーティングします。
セキュアWebブラウジング:Cloudflare GatewayとCloudflare Browser Isolationを利用すると、フィッシング、マルウェア、その他のブラウザベースの攻撃を検出してブロックし、すべてのブラウジングアクティビティにZero Trustルールを適用する機能を備えた安全なブラウジングをチームに提供します。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
記事の要点
この記事を読めば、以下が理解できます。
世界的なパンデミック時に実施された短期的な5つの最も一般的な解決策
それらの応急処置の結果発生した長期的問題
セキュアなリモートワークインフラを構築するための5つの推奨事項