コロナ禍における Security & Safety
「通信経路に潜む脅威から端末を保護」

テレワークに対応できる環境づくりを急いで整えたものの、VPNルーターが要因となり社内ネットワークに不正侵入されたり、無線LANを経由した情報漏洩事故が発生したり…。通信経路に潜む脅威にはどのように対応すれば良いのでしょうか。
端末と通信経路をテーマに、ベンダー各社のエキスパートに効果的なソリューションについて伺いました。

インタビュイのご紹介: 大日本印刷(DNP)的田 氏、インテリジェント ウェイブ(IWI)山形 氏、イエラエセキュリティ 鈴木 氏

(写真左から)

大日本印刷株式会社
 情報イノベーション事業部 PFサービスセンター IoSTプラットフォーム本部 本部長
 辰己 光平 Kohei Tatsumi

株式会社インテリジェント ウェイブ
 第三システム開発本部 開発第三部 第三課 セキュリティ技術担当 サブリーダー
 山形 陽平 Yohei Yamagata

株式会社イエラエセキュリティ
 事業推進部 事業推進課 課長
 鈴木 正泰 Masayasu Suzuki

  • 所属・肩書などは、2020年12月取材時のものです。


VPNルーター、無線LANアクセスポイント…
通信経路に潜む脅威から端末を保護



セキュリティ向上を目指してVPN機器を導入したはずが……

――コロナ禍以降、自宅などの社外から企業内のネットワークへ接続するために、VPNが使われる機会が多くなりました。企業はどのようなことに留意すべきなのでしょうか。

鈴木:まず確認していただきたいのはセキュリティパッチの適用状況です。VPNルーターの脆弱性を利用されると、不正アクセスされ情報流出してしまう恐れがあります。JPCERT/CCからも、VPNルーターにセキュリティパッチを適用するよう注意喚起が出されています。

――VPNルーターの設定が原因で被害を受けたというケースも増えているようですね。

鈴木:テレワークでVPNが急遽必要となり、急いで導入された企業では、機器のセキュリティパッチが当たっていない状態で使用してしまっていることがあります。それが原因で不正侵入されたというケースや、セキュリティパッチが当たっていても、設定に不備があり不正侵入されてしまうこともあります。ネットワーク形態にもよりますが、VPNルーターに不正侵入されると、社内ネットワークに容易に侵入できてしまうので、認証情報を保護すること自体が大事な要素になります。

――既にVPNルーターを導入している企業が、今後も安全に使用するためには、どのようなことが必要なのでしょうか。

鈴木:VPNルーターにいまご紹介したような脆弱性がないかを調べたり、VPNで接続するPCがマルウェアに感染していた場合、社内ネットワークや業務PCへ攻撃者が侵入できないかなどを検証する、ペネトレーションテストを行うと良いと思います。



ソフトウェアでVPN接続を実現

――VPNルーターの脆弱性や、設定の不備が不正侵入の要因になってしまうのですね。

辰己:大日本印刷ではVPNルーターを使わず、ソフトウェアだけでVPN接続ができる「Multi-Peer VPN」を提供しております。現在のネットワーク構成には手を加えず、個々の端末にソフトウェアをインストールするだけでVPNが利用できます。

――ソフトウェアでVPNを実現するメリットは何ですか。

辰己:VPNルーターを使用せず個々の端末がVPN接続しますので、昨今報道されているような、VPNルーターの脆弱性や設定ミスを狙われて攻撃された結果、社内すべての端末が脅威にさらされる心配がありません。また、多段階・多要素の相互認証をしているので、フィッシングサイトなどから漏洩したパスワードによる、パスワードリスト攻撃に対応できることも特長です。端末の認証は、認証サーバーで一括管理しますので、個々の端末の管理や設定の手間もありません。

――認証方法について少し詳しく教えてください。

辰己:まず端末から、弊社の認証サーバー(クラウド)に対して認証を依頼します。ログインIDとパスワード、さらに独自に発行している電子証明書による相互認証を行い、お互いの信頼性を確保します。認証で正当性が確認できた端末同士に対し、認証サーバーが端末同士の直接接続を実現し、以降、端末同士がPeer to PeerでVPN接続して通信を行います。中継サーバーなどを経由しないので、情報漏洩のリスクが少ないです。

――どのような使い方に向いている製品なのですか。

辰己:テレワーク環境における接続の方法は、シンクライアントとリモートデスクトップの2つに大きく分けられると思います。Multi-Peer VPNの特長が高い評価をいただいているのは、どちらかというとリモートデスクトップ、さらにいえばBYOD(Bring Your Own Device)でリモート接続する場合です。最近では流通業や産業機器メーカーで採用していただいていますし、弊社のBYOD環境でも採用しています。WindowsやLinuxだけでなく、iOSやAndroidにも対応しているので、タブレット端末を利用するモバイルワークにも対応できます。

DNP Multi-Peer VPN 構成イメージ

「DNP Multi-Peer VPN」の構成イメージ



アクセスポイントが原因の情報漏洩事故

――テレワークに限らず、モバイルワークではノートPCやタブレット、スマートフォンを使うことが多いので、アクセスポイントを設置する企業も多いかと思います。

山形:そうですね。そのような企業には、悪意を持った人が不正なアクセスポイントを設置し情報を盗聴する、という攻撃にもご注意いただきたいですね。

――勝手に設置されるアクセスポイントに対して、企業で対策できることはありますか。

山形:弊社で扱っている「WifiWall Dome」は、近くに不審なアクセスポイントがないかを検知し、ユーザーに接続させないようにする製品です。企業が設置したアクセスポイントの近くに専用の小さな機器を配置します。

――どのような企業からのお問い合わせが多いですか。

山形:ホテルやカフェ、商業施設、空港など、生活者に対して安全なアクセスポイントを提供したい企業からの引き合いが増えています。ほかにも、社屋内やサテライトオフィス、工場のような広大な施設を持つ企業から、不正なアクセスポイントが設置されていないかどうか、無線LANネットワークを安全に運用するという目的で関心をいただいています。

WifiWall Dome 利用イメージ

「WifiWall Dome」の利用イメージ



VPNの将来像とゼロトラスト

――テレワークの拡大とともにVPNは広く使われるようになりましたが、その必要性は将来どのようになると考えていますか。

辰己:VPNは特定のネットワークへ接続する時に利用する仕組みですので、つなぐ先、例えばオンプレミスの企業ネットワークが存在することが前提になります。当面は企業ネットワークが存在するので、VPNの必要性はなくならないでしょう。

鈴木:これは個人的な推測ですが、5~10年先になると企業ネットワークは無くなり、多くのシステムがクラウドベースになるのではないかと推測しています。

――そうなると、VPNは使わなくなるでしょうか。

鈴木:企業の業務環境がオンプレミスからクラウドになると、ゼロトラストという概念が重要になってきます。VPNで接続されている端末は信頼できるものという前提のもと運用されていることがあるので、ゼロトラストの概念が浸透するとVPNを前面に打ち出したシステム利用形態が減るでしょう。しかしVPN技術自体は利用され続けると思います。

――コロナ禍でテレワークが浸透したことは、ゼロトラストという考え方にも影響を与えているのでしょうか。

山形:テレワークの拡大とともに、端末の管理が行き届かず、セキュリティパッチの配布が難しいケースが増え、信用できない端末が増えています。このような状況に対応できる製品として、比較的、頻繁にアップデートをする必要がない「Morphisec」を弊社では扱っております。頻繁にアップデートすることが難しい環境でのご要望をいただくことが多く、最近はテレワークで使用している業務端末で利用したいという声が多いです。また、コロナ禍以前より工場などの環境で利用したいとの引き合いをいただいております。


――なぜ、頻繁にアップデートをする必要がないのでしょうか。

山形:シグネチャベースではないからです。Morphisecはメモリアドレスの保護に特化した製品です。プロセスが使用するメモリアドレスをランダムにすることによって、アプリケーションの脆弱性を突く攻撃を無効化します。

――Morphisecを導入すれば、端末の保護は十分なのでしょうか。

山形:いいえ。脆弱性を突く攻撃には有効ですが、脆弱性を利用しない単純な攻撃には対応できません。どのようなセキュリティ製品にも共通して言えることですが、複数のものを併用して多層防御することが望ましいです。

MorphisecとMicorsoft Defenderで、未知の攻撃からも既知の攻撃からもエンドポイントを守る

「Morphisec」と「Microsoft Defender」との併用で、あらゆるマルウェアに対処
(Morphisecは、Windows 10 標準搭載のセキュリティソフトMicrosoft Defenderを管理する機能を備えています)



■この記事で紹介したソリューション

ネットワーク脆弱性診断【ペネトレーションテスト】(株式会社イエラエセキュリティのサイト)
DNP Multi-Peer VPNをクラウド上で提供【DNPセキュア通信サービス】
WiFiネットワークを監視・保護【WifiWall Dome】(株式会社インテリジェント ウェイブのサイト)
頻繁なシグネチャ更新不要、オフライン環境にも有効なエンドポイントセキュリティ対策【Morphisec】



■関連ソリューション

DNPでは、テレワークセキュリティ関連ソリューションのほか、各種セキュリティソリューションをご提案・提供しています。お気軽にご相談ください。

貴社テレワークのセキュリティレベルを可視化【テレワーク向けセキュリティ診断サービス】
顔認証技術で情報漏洩を防ぐ【テレワークサポータ―】
特権ID管理・クラウドサービスにも対応【iDoperation】
内部不正を防ぐPC操作画面録画ソフトウェア【iDoperation SC】
内部不正を防ぐPC操作制御・ログ監査【CWAT】
従業員のセキュリティ知識&モラル向上を支援【情報セキュリティ教育】

その他のセキュリティソリューション:
セキュリティソリューション製品・サービス一覧



■関連コンテンツ

コロナ禍における Security & Safety【連載コラム】
AIや非接触認証技術が変える感染症拡大防止策
セキュリティを正しくとらえ、安全なビジネス環境を考える
労働環境の多様化で増加するクラウドのセキュリティの必要性
・通信経路に潜む脅威から端末を保護 <現在のページ>
テレワーカーの「行動管理」で不正を未然に防止



■その他

  • 記載されている会社名、システム名、製品名、サービス名等は、各社の商標または登録商標です。


「このコラムで紹介した製品・サービス」

その他のコラム