ネットワークセキュリティについて、きちんと検討を続けているか？

さまざまなテレワーク課題に直面

　国内では2020年2月くらいから騒がれ始めた新型コロナウイルスは、3月にはパンデミック（世界的な感染爆発）といえる状況となり、4月末には非常事態宣言も出された。10月現在、国内の非常事態宣言は解除されているが、ワクチン開発など有効な対策がとれない中、大規模イベントや夜間営業の自粛、マスク着用のルール、密集を避けるといった対応が続いている。

　企業においては、緊急事態宣言解除後もテレワークやWeb会議が日常となった。出勤を前提としたオフィスを縮小したり、デスクをフリーアドレスにしたりと変化がみられる。これらの影響はポジティブなものばかりではない。変化に伴う問題や課題も当然ながら出てきている。

　テレワークの課題は、まず大前提として業務がそれに対応できるかという問題がある。JSSEC（日本スマートフォンセキュリティ協会）が5月に実施したアンケートでは、テレワークを実施しない企業は全体の58.3％。このうち73.5％が「業務が対応できない」ことを理由に挙げている。

　残りの4割強がなんらかの形でテレワークを導入していることになる。導入した企業では、Web会議に他人が参加してきた、自宅回線が遅くて仕事にならない、イントラネットにつながるVPNが混雑でつながらない、テレワークにかかわるツールや機器が使いこなせない、回線費用は社員負担でいいのか、セキュリティ対策はどうすればいいのか、などさまざまな課題に直面しているだろう。

　ここでは、セキュリティに関係する問題や課題について考えてみよう

テレワークにおけるセキュリティリスク：ネットワーク

　テレワークになったからといって、セキュリティ対策の基本や根本が変わるわけではない。しかし、新しいツールや業務プロセスは発生する。逆に不要になるツール・業務もあるだろう。これらに伴い、セキュリティ対策の各論的な手法は変わってくるという認識は必要だ。第一に考えなければならないのは、イントラネット（企業内の業務ネットワーク）の考え方だ。次に重要なのはZoomに代表されるWeb会議ツールという新しい業務システムのセキュリティだろう。

　テレワークを導入すると、リモート接続がデフォルトとなり多くの社員がVPNを利用することになる。以前はVPNを利用する社員をある程度限定できた。それが難しくなると、アクセス制御を緩める（対象アカウントを広げる）必要がでてくる。攻撃者は以前よりアカウント窃取・奪取に注力し、VPN製品への攻撃を増やしていると考えるべきだ。

　コンピュータセキュリティの情報収集や関連情報の発信などを行う一般社団法人JPCERT/CCは、VPN製品やSSL-VPNに対する実際の攻撃をすでに確認しており注意喚起を行っている。

　またサイバー攻撃ではないが、接続数などに制限があるVPNに通常より高い負荷がかかることで、回線の混雑、あるいはシステムのダウンによる業務停止、効率の低下というリスクも高まる可能性がある。

　イントラネットへの接続回線にインターネットを利用している場合、「みなし野良Wi-Fi」による接続が増えることになる。ここでいうみなし野良Wi-Fiとは、社員自宅に設置されたブロードバンドルーターのアクセスポイントのことだ。他にも、出先のリモート作業の効率のため公衆Wi-Fiスポットの利用を許可する場面も増えてきていないだろうか。

　自宅のアクセスポイントは、たとえば隣の家のSSIDが見えたりするように、企業内に設置された無線LANアクセスポイントより危険な場合がある。オンラインゲームやストリーミングサービス、自宅のNASをスマホからアクセスできるようにしていたりすると、ブロードバンドルーターの設定（解放ポート）が甘くなっているかもしれない。

　テレワークそのもののリスクではないが、2020年に入ってZerologonというリモート接続のプロトコルの脆弱性が確認され、それを利用した攻撃も確認されている。Zerologonはハッキングに用いられるエクスプロイトキットのツールの一種なので、別のマルウェアのデータの中に仕込まれるか、ボットなどがバックドアを利用して内部からダウンロードする必要がある（つまり、侵入・感染には別のマルウェア・方法が必要）が、侵入を許すとADサーバー（企業のシングルサインオンやアクセス制御を一元管理する認証サーバー）の管理者権限を奪うことができる。ADサーバーは一定規模の企業では必須の管理サーバーであり、テレワーク環境のアクセス制御にも欠かせない。

テレワークにおけるセキュリティリスク：Web会議

　緊急事態宣言が出される前後、Zoomを導入する企業が急激に増えたことによる問題も発生した。多くは、利用者側の設定ミスや操作に慣れていないことによる問題だったが、開発・提供会社が比較的新しいベンチャーであり、機能開発が追いつかなかった部分もあり混乱に拍車をかけた。

　Zoomの問題は、利用者側の練度があがるにつれ減っていった。会議の招待・公開設定を誤ったり、弱いパスワードを使ったりという理由でのトラブル（不審者が会議に参加する、無関係な画面を表示されるなど）は、ソフトウェアの改善も進み、今ではほとんど話題にならない。開発側もベンチャーの機動力を生かし、発生するトラブルやクレームに迅速なバージョンアップやパッチで対応している。

　懸念事項のひとつだったチャット機能のエンドツーエンド暗号化機能もすでに実装されている。ただし、これによりチャット内容改ざんや盗聴のリスクは下がったが、管理者もチャット内容を読むことができなくなっている。

　もうひとつ、会議を中継するサーバーが中国に置かれ、Zoom側は中国政府の介入を排除できないという問題もニュースになった。現在、Zoom側は中国国内のサーバーは使っていないとしている。中国政府による介入（データ開示要求など）の問題はグレーのままだが、国防や外交にかかわる機関・企業、そのサプライチェーン以外は神経質になる必要はないだろう。必要ならばMicrosoft Teams、Google Meet、CISCO Webex、AWS Chime、Skypeなど別のWeb会議ツールを使えばよい。

その他のリスク・注意事項

　パンデミックに便乗したサイバー攻撃も報告されている。一般的な企業で警戒レベルを上げるべきなのは、不審なメールや攻撃サイトだろう。在宅勤務の環境では、たとえば同僚がウイルス感染した、フィッシングメールを受信したといった情報の共有がしにくい。オフィスに集まっていれば、このような情報は自然に入ってくるが、リモートワークでは自分から聞いたり、情報収集しないとわからないことがある。

　一般に、周辺で攻撃メールや詐欺メールが受信されたなら、自分のところにも来る可能性は高い。それでなくても個人所有PCで自宅作業していると、公私の境があいまいになり思わぬインシデントにつながる危険がある。フィッシングメール、ランサムウェア、攻撃サイトへの誘導メール、各種詐欺メールなど、いつも以上の警戒が必要だ。

　実際に、給付金、感染情報に関連した詐欺メールが報告されている。パンデミック以降、Emotetという感染元の企業やアカウントを利用して広がるランサムウェアの日本での被害報告が急増している。

従業員のテレワーク環境を用意するのは企業の役目

　テレワークについて主なリスクをまとめてみたが、これらは、テレワークが一般にも浸透してきた今だから改めて整理できるものだ。緊急事態宣言が出されたころは、多くの企業にとってパンデミックそのものが物語の世界の話であり、現実のリスクとして備えを取ってはいなかった。BCP（事業継続性）やDR（ディザスタリカバリ）の中で、インフルエンザ対策や海外のエピデミック（国レベルの感染爆発）までなら考えていたかもしれないが、世界規模で移動自粛やロックアウト、医療危機が起きることまで想定していた企業はごく少数だろう。

　そのため、ツールの導入が見切り発車になったり、テレワーク対応が後手後手になったりと、応急的な運用変更、セキュリティ基準変更でしのぐしかなくなる。まさに未曽有の危機で、情報も限られていれば、知見も少ない状態だったので、それもやむを得ない状況だったといえる。

　しかし、事態が多少なりとも落ち着いてきた現在、コロナ禍、コロナ終息後を見据えた対応を考える必要がある。なし崩し的に導入したテレワークだが、その環境整備について責任を負うのは企業だ。行政や法律のデジタル化、対策支援の助成金制度など国が包括的に責任を負う部分もあるが、VPN環境をどう整備するか、テレワーク用デバイス、通勤に変わる業務環境の整備は民間の領域だろう。オフィスを縮小してコストダウンだけで終わらせて、あとは社員まかせというわけにはいかない。

　とりあえず終息するまでだからと、応急措置や不十分な設備・環境を使い続けて、下がった業務効率を放置すると、小さい損失が蓄積していく。ネットが遅いなど可用性が低いシステムは、悪意がなくても不正利用やルール違反を誘発する。

見切り発車で不十分であったリモートセキュリティをどうしていくべきか

　では、どのような対策、ソリューションがあるのだろうか。

　テレワークでVPN機器やサーバーにボトルネックが発生しているなら、段階的にでもリソースの増強を考えたい。仮想デスクトップ（VDI）やリモートデスクトップ環境の整備も同様だ。

　リモート接続やテレワークをデフォルトと考えるなら、イントラネットへの接続をインターネット前提とするソリューションも存在する。「ゼロトラストネットワーク」という言葉がある。インターネットにしろ、イントラネットにしろ、そのネットワークトラフィックは保護されたものではなく、汚染されたトラフィックも混在している前提のネットワークを意味している。その上で必要かつ有効なセキュリティ対策を考えるべきだ。

　VPN接続でもインターネット回線接続でも、イントラネットへの接続がリモートとなる場合、接続端末をファイアウォールの内側で守るという従来の防壁の考え方は通用しなくなる。ファイアウォールが守るのは、業務サーバーやデータベースなど社内イントラネットの情報資産のみとなる。管理者、オペレーター、社員、PCなどはすべてファイアウォールの外にある前提での対策、セキュリティ基準が必要になってくる。

　なお、業務システムがクラウドインフラに移行しているなら、ファイアウォールはクラウド境界となる。

　この場合、認証については2段階、2要素が必須となる。ユーザーは、まずデバイス側でPINコードや生体認証などの本人確認を行い、サーバーやイントラネットにログインする場合に、通常のログイン認証を行う。このとき、必要に応じて事前登録端末等へのコールバック、ワンタイムパスワードによる認証も行う。

　ファイアウォールの内側では、内部のトラフィックは一応、認証されたものだが、外部からのアクセスという認識で、トラフィック監視、ログ監視、ふるまい監視などを強化する。一般にはUTMや次世代ファイアウォール、IDS/IPSといったソリューションが利用できる。最近増えているEDR（Endpoint Detection and Response）もこの対策に活用できる。

　EDRがいうエンドポイントはサーバー、PC、スマートフォン、タブレットなどを指す。これらの機器の操作や動作を監視し、異常や疑わしいものがあれば警告を挙げたり、動作・接続を遮断するなどの対応も行う。リモート接続するデバイス類には、監視エージェントをインストールするソリューションもある。

　そして最も重要なのは、VPN、EDRといったソリューションはただ導入すればよいというものではないという認識だ。端末を監視してくれるからといって、ファイアウォールの必要がなくなる、サーバーやPCのOS、アプリケーションのアップデートが不要になるわけではない。アンチウイルスソフトなど基本的なセキュリティソフトも必要だ。既存の対策の上に利用すべきものだ。

　年度でいえば半期決算を終え、下期に入ったところだ。上期は混乱で思うように動けなかったとしたら、下期は来年、来期に向けて業務システム環境やセキュリティ体制の立て直し、見直しに着手したいところだ。

参考URL：

テレワーク状況とセキュリティに関するアンケート調査レポート
https://www.jssec.org/report/20200722.html
https://www.jssec.org/dl/telework_research_20200722.pdf

テレワークを行う際のセキュリティ上の注意事項
https://www.ipa.go.jp/security/announce/telework.html

Pulse Connect Secure の脆弱性を狙った攻撃事案
https://blogs.jpcert.or.jp/ja/2020/03/pulse-connect-secure.html