新型コロナウイルス感染症パンデミックの影響で、企業は分散した従業員のセキュリティを改善せざるを得なくなりました。セキュリティ強化策として、二要素認証とVPNなどのリモートアクセスツールが多く採用されています。
そうした改善策により組織のセキュリティ体制を強化することはできますが、それだけではリモートワーカー保護戦略として不十分です。パンデミックのプレッシャーとリソースの制約がある中、ITチームとセキュリティチームは、リモートワーカーをハイブリッドクラウド環境、SaaSアプリケーション、インターネット経由でセルフホスト型アプリケーションに接続するための長期的戦略を構築しようにも、そのための時間と予算が不足しがちでした。そのため、組織は可能な範囲で投資と変更を行いました。
残念なことに、短期的な修正が可視性とセキュリティのギャップを生み出し、リモートワーカーのコンピューターやクラウドソリューションがサイバー攻撃者の格好の標的になってしまいました。
ここでは、パンデミック下で企業が実装した最も一般的な5つの「一時しのぎ」ソリューションと、それらに関連する長期的影響を説明します。その後、これらのソリューションの代わりに、長期的により効果のある労働力セキュリティ戦略を採用する方法についてお話します。
パンデミックが始まった時、多くの組織は仮想プライベートネットワーク(VPN)接続を使用して、リモートワーク中の従業員が企業ネットワークに安全にアクセスできるようにし ました。
VPNは効果的なリモートアクセスソリューションになり得ますが、元々、少数システムによる定期的で短期間の接続という特定のユースケースを想定して設計されています。VPNには次のようないくつかの制約があるため、すべてのリモートワーカーが常時使用するのには適していません。
パフォーマンスの低下:VPNインフラストラクチャは、通常、組織の従業員のごく一部を対象に設計されており、ユーザー数の増加と共に、その負荷も増加します。つまり、リモートワーカーのアクセスニーズにより、組織のVPNとセキュリティインフラストラクチャが過負荷になり、パフォーマンスの低下やクラッシュにつながる可能性があります。
セッションタイムアウト:VPNセッションタイムアウトは、必要なセキュリティ機能です。ただし、VPNを企業ネットワークアクセスのプライマリソースとして使用するリモートワーカーには不便です。
アクセス制御:VPNには内蔵型のアクセス制御がないため、ロール(役割)に関係なく企業ネットワークへのフルアクセスをユーザーに付与します。ファイアウォールも役には立ちますが、多くはIPベースのルールを使用していて、高レベルのデ バイスモビリティやIPを常に変更するクラウドアプリではうまく機能しません。次世代のファイアウォールはユーザーベースのアクセス制御を提供する可能性がありますが、通常は、さまざまなIDプロバイダーを同時に操作できる柔軟性は持ち合わせていません。また、クラウドベースのIDプロバイダーとの統合が困難になることもあります。
ID管理の欠如:VPNは、2 つのポイント間の暗号化された接続を提供することのみを目的としています。VPN接続が承認されたデバイスからのものであることを確認するには、パブリックキーインフラストラクチャなどの追加のソリューションが必要です。
可視性の欠如:多くの組織のVPNは、レイヤー7プロキシを終端としていません。これは、接続内の特定のユーザーインタラクションを可視化できないこと、つまり、大きなギャップがあることを意味します。
VPNは、リモートワークの従業員をサポートするための一時的なソリューションにすぎません。テレワークの拡大に伴い、追加のVPNアプライアンスの容量と冗長性に投資する組織には、制約を緩和しセキュリティ上の問題を軽減するための対策が必要です。
前述のように、VPN の使用量が急増すると、VPNサーバーに負荷がかかり、エンドユーザーにネットワーク遅延が発生することもあります。このため、一部の組織では、ネットワークバウンドトラフィックがVPNを介して安全にルーティングされ、インターネットバウンドトラフィックが宛先に直接送信されるスプリットトンネリングアプローチを採用しています。
スプリットトンネルVPNでは遅延を減らすことはできますが、セキュリティが犠牲になります。具体的には、リモートワーカーのコンピューターからインターネットへのトラフィックの可視性が失われてしまいます。これにより、それらのデバイスが検出漏れしたマルウェアに感染したり、リモートユーザーのコンピュータ上の機密データが盗まれてしまう可能性があります。
さらに、スプリットトンネリングVPNトラフィックを使用すると、リモートデバイスが境界ベースの防御によって保護されなくなり、フィッシング攻撃やパッチが適用されていないソフトウェアの悪用により、安全性が損なわれるリスクが高まります。リモートデバイスの安全性が損なわれ、VPN接続が有効になっている場合、攻撃者が企業ネットワーク内のシステムにアクセスできるようになります。また、ユーザーがSaaSアプリケーションに直接ログインすると、侵害を受けたリモートデバイスがWebブラウザ内でキャッシュされたデータを漏えいしようとする可能性もあります。