“テレワークにVPN”は不十分？ エンドポイント保護を - セキュリティ企業が警鐘

リモートアクセスのセキュリティに警鐘

新型コロナウイルス（SARS-CoV-2）による感染症（COVID-19）の拡大が続いている。このように世界中で注目される話題には、サイバー犯罪者が攻撃の材料に悪用しようと飛びつくものだ。

チェック・ポイント・ソフトウェア・テクノロジーズの調査レポートによると、セキュリティ専門家の71％が、新型コロナウイルス問題の発覚以降にセキュリティの脅威または攻撃が増加した、と考えていた。なかでも、フィッシング攻撃、パンデミック情報に関する不正ウェブサイト、マルウェア、ランサムウェアの増加が目立つそうだ。

また、新型コロナウイルス関連のドメイン登録が急増しており、2020年1月以降に登録されたこの種のドメインは、ほかのドメインに比べ不正ドメインである可能性が50％高いという。同様の傾向は、ビデオ会議サービス「Zoom」でも確認されている。

在宅勤務が急増するなか、チェック・ポイントはリモートアクセス環境でのセキュリティ確保が重要だと指摘。特に、ネットワーク全体を守るのではなく、システムを構成するサーバーやPCのようなエンドポイントを保護するエンドポイントセキュリティの必要性を強調した。

エンドポイントセキュリティとは

セキュリティ分野では確かにエンドポイントが重視されるようになっており、対応製品の発表もよく目にする。

そもそもエンドポイントセキュリティは、大きく「エンドポイント保護プラットフォーム（EPP：Endpoint Protection Platform）」と、「エンドポイントの検知／対応（EDR：Endpoint Detection and Response）」の2つに分けられる。

マルウェア侵入を阻止する「EPP」

「EPP」は、エンドポイントのPCやサーバーなどへとにかくマルウェアを侵入させない、侵入されてもすぐに発見して駆除する、という考え方のセキュリティシステムだ。マルウェア感染を防止するアンチウイルス（AV）ソフトウェアが、まさにEPPである。

マルウェアの検知は、既知の攻撃ファイルに含まれる特徴的なパターンをあらかじめ定義ファイル（シグニチャ）に登録しておき、これと比較して一致したファイルをマルウェアと判断して行う。ただし、この方法だと未知のマルウェアは発見できない。そのため、マルウェアの不審な行動パターンを監視する技術も使う。

ファイルレス攻撃を阻む「EDR」

EPPの弱点は、基本的にファイルとして存在するマルウェアを見つけて駆除する、というところにある。最近では、マルウェアをダウンロードさせず、何らかの方法でOSの標準的な機能を悪用して攻撃する「ファイルレス攻撃」が増えた。この種の攻撃は、EPPでは防げない。ファイルを使った攻撃をEPPが見逃すこともある。

そこで、攻撃と思われる不正な動作を検知して管理者などに報告し、対応を支援する「EDR」が登場した。攻撃が始まっても、被害を小さくするために必要な情報を提供したり、攻撃を遮断する緊急動作を実施したりして、迅速な対策へ結びつけようというのだ。

こうしたEPPとEDRを組み合わせ、マルウェア侵入を阻み、EPPでは検出不可能だったり阻止できなかったりした攻撃をEDRで検出することで、エンドポイントを保護する。

テレワークが増えるとVPNは不適切？

リモートワークでは、ファイアウォールで守られた企業のネットワークに外部から仮想プライベートネットワーク（VPN）でアクセスする、というパターンが多い。しかし、クラウドサービスを多用することが当たり前だったり、在宅勤務する人数が想定外に増えたりした状況だと、ファイアウォールとVPNによる境界型セキュリティは適切な対策と言えず、エンドポイントセキュリティが求められる。

境界型セキュリティとVPNで十分だったが……

境界型セキュリティは、社内のデバイスからの接続は安全とみなし、さまざまな情報へのアクセスを許可する、といった考え方だ。情報を保存したり、アプリを動かしたりするサーバーが社内ネットワークに存在し、PCなどのデバイスも同じネットワークを使っているのなら、この方法はうまく機能する。

自宅や出張先からインターネット経由で社内ネットワークに接続する場合は、VPNを使う。VPNは、社外と社内の境界線に穴を開けて、外部から内部へアクセスできるようにする仕組みだ。ユーザー認証に成功してVPN接続を確立できれば、外部のPCでも社内のPCと同じように使える。

ICTシステムが社内だけに存在し、たまに外部からアクセスする必要があるという程度であれば、境界型セキュリティとVPNだけで済んでいた。

クラウド全盛下ではエンドポイントが重要

ところが、鉄壁の守りであるはずの境界線も、いつかはサイバー攻撃者に突破される。ひとたび社内ネットワークへの侵入を許すと境界の意味はないに等しい。

さらに、業務が社内ネットワークだけで済ませられたのは過去の話だ。現在では、基幹アプリケーションもSaaS形態でクラウド環境にアクセスして利用する。

PCなどのデバイスで処理する作業の行われる場所も、社内に限定されなくなった。自宅はもちろん、出張先のホテルや、顧客訪問の合間に入ったカフェなどから社内ネットワークにアクセスすることも多い。しかも、イントラネットへ入らずSaaS基幹アプリケーションを経由して重要情報にアクセスすることも考えられる。そうなると、社内ネットワークとは無関係に、境界外で完結してしまう。

つまり、境界型セキュリティは現在のICT環境において不十分な対策なのだ。こうして、エンドポイントセキュリティが重視されるようになった。

クラウド時代、ゼロトラストでセキュリティ環境整備を

エンドポイントセキュリティと関連する概念に「ゼロトラストネットワーク」がある。境界型セキュリティと対極に位置する考え方で、すべてのネットワークを信頼できないものとして扱い、サーバーやアプリケーション、PCといったエンドポイントでのユーザー認証とデバイス認証に重点を置く、という発想だ。

ゼロトラストネットワークでは、エンドポイントのセキュリティを強固にしなければならない。在宅勤務で使うPCも、昔ながらのシンプルなウイルス対策ソフトウェアでなく、より進んだEPPとEDRで保護することになる。当然、2段階認証やハードウェアトークン認証といった仕組みの採用も検討すべきだろう。

アプリケーションのゼロトラストネットワーク対応など一朝一夕には難しいが、徐々にでも進めていかないと最新のICTシステムを安全には活用できず、不安を抱えながら在宅勤務を行うことになる。

在宅勤務とクラウドサービス利用を全面的に推進するのなら、エンドポイントとゼロトラストをキーワードにして、セキュリティ環境を整備していこう。