サイバー攻撃対策

脱VPNとゼロトラストセキュリティを
行うための考え方

法人のお客さまに起こりがちな状況

テレワークの実施に伴う情報セキュリティ対策について伺うと「通信のセキュリティはVPNを使って担保している」 と回答をいただくケースがあります。それと同時に「ただVPNを利用していると通信速度が遅くて業務効率が落ちてしまう」と言う回答もいただく場合があります。

VPNの普及で通信のセキュリティレベルは上がったものの、本当にそれだけで十分と言えるのでしょうか?

今回はVPNの限界とそれに伴って考えるべきゼロトラストの考え方についてお伝えします。

Microsoftの認識「「境界防御」は廃れた」

従来、情報セキュリティを高める方法として広く認知されてきたのが入口対策、いわゆる「侵入されないように境界線を確立する」と言う手法でした。境界線を引くことで「内部は安全領域である」ことを信用できる状態を作り出し、その中で業務を行うことが一般的な対策として捉えられていたのです。

しかし現在サイバー攻撃の手法は広範にわたり、かつその技術力の向上もあいまって、境界防御だけでは防ぐことが難しいと言われています。

EMOTETなどを始めとした心理的な隙(すき)をついて正規ルートからの侵入を狙う手法や脆弱性を見つけたら検知・対応されるまでの短時間で大量の攻撃を行うゼロデイ攻撃、そしてソーシャルハッキングなどすべてをカバーするのは物理的に不可能と言うのが最近の見解です。

2019年にはMicrosoftが「従来型の境界防御は廃止の一途をたどり、ゼロトラストモデルへ変革する」と題した記事を発表しています。

この記事はまさに今後は入口対策のみでは脅威を防ぎきることが難しいことを示しています。各企業は現在の環境に適応した対応が求められています。

テレワーク推進によって判明したVPNの限界と課題

コロナ禍の現在、政府の奨励もあり多くの企業がテレワークを推進するようになりました。

しかし、これによって境界防御の代表例であるVPN接続に限界が見えてきています。

VPN接続は仮想のプライベートネットワークを構築する技術で外部からの盗聴が不可能なため各企業がテレワークにおいて積極的に利用しています。

しかし、従来のようにVPNの利用が営業や出張している社員など一部に限定されているのであれば問題なかったものの、現在のようにテレワークで過半数の社員がテレワークを実施しているケースではVPNサーバのキャパシティが持たないという問題が挙がってきています。

現在クラウドサービスの利用はほとんどの企業で行われていますが、VPNはこのクラウドサービスを利用する場合、端末-社内ネットワーク-インターネット(クラウドサービス)となるため帯域圧迫の大きな要因となってしまいます。

結果としてVPNへの接続ができなかったり、接続できても速度が非常に遅く業務効率が格段に落ちてしまったりなどの影響が出てくるのです。

情シス担当者によってはルーティングの変更だったりVPN装置の交換で急遽対応を求められたりした人もいるのではないでしょうか?

また、一部の社員についてはVPNを切った状態でアクセスするなどの対応を行うケースも発生します。この場合、VPNが意味を持たない状況が発生し情報セキュリティの観点から見て統制が取れず非常に危険な状態が発生してしまいます。

加えて、VPNはあくまでも「外部からの通信を窃取されないための方法」のため、例えばアクセスする端末自体がマルウェア感染していた場合、端末の認証は正規の手順で行われるため内部のネットワーク内では自由に行動ができ、拡散されてしまうことになってしまいます。

そのため「VPNを使っているから安心である」とは言えないのが現在の情報セキュリティ環境であると言えます。

脱VPNの実現例

国内の大手住宅設備機器メーカーでは、従来テレワーク勤務中はすべての場面(クラウドサービス利用なども含む)においてVPN経由をルールとしていました。

しかし、コロナ禍でのテレワーク移行者が大量発生。従来のルールを用いた運用の場合、全社的なVPNでの接続は想定しておらず、そのままでは業務に制限が掛かってしまう可能性がありました。

担当部門ではこの事態を想定して脱VPNに動き、結果としてグループ全体で最大25,000人、主にオンプレミス型で運用する1,500個の業務アプリケーションをテレワークで運用しながら業務を行っています。

VPNの場合キャパシティが1,500人分しかなかったため実際にVPNでの運用が行われた場合、全社的なテレワークは非現実的でしたが、「アイデンティティー認識型プロキシ(IAP)」と呼ばれる新しいリモートアクセス手法を導入したことでVPNのキャパシティを圧迫せずに運用することを実現しました。

この方式ではネットワークが社外か社内かを区別せずどこからのアクセスであっても、常にこのプロキシによって認証を行うことで不正アクセスを防ぐ形になっています。

一見VPNを捨てたことで外部からの侵入を防ぐことを放棄しているようにも見えますが、代わりにアクセスの度に認証が行われる方式を導入したことにより、一度認証が通れば後はノーチェックとなってしまうVPNよりも、よりセキュリティレベルが上がっている状態を作り出すことに成功しました。

脱VPNに加えて必要なゼロトラストセキュリティ

脱VPNを実現した場合でも、実際の情報セキュリティの観点ではそれだけでは安全と言えません。そこで必要になってくるのがゼロトラストセキュリティと呼ばれる対策です。

ゼロトラストは近年よく使われるようになったワードで、「社外ネットワークは危険で社内ネットワークは安全」という従来側の考え方ではなく「社外ネットワークも社内ネットワークも等しく危険である」と言う前提に基づいて対策を行うセキュリティモデルを指します。

この概念に基づきVPNなどの入口対策に加えて対応を行うのが、いわゆる「内部対策」「出口対策」と呼ばれる対策です。

内部対策は侵入されたとしても内部で脅威を無効化するための手法を指し、出口対策は侵入され、機密情報へのアクセスを許してしまった場合でも外部に漏洩しないようにするための手法を指します。

これらの対応に使われるのが「EDR(Endpoint Detection and Response)」などであり、攻撃の検知から対応までを実行できる機能となります。ツールによっては「ふるまい検知機能」などを搭載し、人間の特性上なかなかあり得ない挙動を行うツール特有の動作を検知することで脅威を排除します。

これらの対策により、不正なアクセスを従来型の境界防御(入口対策)で防ぎ、入口対策では防げないようなゼロデイアタックや新しいマルウェアによる攻撃を内部対策によって検知・無効化し、それでも防げなかった不正アクセスを出口対策によって外部へ流出するのを阻止する多段防御とダメージコントロールを実現することができるようになります。

脱VPNと同時にゼロトラストセキュリティで盤石な体制を

VPNは依然として情報の盗聴対策としては非常に強力です。

しかしテレワークで多くの従業員が自宅からアクセスする可能性がある現在そのキャパシティが本当に実務に耐えうる環境かどうかについてはしっかりと検証が必要です。

情シス担当者としてはきちんと検証を行い、全通信のVPN使用が妥当かどうか、そして俯瞰してみた時の社内の情報セキュリティがゼロトラストの意識を持って構築されているかどうかをしっかりと確認してみましょう。

情報セキュリティは今や侵入された/されなかったの二元論ではなく、リスク/ダメージコントロールの世界に入っています。

どこまでリスクを許容し、どこまで対策を行うべきか、しっかりと経営者と議論し適切な対応を検討する必要があるのではないでしょうか。

トレンドマイクロからのアドバイス

VPNでのセキュリティモデルからゼロトラストのセキュリティモデルへ独力で移行するのは至難の業と言えます。最もシンプルな方法は、セキュリティベンダーへの相談とソリューションの導入です。ぜひ専門知識を活用して現在の環境に合ったセキュリティ体制構築を行ってください。

トレンドマイクロでは入口対策から出口対策まで、各ポイントに対応したソリューションを持っています。自社のセキュリティ状況、ネットワーク環境を確認していただき不足している点がありましたらぜひご検討ください。

軽くて・強くて管理負担が少ない中小企業向けクラウドセキュリティ

ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は現場から求められる「速さ」と「防御力」を両立させるとともに、管理者が求める「導入のしやすさ」や「管理のしやすさ」にもこだわったセキュリティ製品です。

従業員数の増減に合わせてPC1台から手軽に導入可能でありながら全PCのセキュリティを遠隔管理できます。

「クラウド型」のため管理サーバも不要で、管理者、ユーザ共に自宅などのテレワーク環境で作業するケースにも対応した管理サーバも不要な管理コスト軽減に貢献できるソリューションとなっています。

事前予防と事後対処を実現するエンドポイントセキュリティ

Trend Micro Apex One SaaSはセキュリティをクラウドからサービスとして提供する (Security as a Service)として、クラウド基盤を活用した新しいインシデント対応を行っています。

管理サーバのメンテナンスを不要とし、自動アップデートにより運用管理工数を大幅に削減、管理コストの最適化を図ることのできる「サービスとしてのセキュリティ (SaaS)」です。

別途ライセンスを購入することで利用できるEDR機能は、不正な通信が発生した箇所や発生元のプロセスを特定するだけでなく、わかりやすく図で示されるため、インシデントの調査・分析から対処(端末の論理隔離、プロセスの強制終了)までをシームレスに実現します。また、XDR: Endpoint and Serverを購入することでセキュリティレイヤー全体にわたって異常な挙動を検索し、複雑な攻撃を特定するXDR機能をご利用いただくことも可能です。

CAS: 高度な脅威からクラウドメールサービスのメールやファイル共有サービス上のデータを保護

Trend Micro Cloud App Security™(CAS)はMicrosoft 365のメールサービスやファイル共有サービス等でやりとりをするメールやファイルに含まれるランサムウェアや標的型サイバー攻撃によく利用されるOfficeファイルをはじめとするビジネスでよく使用される形式のファイルに潜む不正プログラムを検出します。

ドキュメントエクスプロイトの検出技術と挙動分析により未知の不正プログラム、不正URLも検出できるメール・コラボレーションセキュリティ製品で人間のセキュリティ意識と合わせ効果的にランサムウェアを防御することができます。

※すべての未知の脅威に対応するものではありません

また、トレンドマイクロではExchange Onlineを使用しているお客さま向けに今まですり抜けていた脅威をスポットで可視化するためのサービスとして以下のサービスをご提供しております。

ご活用いただける環境にありましたらぜひお試しください。

Trend Micro Security Assessment Service

この課題を解決する製品

導入前の製品や購入に
関するお問い合わせ
ご担当者様の課題解決を電話やメールで受け付けます。
製品や購入に関するご不明点がある方はお気軽にご相談ください。

導入前の製品や購入に関する
お問い合わせ

オンライン見積り
トレンドマイクロのセキュリティ対策製品のお見積りを
オンラインでご確認いただけます。

オンライン見積り