コロナ禍における Security & Safety
「通信経路に潜む脅威から端末を保護」

(写真左から）

・大日本印刷株式会社
　情報イノベーション事業部　PFサービスセンター　IoSTプラットフォーム本部　本部長
　辰己 光平　Kohei Tatsumi

・株式会社インテリジェント ウェイブ
　第三システム開発本部　開発第三部　第三課　セキュリティ技術担当　サブリーダー
　山形 陽平　Yohei Yamagata

・株式会社イエラエセキュリティ
　事業推進部　事業推進課　課長
　鈴木 正泰　Masayasu Suzuki

――コロナ禍以降、自宅などの社外から企業内のネットワークへ接続するために、VPNが使われる機会が多くなりました。企業はどのようなことに留意すべきなのでしょうか。

鈴木：まず確認していただきたいのはセキュリティパッチの適用状況です。VPNルーターの脆弱性を利用されると、不正アクセスされ情報流出してしまう恐れがあります。JPCERT/CCからも、VPNルーターにセキュリティパッチを適用するよう注意喚起が出されています。

――VPNルーターの設定が原因で被害を受けたというケースも増えているようですね。

鈴木：テレワークでVPNが急遽必要となり、急いで導入された企業では、機器のセキュリティパッチが当たっていない状態で使用してしまっていることがあります。それが原因で不正侵入されたというケースや、セキュリティパッチが当たっていても、設定に不備があり不正侵入されてしまうこともあります。ネットワーク形態にもよりますが、VPNルーターに不正侵入されると、社内ネットワークに容易に侵入できてしまうので、認証情報を保護すること自体が大事な要素になります。

――既にVPNルーターを導入している企業が、今後も安全に使用するためには、どのようなことが必要なのでしょうか。

鈴木：VPNルーターにいまご紹介したような脆弱性がないかを調べたり、VPNで接続するPCがマルウェアに感染していた場合、社内ネットワークや業務PCへ攻撃者が侵入できないかなどを検証する、ペネトレーションテストを行うと良いと思います。

――テレワークに限らず、モバイルワークではノートPCやタブレット、スマートフォンを使うことが多いので、アクセスポイントを設置する企業も多いかと思います。

山形：そうですね。そのような企業には、悪意を持った人が不正なアクセスポイントを設置し情報を盗聴する、という攻撃にもご注意いただきたいですね。

――勝手に設置されるアクセスポイントに対して、企業で対策できることはありますか。

山形：弊社で扱っている「WifiWall Dome」は、近くに不審なアクセスポイントがないかを検知し、ユーザーに接続させないようにする製品です。企業が設置したアクセスポイントの近くに専用の小さな機器を配置します。

――どのような企業からのお問い合わせが多いですか。

山形：ホテルやカフェ、商業施設、空港など、生活者に対して安全なアクセスポイントを提供したい企業からの引き合いが増えています。ほかにも、社屋内やサテライトオフィス、工場のような広大な施設を持つ企業から、不正なアクセスポイントが設置されていないかどうか、無線LANネットワークを安全に運用するという目的で関心をいただいています。

――テレワークの拡大とともにVPNは広く使われるようになりましたが、その必要性は将来どのようになると考えていますか。

辰己：VPNは特定のネットワークへ接続する時に利用する仕組みですので、つなぐ先、例えばオンプレミスの企業ネットワークが存在することが前提になります。当面は企業ネットワークが存在するので、VPNの必要性はなくならないでしょう。

鈴木：これは個人的な推測ですが、5～10年先になると企業ネットワークは無くなり、多くのシステムがクラウドベースになるのではないかと推測しています。

――そうなると、VPNは使わなくなるでしょうか。

鈴木：企業の業務環境がオンプレミスからクラウドになると、ゼロトラストという概念が重要になってきます。VPNで接続されている端末は信頼できるものという前提のもと運用されていることがあるので、ゼロトラストの概念が浸透するとVPNを前面に打ち出したシステム利用形態が減るでしょう。しかしVPN技術自体は利用され続けると思います。

――コロナ禍でテレワークが浸透したことは、ゼロトラストという考え方にも影響を与えているのでしょうか。

山形：テレワークの拡大とともに、端末の管理が行き届かず、セキュリティパッチの配布が難しいケースが増え、信用できない端末が増えています。このような状況に対応できる製品として、比較的、頻繁にアップデートをする必要がない「Morphisec」を弊社では扱っております。頻繁にアップデートすることが難しい環境でのご要望をいただくことが多く、最近はテレワークで使用している業務端末で利用したいという声が多いです。また、コロナ禍以前より工場などの環境で利用したいとの引き合いをいただいております。

――なぜ、頻繁にアップデートをする必要がないのでしょうか。

山形：シグネチャベースではないからです。Morphisecはメモリアドレスの保護に特化した製品です。プロセスが使用するメモリアドレスをランダムにすることによって、アプリケーションの脆弱性を突く攻撃を無効化します。

――Morphisecを導入すれば、端末の保護は十分なのでしょうか。

山形：いいえ。脆弱性を突く攻撃には有効ですが、脆弱性を利用しない単純な攻撃には対応できません。どのようなセキュリティ製品にも共通して言えることですが、複数のものを併用して多層防御することが望ましいです。

・ネットワーク脆弱性診断【ペネトレーションテスト】(株式会社イエラエセキュリティのサイト）
・WiFiネットワークを監視・保護【WifiWall Dome】（株式会社インテリジェント ウェイブのサイト）
・頻繁なシグネチャ更新不要、オフライン環境にも有効なエンドポイントセキュリティ対策【Morphisec】

DNPでは、テレワークセキュリティ関連ソリューションのほか、各種セキュリティソリューションをご提案・提供しています。お気軽にご相談ください。

・貴社テレワークのセキュリティレベルを可視化【テレワーク向けセキュリティ診断サービス】
・顔認証技術で情報漏洩を防ぐ【テレワークサポータ―】
・特権ID管理・クラウドサービスにも対応【iDoperation】
・内部不正を防ぐPC操作画面録画ソフトウェア【iDoperation SC】
・内部不正を防ぐPC操作制御・ログ監査【CWAT】
・従業員のセキュリティ知識＆モラル向上を支援【情報セキュリティ教育】

その他のセキュリティソリューション：
・セキュリティソリューション製品・サービス一覧

コロナ禍における Security & Safety【連載コラム】
・AIや非接触認証技術が変える感染症拡大防止策
・セキュリティを正しくとらえ、安全なビジネス環境を考える
・労働環境の多様化で増加するクラウドのセキュリティの必要性
・通信経路に潜む脅威から端末を保護 ＜現在のページ＞
・テレワーカーの「行動管理」で不正を未然に防止