分散した企業を長期的に保護する

リモートワークのためのセキュリティに関する短期的な修正からの脱却

新型コロナウイルス感染症パンデミックによる影響で、企業は分散した従業員のセキュリティを改善せざるを得なくなりました。セキュリティ強化の例として、二要素認証VPNなどのリモートアクセスツールが多く採用されるようになっています。

このような改善策により、組織のセキュリティ体制を強化することができますが、これだけではリモートワーク中の従業員を守ることはできません。パンデミックのプレッシャーと限られたリソースの中で、ITチームとセキュリティチームには、ハイブリッドクラウド環境、SaaSアプリケーション、インターネット全体でリモートワーカーをセルフホスト型アプリケーションに接続するために、長期的な戦略を構築する必要があり、そのための時間や予算が不足していることがよくあります。このため、組織は可能な範囲で投資と変更を施しました。

残念なことに、短期的な修正が可視性とセキュリティの溝を生み出し、リモートワーカーのコンピューターやクラウドソリューションがサイバー攻撃者を惹きつける格好の標的となってしまいました。

ここでは、コロナ渦で企業が実装した、もっとも一般的な5つの「一時しのぎ」のソリューションと、これに関連する長期的な影響を紹介します。その後、これらのソリューションの代わりに、長期的により効果のある労働力セキュリティ戦略を採用する方法についてお話します。

リモートワークでよくある「一時しのぎ」のソリューション:

1. VPN使用の拡大

新型コロナ感染症のパンデミックが始まった時、多くの組織は仮想プライベートネットワーク(VPN)接続を使用して、リモートワーク中の従業員が企業ネットワークに安全にアクセスできるようにしました。

VPNは効果的なリモートアクセスソリューションになり得ますが、元々、少数のシステムによる断続的で短期間な接続といった、特定のユースケースを想定して設計されたものです。VPNには次のようないくつかの制限があるため、すべての従業員がリモートで作業することを前提とした使用条件には適していません。

VPNは、リモートワークの従業員をサポートするための一時的なソリューションにすぎません。テレワークの拡大に伴い、追加のVPNアプライアンスの容量と冗長性に投資する組織には、制限とセキュリティ上の課題を軽減するための対策が必要です。

2. スプリットトンネルVPN

前述のように、VPNの使用量が急増すると、VPNサーバーに負荷がかかり、エンドユーザーにネットワーク遅延が発生することもあります。このため、一部の組織では、ネットワークバウンドトラフィックがVPNを介して安全にルーティングされ、インターネットバウンドトラフィックが宛先に直接送信されるスプリットトンネリングアプローチを採用しています。

スプリットトンネルVPNでは遅延を減らすことはできますが、その引き換えにセキュリティが犠牲になります。具体的には、リモートワーカーのコンピューターから、インターネットバウンドトラフィックに対する組織の可視性が失われてしまいます。これにより、これらのデバイスが検出されずにマルウェアに感染したり、リモートユーザーのコンピュータ上の機密データが盗まれてしまう可能性があります。

さらに、スプリットトンネリングVPNトラフィックを使用すると、リモートデバイスが境界ベースの防御によって保護されなくなり、フィッシング攻撃やパッチが適用されていないソフトウェアの悪用により、安全性が損なわれるリスクが高まります。リモートデバイスの安全性が損なわれ、VPN接続が有効になっている場合、攻撃者が企業ネットワーク内のシステムにアクセスできるようになります。また、ユーザーがSaaSアプリケーションに直接ログインすると、侵害を受けたリモートデバイスがWebブラウザ内でキャッシュされたデータを漏えいしようとする可能性もあります。

3. リモートアクセスとセキュリティの分離

以前は、組織のインフラストラクチャはすべてオンプレミスに配置されていたため、セキュリティもそこにデプロイされていました。クラウドコンピューティング、SaaS アプリケーション、およびリモートワークの増加に伴い、このモデルも変化しています。

リモートアクセスとセキュリティを向上させるために、アプリケーションとデータのクラウドへの移行を進めた組織もあります。ただし、このような動きは、多くの場合、同期されていません。よくある誤りは次の2つです:

リモートアクセスとセキュリティ機能を分離すると、組織はネットワークのパフォーマンスまたはセキュリティのいずれかを損なうことになります。リモートアクセスクライアント経由のトラフィックはセキュリティ検査を受けないことがあり、その結果、リモートワーカーはフィッシングや悪意のあるWebサイトに対して脆弱になります。または、トラフィックが組織のセキュリティスタックがある場所にバックホールされてしまう場合があります。これにより、セキュリティのために、従業員の生産性とアプリケーションのパフォーマンスが損なわれてしまいます。

4. リモートエンドポイントの更新

パンデミック初期に散見された状況として、リモートワークの従業員に個人デバイスでの作業を許したことにより、いくつかの潜在的なプライバシーとセキュリティの問題が生じました。個人デバイスでは、企業のセキュリティポリシーを適用したり、エンドポイントセキュリティソリューションの使用がより困難になります。このため、多くの組織は、リモートワークの従業員に会社からコンピューターを支給することを選びました。このコンピューターには、すでにセキュリティソフトウェアがインストールされており、企業ポリシーに準拠するように設定されていることもあります。

ところが、リモートワーカーにノートパソコンを支給しても、テレワークのセキュリティ上の課題の一部しか解決できません。組織には、これらのリモートデバイスにポリシーとソフトウェアの更新を配布するためのインフラストラクチャとポリシーも必要です。企業は一般的にソフトウェアの更新の適用に時間がかかり、従来、リモートデバイスはオンサイトにあるものよりもパッチの受信が遅くなります。ソフトウェア更新をリモートワーカーにプッシュするインフラストラクチャが整備されていないと、リモートワーカーに対する攻撃ベクトルが発生してしまいます。

5. スタンドアロンセキュリティソリューション

リモートワークへの移行により、組織には新たにセキュリティと監視の課題が生じます。これらの課題に対処するため、セキュリティチームは、多くの場合、クラス最高のさまざまなプロバイダーから、特定のユースケースに対処可能なセキュリティツールを探し出し、導入してきました。たとえば、リモートアクセスを保護するためのゼロトラストネットワークアクセス(ZTNA)、SaaSアクセスを保護するためのCASB、インターネットアクセスを保護するためのクラウドセキュアWebゲートウェイ(DNSおよびファイアウォール機能付き)などです。

その結果、これらのセキュリティチームには、スタンドアロンの、独立した、重複する一連のセキュリティツールが残されました。このため、ほとんどのセキュリティチームが経験する過剰なアラートの負荷が生じ、セキュリティと可視性のギャップが生まれ、その結果様々なツール機能が利用できなくなってしまいます。これらの可視性のギャップを悪用して、攻撃者は侵入し、企業のシステムにアクセスできるようになります。

長期的にセキュアなリモートワークインフラストラクチャを構築する

組織が上記の短期的なソリューションの1つ以上に依存している場合、その結果として生じるセキュリティと可視性のギャップを埋めることができれば、長期的な戦略がより持続可能で効果的なものになります。

まず、次の5つの推奨事項を検討してください。

リモートアクセスセキュリティサービスをクラウドに移行する

セキュアなリモートアクセスサービスにより、ビジネス上のすべてのトラフィックが転送中に暗号化され、可視性が保たれ、企業側がセキュリティ検査とポリシー適用を実行できるようになります。しかし、アプリケーションがクラウドに移行するにつれて、ハードウェアVPNやファイアウォールなどのオンプレミスのリモートアクセスソリューションでは、アプリケーションのパフォーマンスが低下してしまう可能性があります。

リモートアクセスソリューションがアプリケーションとともにクラウド内で動作する場合、検査のためにエンタープライズLANへのトラフィックをバックホールする必要がなくなります。これにより、リモートユーザーのトラフィックのパフォーマンスと遅延が改善され、クラウドベースのソリューションは、従来のアプライアンスベースのソリューションよりも優れた柔軟性と拡張性を提供できるようになります。

VPNの使用を止める

VPNは、古い境界ベースのセキュリティモデル向けに設計されたリモートアクセステクノロジーです。認証されたユーザーには、企業リソースへの完全なアクセスが提供されますが、これは最小特権とゼロトラストセキュリティの原則に反するものです。ゼロトラストポリシー下では、ユーザーには個々の事例に従って、特定のリソースへのアクセスが許可されます。

VPNをクラウドに移行して最新化を試みる企業もあり、企業LAN上のVPNインフラストラクチャの一元化の問題は確かに修正されています。ただし、このアプローチでは、VPNが分散化した現代の企業を想定して設計されたものではないというより大きな問題を解決できないため、これに代わるものとしてゼロトラストセキュリティモデルをネイティブにサポートするソリューションを採用する必要があります。

社内およびSaaSアプリケーションアクセスのためにゼロトラストセキュリティを採用する

内部アプリケーションをホストするためのクラウドの使用が普及するにつれ、攻撃対象領域も拡大しています。リモートワーカーやインターネット全体に公開されている各アプリケーションが、別の潜在的な攻撃ベクトルになっています。

リスクを最小限に抑えるには、アプリケーションアクセスにゼロトラストポリシーを適用することが必要です。認証されたユーザーに組織の環境およびアプリケーションへのフルアクセスを許可する代わりに、アクセスコントロールポリシーによって決定されるケース毎にアクセスを許可する必要があります。

これを実現するには、組織のネットワーク全体にアクセス制御を適用する機能が必要です。これには、大規模なグローバルネットワークを使用して、セルフホスト型アプリケーションとSaaSクラウドアプリケーションの両方に対してアクセス制御を適用する機能が必要です。

アプリケーションとインターネットアクセスの両方にゼロトラストブラウジングを実装する

リモートワーカーのデバイスは、オンプレミスのデバイスよりも安全性が低い可能性があります。従来、リモートデバイスではパッチの適用に時間がかかり、個人デバイスを使用するリモートワーカーは、エンタープライズVPNを介して行われる接続に対する、企業のセキュリティソリューションによってのみ保護されていることがあります。その結果、ブラウザの脆弱性を悪用した攻撃やその他のサイバー脅威に対するリモートワーカーのリスクが高くなります。

ゼロトラストブラウジングは、クラウドベースのブラウザ分離を実装することで、サイバーリスクを軽減します。Webページに埋め込まれたスクリプトをユーザーのデバイス上ではなく、使い捨ての、削除可能なブラウザインスタンスで実行します。

クラウドベースのソリューションは、ユーザーのためにサイトをブラウジングし、ページのレプリカをユーザーに配信します。このレプリカは、高いパフォーマンスとセキュリティの両方を提供できるように構築される必要があります。(例:遅延を追加したり、サイトを壊したり、潜在的に悪意のあるコードを侵入させたりしない)。ゼロトラストブラウジングは、データ漏えいの試みやその他のサイバー攻撃を特定してブロックするために必要な可視性と制御を組織に提供します。

ゼロトラストでリモートワーク中の従業員を守る

組織のネットワークの複雑さと攻撃対象が増えていることから、セキュリティチームは組織を保護するためのソリューションを必要としています。最も高性能なゼロトラストアプリケーションアクセスとインターネットブラウジングソリューションであるCloudflare for Teamsは、リモートワーク中の従業員のための長期的なセキュリティソリューションであり、次のような機能を使ってデータ漏えい、マルウェア、フィッシングを阻止します。

この記事は、IT企業の意思決定層のための、最新のトレンドとトピックをお届けするシリーズです。

このトピックを深く掘りさげてみましょう。

「どこからでも働く7つの方法」電子書籍を使用して、リモートワークの社員を長期的に保護する方法の詳細をご覧ください。

電子書籍を入手する