従来型セキュリティだけではテレワークを守り切れない

二回目の緊急事態宣言も終了したが、在宅テレワークを継続している会社は多い。最初の宣言下ではとにかくテレワークを開始することが急がれたが、その後はテレワークによるビジネスの効率化や安全性などを高めるための環境改善に注力する企業が増えた。しかし、IPA（独立行政法人情報処理推進機構）が2021年1月に発表した「情報セキュリティ10大脅威 2021」の組織編3位には「テレワーク等のニューノーマルな働き方を狙った攻撃」が初登場するなど、テレワーク下のセキュリティ脅威も増大している。

テレワークのセキュリティが難しいのは、これまでのエンドポイントセキュリティがオフィスの内と外を分ける1点に集中していればよかったのが、従業員それぞれの自宅がエンドポイント化してしまうことによって、従来の防御だけでは対策が不十分になってしまったからだ。

しかし、企業の情報システム部にテレワークを前提にしたセキュリティ構築の責任を一から任せるのは負担が大きい。そのため、クラウドのセキュリティサービスを利用して対策する企業が増えている。しかし、セキュリティサービスなら何でもいいというわけではない。多くの従業員が利用するアプリケーションや攻撃者が狙うアプリケーションを効果的に対策することで大きな危険性からつぶしていくことが重要だ。

ビジネス化するサイバー攻撃

どんな防御が必要か考える前提として、最近のサイバー攻撃の傾向を把握しておく必要がある。かつては個人が興味や趣味で攻撃を行っているケースも見られたが、現在では国家レベルのサイバーテロ攻撃や、ターゲットを絞り込んだ計画的なランサムウェア攻撃、大量のメール配信によるフィッシングなど多様化している。こうした背景には、サイバー攻撃がビジネス化していることが挙げられる。

今やサイバー攻撃の目的はコンピュータウイルスをばらまいて面白がるといったレベルではなく、国の重要なインフラを麻痺させたり、大企業の機密データをランサムウェアでアクセス不能にして人質にとり金銭を要求したり、フィッシングで漏洩した名簿情報をダークWebで売買したりなど、儲かるビジネスとして考えている攻撃者がほとんどだ。このため分業化も進んでおり、攻撃に必要なツール類もダークWebで取引されている。

ビジネスとして考えられているため、攻撃者は効率化やコストパフォーマンスを重視する。より大きな金額を要求できるターゲットを狙うか、一回の攻撃で多数のターゲットを狙える方法を取るかだ。在宅テレワークのセキュリティを考えるなら、注意すべきは当然後者になる。多数のビジネスマンが利用する環境やサービスは、それだけ危険性にさらされやすいわけだ。

狙われるMicrosoftの製品・サービス

そこで最初に検討が必要なのが、Microsoftが提供する製品・サービスだ。Windowsのオートアップデートもセキュリティ強化を目的とすることが多いし、IPAのサイトの「重要なセキュリティ情報」でも、Microsoft製品の脆弱性情報が報告される頻度は低くない。テレワークで使用されるデバイスはWindows PCが圧倒的だし、業務に使用するアプリケーションでは、まずMicrosoft 365のExcelやWord、Outlookなどが挙げられる。

もちろん、Microsoftもセキュリティに注力しており、Windows 10自体もWindowsセキュリティという高度なセキュリティを持っているし、ビジネス用のMicrosoft 365にもEOP（Exchange Online Protection）という標準メールフィルタリングが提供されている。しかし、EOPは既知のスパムやマルウェア、フィッシング脅威には強力だが、未知のスパムや亜種のマルウェア、対象を絞り込んだ高度なフィッシング（スピアフィッシング）には十分な対応ができない。こうした攻撃もフィルタリングするためには、別途、未知の脅威に対する予測力を持ったセキュリティ対策が必要になる。

未知の攻撃からMicrosoft 365を守るVade Secure

そうした攻撃に対処するための選択肢として。Microsoft 365に特化したメールセキュリティサービス、Vade for M365を紹介しよう。Vade Secure社はもともとフランスのメールを中心としたセキュリティ企業で、グローバルで5000社、10億以上のメールボックスを保護している。日本への進出は2017年だが、同社のサービスは国内スマホキャリア3社のメールフィルタリングに利用されるなど、すでに多くの実績を持っている。

Vade for M365は同社がISP向けに培ってきたノウハウをMicrosoft 365のメールセキュリティに特化させたサービスで、EOPを多層防御として補完し、高度な脅威に対する防御を、利用しやすい操作性を兼ね備えたサブスクリプション型のSaaS（サース／サーズ）サービスとして利用が可能だ。

Vade for M365の特徴は、3つのアプローチで包括的なメールボックスの保護を自動的に行うことだ。ひとつは10億超のメールボックスでの実績に基づく行動アルゴリズムを考慮したスマートパターンを使用するフィルタリング、次に機械学習によるAI防御、そして専門家のインテリジェンスを結集した、世界3拠点24時間体制のセキュリティ・オペレーション・センターの存在だ。これらの総合力で、未知の攻撃、標的型の攻撃に対しても全方位の保護を可能にしている。Vade Secure社 の調査では、EOPの2倍近いフィッシングを検知している。

中でも機械学習を使用したAI防御は、フィッシングページのリアルタイム検出が可能だ。メールに記載されたURLがクリックされた際に追跡し、対象サイトの内容と文脈を判断してフィッシングを防止する。また、1～2週間程度の利用期間で、ユーザーごとの傾向を学習し、検出率をアップしていく。

時間差で書き換えられるフィッシングサイトにも有効

Vade for M365以外にも、こうした攻撃を避ける方法としてクラウドベースのメールゲートウェイ（SEG）があるが、これらは通常メールサーバーの手前で検閲を行うため、別途設定が必要になる。また、SEGはEOPとの併用ができない。一方、Vade for M365はAPIベースで提供されており、メールサーバーを指定するMXレコードの書き換えなどの必要がなく、通常のメールボックスで検閲状況を確認できるし、EOPと併用して検知率を向上させることが可能だ。また、Exchange Onlineの設定をシームレスに利用できるため、管理も容易だ。エンドユーザーも慣れ親しんだMicrosoft 365 のUIで利用できる。

最近では、メール到着時には安全と判定されたメールに記載されたURL先を、時間をおいてフィッシングサイトに書き換えるといった攻撃手法も存在する。通常のゲートウェイは一度通過したメールには再度アクセスできない構成だが、Vade for M365はメールボックスに対して検閲を実行するため、こうした時間差の攻撃も対応可能だ。また、従来のゲートウェイでは対応できなかった、同一メールサーバー内で授受される企業内メールについても、外部からのメールと同様にフィルター処理できる。

テレワークも2年目となり、テレワークの実施自体が目的ではなく、そうしたニューノーマルな環境下でビジネス効率を上げていくことに舵を切っている企業も多いだろう。そこに集中するためにも、テレワーク環境のセキュリティ対策は十分でなくてはならない。既知の脅威に加え未知の脅威に対する予測検知が可能なVade for M365は有効なツールとなるだろう。

Vade for M365の導入はiKAZUCHI(雷)から。