分散した企業を長期的に保護する

リモートワークのためのセキュリティに関する短期的な修正からの脱却

新型コロナウイルス感染症パンデミックの影響で、企業は分散した従業員のセキュリティを改善せざるを得なくなりました。セキュリティ強化策として、二要素認証VPNなどのリモートアクセスツールが多く採用されています。

このような改善策により、組織のセキュリティ体制を強化することができますが、これだけではリモートワーク中の従業員を守ることはできません。パンデミックのプレッシャーと限られたリソースの中で、ITチームとセキュリティチームには、ハイブリッドクラウド環境、SaaSアプリケーション、インターネット全体でリモートワーカーをセルフホスト型アプリケーションに接続するために、長期的な戦略を構築する必要があり、そのための時間や予算が不足していることがよくあります。このため、組織は可能な範囲で投資と変更を施しました。

残念なことに、短期的な修正が可視性とセキュリティの溝を生み出し、リモートワーカーのコンピューターやクラウドソリューションがサイバー攻撃者を惹きつける格好の標的となってしまいました。

ここでは、コロナ渦で企業が実装した、もっとも一般的な5つの「一時しのぎ」のソリューションと、これに関連する長期的な影響を紹介します。その後、これらのソリューションの代わりに、長期的により効果のある労働力セキュリティ戦略を採用する方法についてお話します。

リモートワークでよくある「一時しのぎ」のソリューション:

1. VPN使用の拡大

新型コロナ感染症のパンデミックが始まった時、多くの組織は仮想プライベートネットワーク(VPN)接続を使用して、リモートワーク中の従業員が企業ネットワークに安全にアクセスできるようにしました。

VPNは効果的なリモートアクセスソリューションになり得ますが、元々、少数のシステムによる断続的で短期間な接続といった、特定のユースケースを想定して設計されたものです。VPNには次のようないくつかの制限があるため、すべての従業員がリモートで作業することを前提とした使用条件には適していません。

  • パフォーマンスの低下:VPNインフラストラクチャは、通常、組織の従業員のごく一部を対象に設計されており、ユーザー数の増加と共に、その負荷も増加します。つまり、リモートワーカーのアクセスニーズにより、組織のVPNとセキュリティインフラストラクチャが過負荷になり、パフォーマンスの低下やクラッシュにつながる可能性があります。

  • セッションタイムアウト:VPNセッションタイムアウトは、必要なセキュリティ機能です。ただし、VPNを企業ネットワークアクセスのプライマリソースとして使用するリモートワーカーには不便です。

  • アクセスコントロール:VPNには内蔵型のアクセス制御がないため、ロール(役割)に関係なく企業ネットワークへのフルアクセスをユーザーに付与します。ファイアウォールも役には立ちますが、多くはIPベースのルールを使用していて、高レベルのデバイスモビリティやIPを常に変更するクラウドアプリではうまく機能しません。次世代のファイアウォールはユーザーベースのアクセス制御を提供する可能性がありますが、通常は、様々なIDプロバイダーを同時に操作できる柔軟性は持ち合わせていません。また、クラウドベースのIDプロバイダーとの統合が困難になることもあります。

  • IDコントロールの欠如:VPNは、2 つのポイント間の暗号化された接続を提供することのみを目的としています。VPN接続が承認されたデバイスからのものであることを確認するには、パブリックキーインフラストラクチャなどの追加のソリューションが必要です。

  • 可視性の欠如:多くの組織のVPNは、レイヤー7プロキシを終端としていません。つまり、組織は、これらの接続内の特定のユーザーインタラクションを可視化できないことを意味します。これは、大きなギャップになります。

VPNは、リモートワークの従業員をサポートするための一時的なソリューションにすぎません。テレワークの拡大に伴い、追加のVPNアプライアンスの容量と冗長性に投資する組織には、制限とセキュリティ上の課題を軽減するための対策が必要です。

2. スプリットトンネルVPN

前述のように、VPNの使用量が急増すると、VPNサーバーに負荷がかかり、エンドユーザーにネットワーク遅延が発生することもあります。このため、一部の組織では、ネットワークバウンドトラフィックがVPNを介して安全にルーティングされ、インターネットバウンドトラフィックが宛先に直接送信されるスプリットトンネリングアプローチを採用しています。

スプリットトンネルVPNでは遅延を減らすことはできますが、その引き換えにセキュリティが犠牲になります。具体的には、リモートワーカーのコンピューターから、インターネットバウンドトラフィックに対する組織の可視性が失われてしまいます。これにより、これらのデバイスが検出されずにマルウェアに感染したり、リモートユーザーのコンピュータ上の機密データが盗まれてしまう可能性があります。

さらに、スプリットトンネリングVPNトラフィックを使用すると、リモートデバイスが境界ベースの防御によって保護されなくなり、フィッシング攻撃やパッチが適用されていないソフトウェアの悪用により、安全性が損なわれるリスクが高まります。リモートデバイスの安全性が損なわれ、VPN接続が有効になっている場合、攻撃者が企業ネットワーク内のシステムにアクセスできるようになります。また、ユーザーがSaaSアプリケーションに直接ログインすると、侵害を受けたリモートデバイスがWebブラウザ内でキャッシュされたデータを漏えいしようとする可能性もあります。

3. リモートアクセスとセキュリティの分離

以前は、組織のインフラストラクチャはすべてオンプレミスに配置されていたため、セキュリティもそこにデプロイされていました。クラウドコンピューティング、SaaS アプリケーション、およびリモートワークの増加に伴い、このモデルも変化しています。

リモートアクセスとセキュリティを向上させるために、アプリケーションとデータのクラウドへの移行を進めた組織もあります。ただし、このような動きは、多くの場合、同期されていません。よくある誤りは次の2つです:

  • セキュアなWebゲートウェイプロキシコントロールをクラウドに移行する。クラウドアプリケーションセキュリティブローカー(CASB)ソリューションを介して認可されたアプリのみに焦点を当てる場合もあるが、リモートアクセスVPNは保持。

  • セキュアなWebゲートウェイ(もしくはファイアウォール全体)をクラウドに同時に移行することなく、リモートアクセスをクラウドに移行する(VPNのようなクライアントの有無にかかわらず)。

リモートアクセスとセキュリティ機能を分離すると、組織はネットワークのパフォーマンスまたはセキュリティのいずれかを損なうことになります。リモートアクセスクライアント経由のトラフィックはセキュリティ検査を受けないことがあり、その結果、リモートワーカーはフィッシングや悪意のあるWebサイトに対して脆弱になります。または、トラフィックが組織のセキュリティスタックがある場所にバックホールされてしまう場合があります。これにより、セキュリティのために、従業員の生産性とアプリケーションのパフォーマンスが損なわれてしまいます。

4. リモートエンドポイントの更新

パンデミック初期に散見された状況として、リモートワークの従業員に個人デバイスでの作業を許したことにより、いくつかの潜在的なプライバシーとセキュリティの問題が生じました。個人デバイスでは、企業のセキュリティポリシーを適用したり、エンドポイントセキュリティソリューションの使用がより困難になります。このため、多くの組織は、リモートワークの従業員に会社からコンピューターを支給することを選びました。このコンピューターには、すでにセキュリティソフトウェアがインストールされており、企業ポリシーに準拠するように設定されていることもあります。

ところが、リモートワーカーにノートパソコンを支給しても、テレワークのセキュリティ上の課題の一部しか解決できません。組織には、これらのリモートデバイスにポリシーとソフトウェアの更新を配布するためのインフラストラクチャとポリシーも必要です。企業は一般的にソフトウェアの更新の適用に時間がかかり、従来、リモートデバイスはオンサイトにあるものよりもパッチの受信が遅くなります。ソフトウェア更新をリモートワーカーにプッシュするインフラストラクチャが整備されていないと、リモートワーカーに対する攻撃ベクトルが発生してしまいます。

5. スタンドアロンセキュリティソリューション

リモートワークへの移行により、組織には新たにセキュリティと監視の課題が生じます。これらの課題に対処するため、セキュリティチームは、多くの場合、クラス最高のさまざまなプロバイダーから、特定のユースケースに対処可能なセキュリティツールを探し出し、導入してきました。たとえば、リモートアクセスを保護するためのゼロトラストネットワークアクセス(ZTNA)、SaaSアクセスを保護するためのCASB、インターネットアクセスを保護するためのクラウドセキュアWebゲートウェイ(DNSおよびファイアウォール機能付き)などです。

その結果、スタンドアローン型の個別セキュリティツールがたくさんあってオーバーラップしている状態になっています。たいていのセキュリティチームが経験するアラートの洪水はますます膨れ上がり、さまざまなツールの機能の境目にセキュリティと可視性のギャップが生じています。こうした可視性のギャップを利用して攻撃者が侵入し、企業のシステムにアクセスします。

長期的にセキュアなリモートワークインフラストラクチャを構築する

組織が上記の短期的なソリューションの1つ以上に依存している場合、その結果として生じるセキュリティと可視性のギャップを埋めることができれば、長期的な戦略がより持続可能で効果的なものになります。

まず、次の5つの推奨事項を検討してください。

リモートアクセスセキュリティサービスをクラウドに移行する

セキュアリモートアクセスサービスにより、すべてのビジネストラフィックが転送中に暗号化され、可視性が保たれ、企業側がセキュリティ検査とポリシー適用を実行できるようになります。しかし、アプリケーションがクラウドに移行するにつれて、ハードウェアVPNやファイアウォールなどのオンプレミスのリモートアクセスソリューションでは、アプリケーションのパフォーマンスが低下してしまう可能性があります。

リモートアクセスソリューションがアプリケーションとともにクラウド内で動作する場合、検査のためにエンタープライズLANへのトラフィックをバックホールする必要がなくなります。これにより、リモートユーザーのトラフィックのパフォーマンスと遅延が改善され、クラウドベースのソリューションは、従来のアプライアンスベースのソリューションよりも優れた柔軟性と拡張性を提供できるようになります。

VPNの使用を止める

VPNは、古い境界ベースのセキュリティモデル向けに設計されたリモートアクセステクノロジーです。認証済みユーザーには企業リソースへの完全なアクセスが提供されますが、これは最小権限とZero Trustセキュリティの原則に反するものです。Zero Trustポリシー下では、特定リソースへのユーザーのアクセスは、ケースバイケースで認められます。

VPNをクラウドに移行して最新化を試みる企業もあり、それにより、VPNインフラストラクチャを企業LAN上に集中させることの問題は確かに解消されています。しかし、このアプローチでは、VPNが分散化した現代の企業を想定して設計されていないというより大きな問題を解決することはできません。そこで、VPNに代えて、Zero Trustセキュリティモデルをネイティブにサポートするソリューションを導入する必要があります。

社内およびSaaSアプリケーションアクセスのためにゼロトラストセキュリティを採用する

内部アプリケーションをホストするためのクラウドの使用が普及するにつれ、攻撃対象領域も拡大しています。リモートワーカーやインターネット全体に公開されている各アプリケーションが、別の潜在的な攻撃ベクトルになっています。

リスクを最小限に抑えるには、アプリケーションアクセスにZero Trustポリシーを適用する必要があります。認証されたユーザーに組織の環境とアプリケーションへのフルアクセスを認める代わりに、アクセスの許可はアクセス制御ポリシーで定め、ケースバイケースで認めるべきです。

これを実現するには、組織のネットワーク全体にアクセス制御を適用する機能が必要です。これには、大規模なグローバルネットワークを使用して、セルフホスト型アプリケーションとSaaSクラウドアプリケーションの両方に対してアクセス制御を適用する機能が必要です。

アプリケーションとインターネットアクセスの両方にゼロトラストブラウジングを実装する

リモートワーカーのデバイスは、オンプレミスのデバイスよりも安全性が低い可能性があります。従来、リモートデバイスではパッチの適用に時間がかかり、個人デバイスを使用するリモートワーカーは、エンタープライズVPNを介して行われる接続に対する、企業のセキュリティソリューションによってのみ保護されていることがあります。その結果、ブラウザの脆弱性を悪用した攻撃やその他のサイバー脅威に対するリモートワーカーのリスクが高くなります。

Zero Trustブラウジングは、クラウドベースのブラウザ分離を実装することで、サイバーリスクを軽減します。Webページに埋め込まれたスクリプトを、ユーザーのデバイス上ではなく、一回限りの削除可能なブラウザインスタンスで実行します。

クラウドベースのソリューションは、ユーザーのためにサイトをブラウジングし、ページのレプリカをユーザーに配信します。このレプリカは、高いパフォーマンスとセキュリティの両方を提供できるように構築される必要があります。(例:遅延を追加したり、サイトを壊したり、潜在的に悪意のあるコードを侵入させたりしない)。ゼロトラストブラウジングは、データ漏えいの試みやその他のサイバー攻撃を特定してブロックするために必要な可視性と制御を組織に提供します。

ゼロトラストでリモートワーク中の従業員を守る

組織のネットワークが複雑になり、攻撃対象領域が拡大しているため、セキュリティチームは組織を保護できるようなソリューションを必要としています。極めて高性能なZero Trustアプリケーションアクセスとインターネットブラウジングのソリューション、Cloudflare Zero Trustは、リモートワーカーのための長期的なセキュリティソリューションであり、次のような機能によってデータ損失、マルウェア、フィッシングを阻止します。

  • ゼロトラストアプリケーションアクセス:Cloudflare Accessは、SaaSおよびセルフホストアプリケーションにゼロトラストアプリケーションアクセスを提供し、セキュリティ検査とポリシー適用のためにCloudflareのグローバルエッジネットワークを介してすべてのインバウンドトラフィックをルーティングします。

  • セキュアなWebブラウジング:Cloudflare GatewayとCloudflareブラウザの分離を利用すると、フィッシング、マルウェア、その他のブラウザベースの攻撃を検出してブロックし、すべてのブラウジングアクティビティに対してゼロトラストルールを適用した上で、安全なブラウジングをチームに提供します。

この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。

記事の要点

この記事を読めば、以下が理解できます。

  • 新型コロナウィルス感染症の流行中に実施された短期的ソリューションで、最も多用されたもの上位5策

  • それらの応急処置の結果発生した長期的問題

  • セキュアなリモートワークインフラを構築するための5つの推奨事項

関連リソース


このトピックを深く掘りさげてみましょう。

電子書籍「どこからでも働ける7つの方法」で、リモートワーカーを長期的に保護する方法の詳細をご覧ください。

Get the ebook

Receive a monthly recap of the most popular Internet insights!