テレワーク環境における
リモートアクセス認証の脆弱性
前回、テレワークにおける業務情報交換にはデバイスや紙の利用ではなく、クラウドの利用を薦めると述べた。クラウドを利用することで、ビジネススピードの向上と社員のストレス緩和が望めるからだ。それでは、セキュリティリスクについてはどうだろうか。今回は、インターネット接続時のリスクについて考えてみよう。
テレワークにおける業務用PCからの
インターネット接続時のリスク
インターネットに接続する際に求められるセキュリティ対策は会社と自宅で異なる。会社では一般的にネットワークの出入口に設置されているUTM(Unified Threat Management:統合脅威管理)により、業務用PCが接続される社内ネットワークを守っている。そのUTMは下記のような多くの役割を担っている。
・ファイアウォール:ネットワーク攻撃遮断
・IDS(Intrusion Detection System):不正侵入検知
・IPS(Intrusion Prevention System):不正侵入防御
・アンチスパム:フィッシングなどスパムメールの検知
・アンチウイルス:マルウェア検知/ブロック
・Webフィルタリング:不正サイトへの接続禁止
では自宅で仕事をする時はどうだろうか。自宅で業務用PCを利用して仕事をする際にインターネット接続は必須だが、前述したUTMを自宅に設置しているケースはほとんどないだろう。そのため大企業の多くはVPNなど、セキュアなリモートアクセスを実現するための環境を導入している。しかし会社の規模が小さくなるにつれて、このような環境を導入している企業は少なくなる。
テレワーク環境から会社のサーバーやインターネットへの接続時、企業がどのような方法をとっているか、ここで整理してみたい。大きく以下の三つに区分される。
1.会社のサーバーに接続する場合もインターネット接続する場合もリモートアクセスを経由する
2.会社のサーバーに接続する場合はリモートアクセス、インターネット接続する場合は直接接続する
3.会社のサーバーに接続する場合は出勤する。インターネット接続する場合は直接接続する
上記の中で1.は最も安全に見えるかもしれないが、実は1.~3.の全てにおいて意識しなければならないリスクが存在する。まず1.ではリモートアクセス認証の脆弱性やリモートアクセスの強制力がリスクとして挙げられる。基本的なことではあるが、気付いていない企業、対策していない企業が少なくない。
2.ではリモートアクセス認証の脆弱性に加えて、インターネットへの直接接続によるマルウェア感染や情報漏えいのリスクがある。3.ではインターネットへの直接接続のリスクに加えて、業務の効率化という名目で企業で許可していない個人契約メールやクラウドサービスの利用が助長されることが懸念される。その結果、情報漏えいのリスクが増大する。
では各リスクに対してどのように対処すればよいのだろうか。ここでは上記の1.と2.でリスクとして挙げた中から、「リモートアクセス認証の脆弱性」への対処を紹介する。
ランサムウェアによる被害の一因
リモートアクセス認証の脆弱性
リモートアクセス認証の脆弱性として主に以下の三つが挙げられる。
A.リモートアクセスツール(VPNなど)のパッチ適用漏れ
B.パスワードの弱さ
C.ID/パスワードの漏えいによる不正アクセス
A.への対策としては、まずはリモートアクセスツールの管理者を明確にすることだ。リモートアクセスツールに限った話ではないが、ハードウェアやソフトウェアには必ずと言っていいほどバグが存在し、そのバグに対する修正パッチが配布されている。
このような情報は利用しているリモートアクセスツールの保守サポートを契約していれば入手できる。保守サポートを契約していなくても、JPCERTコーディネーションセンターによる注意喚起情報(https://www.jpcert.or.jp/at/)の定期的な閲覧や、情報提供用メーリングリストへの登録により入手できる。管理者はパッチが配布されたらすぐに適用を検討しよう。
B.の「パスワードの弱さ」への対策としては、パスワード規則を決めるとともにリモートアクセスシステムの設定で規則に沿ったパスワードを強制的に設定させるようにする。パスワードは長さと複雑さが重要だ。一般的な攻撃用サーバーを用いた場合、数字8桁のパスワードであれば数分、数字10桁であれば数時間で破られてしまう。英数字8桁でも数日で破られてしまう。長さと複雑さを強制できるように設定しよう。
C.の「ID/パスワードの漏えいによる不正アクセス」への対策としては、漏えいしても悪用されないように多要素認証を導入する。ID/パスワードに加えてデジタル証明書やアクセス元のデバイス、USBなどのキー、スマートフォンやメールあるいはSMSなどと連動するワンタイムパスワード、生体情報などを組み合わせて認証することを検討したい。
* * *
今回はリモートアクセス認証の脆弱性について説明したが、これは昨今、世界中で広がっているランサムウェアによる被害の一因となっている。基本的なことではあるが、対処できていない企業が多いので、今一度、見直してほしい。
次回はリモートアクセスを強制できていない場合の問題点と、それに伴うリスクについて解説する。
master:
早稲田大学グローバル
エデュケーションセンター 非常勤講師
日立ソリューションズ
セキュリティソリューション事業部 企画本部
セキュリティマーケティング推進部 部長
セキュリティエバンジェリスト
扇 健一 氏