ランサムウェア

盲点を突いてくるランサムウェアの脅威認知と企業での対応策を解説

ランサムウェア

日本国内では連日サイバー攻撃による被害が報告されていますが、その中でも特にランサムウェアによる被害が急増しています。警視庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェアの被害は21年上半期が61件だったのに対し、22年上半期は114件と倍近く報告されています。そこで今回はランサムウェアの被害の実態とその被害から学び取れるセキュリティ対策について解説します。

 

ランサムウェアとは

昨今、日本国内で多くの企業に被害を及ぼしているランサムウェアとはそもそも何でしょうか。
ランサムウェアとは、企業のシステムなどへ不正に侵入し、重要なデータやファイルを暗号化し、暗号解除のためのパスワードを知りたければ身代金の支払いを要求するサイバー攻撃の一種で、日本語では身代金要求型ウイルスとも言います。ランサムウェアに感染してしまうと、会社システムに多大な影響を及ぼし、業務全体がストップしてしまう可能性もあります。また身代金を支払ったとしてもパスワードを教えてくれる確証はないため、感染後の対応が非常に困難なサイバー攻撃の1つです。最近ではDDoS攻撃の脅威を追加した「三重脅迫型」攻撃も増加しており、企業としても避けたいサイバー攻撃と言えます。

 

日本国内でのランサムウェアの被害状況

前述のとおり、日本国内ではランサムウェアによる被害報告が前年度と比べ、倍近く報告されています。また全世界に目を向けてみると全サイバー攻撃中、ランサムウェア攻撃が占める割合が20%と高い比率をしめており、その被害総額も200億ドルと甚大な被害を及ぼしています。ランサムウェアに感染してしまうと、業務にも多大な影響を及ぼしかねず、最近ですと、日本国内でも複数の医療機関がランサムウェアのターゲットとなり、甚大な被害を被っています。次の内容で実例を紹介しながら、どのような被害があったのか見てみましょう。

大阪急性期・総合医療センター

大阪急性期・総合医療センターとは、大阪市住吉区にある地方独立行政法人の医療機関です。病床数は865床と多く、急性期医療から高度な専門医療に対応しています。この施設は大規模で幅広い医療に対応していて、かつ大阪府内に3ヶ所しかない高度救命救急センターであり重要な施設になります。

サイバー攻撃の内容

この施設は、2022年10月31日に、ランサムウェアによるサイバー攻撃を受けました。
当時、サーバ上の画面に英文脅迫メッセージが確認されており、脅迫文には暗号化したファイルを復号したければビットコインでの支払いを要求する旨が記載されていたとのことです。同センターは要求には応じず、今後の対応については厚生労働省などと協議するとし、また政府からもソフトウェア協会の専門家3名を現場に派遣し、調査を実施しています。この攻撃の影響で 1週間経過しても、電子カルテシステムが復旧できず、緊急以外の手術や外来診療は一時停止する事態となりました。完全復旧のめどとしては2023年1月を予定しているとのことです。

なぜランサムウェア攻撃を仕掛けられたのか?

ランサムウェア攻撃の被害調査にあたり、同センターが委託していた給食提供サービス「ベルキッチン」の事業者であるデータセンター内サーバーを通じ、侵入された可能性があることが判明しました。同センターの電子カルテのオーダリングシステムで食事内容等の食事情報に関係する発注が行われ、院内の給食関係システムに情報集約後、ベルキッチン宛てに送信される構造でした。サーバ間はベルキッチン側の仕様で、攻撃自体はVPN機器に対して行われており、ソフトウェアの更新も行われていない脆弱な状態が悪用された可能性が指摘されています。同センターは徳島県つるぎ町立半田病院と同一機器を使用しており、半田病院もランサムウェア攻撃の被害を受けるに至りました。

徳島県つるぎ町立半田病院も標的に

前述のとおり大阪急性期・総合医療センターでの事件に付随して、2021年10月に徳島県のつるぎ町立半田病院 でもランサムウェアによる被害が報告されています。同じく電子カルテシステムで患者情報を確認出来なくなり、診療報酬の請求も止まりました。大阪市の病院と同様に、新規患者受け入れ停止など業務の大幅な制限を余儀なくされ、対策を比較検討した結果、新規のサーバーに同様のシステムを構築する対策を実施しました。その対策に要した概算費用は2億円にのぼりました。

 

2つの被害の共通点

こちらの2つの事例にはある共通点があります。それは両病院とも同じ会社が提供するVPNを使用していた点です。システムがアップデートされておらず、その脆弱性をつかれ攻撃の対象となりました。VPNは低コストで拠点間通信が可能であることから、企業のセキュリティ対策の一環として広く普及しています。ただし、VPNの種類によっては、セキュリティレベルに差があるため、今回の事例のように情報漏洩のリスクが完全にゼロではありません。VPNの構造自体にはセキュリティがある程度確保されていますが、企業がVPNを導入し利用するにあたり、利用方法が難しく正しく活用できていなかったり、アップデートの不十分やVPNの認証が1段階などの要素がサイバー攻撃の抜け穴となる可能性があります。そのためVPNを導入して終わりではなく、ユーザが簡単に利用でき、また多要素認証を導入しセキュアなシステム構築などが企業に求められます。

 

まとめ

ランサムウェアは企業に多大な被害をもたらすため、企業等では事前に対策を講じ、回避することが重要なポイントとなってきます。そこでお勧めしたいのが「Cloudbric RAS」です。Cloudbric RASはVPNを構築せず、 DNS情報の変更のみで手軽に導入 ができ、安全な社内システムへのアクセスを提供します。またユーザは特別な操作をする必要はないためトレーニングなどは必要なく、また Google OTP及びメールアドレス認証を行うことで「二要素認証」を実現し、よりセキュアな環境を提供します。外部からの社内システムアクセスに係わるセキュリティ懸念点の払拭には、ぜひCroudbric RASの導入をご検討ください。

MFAとは?定義から必要性、セキュリティを強化するためのポイントを徹底解説

MFAとは?定義から必要性、セキュリティを強化するためのポイントを徹底解説

 

MFA、MFAとは?定義から必要性、セキュリティを強化するためのポイントを徹底解説

クラウドサービスやテレワークが普及し、企業や従業員が外部から社内の機密情報にアクセスする機会が増えつつあります。利便性が高まっていることは確かですが、不正アクセスなどのリスクについても考え直さなければなりません。アプリケーションやシステムにおいて、情報へのアクセス権限を確かめる認証機能は、セキュリティ対策として最も基本的な仕組みの1つです。ここでは、認証の方式として近年注目されているMFA(「多要素認証」)について解説し、なぜMFAが必要なのか、MFAを使ってセキュリティをさらに強化するためのポイントについて解説します。

 

MFAとは

MFAは、複数の要素を組み合わせて認証を行うことでなりすまし等の被害を防ぐセキュリティ対策の1つです。ここではMFAの概要について、より詳しく解説していきます。

MFAの定義

MFAは「Multi-Factor Authentication」の略称で、日本語では「多要素認証」と言われます。アプリケーションやシステムにおいて、アクセスを試みているユーザが正規のユーザかどうかを確かめることを「認証」と言います。MFAはその認証の中でも、複数の要素を用いて認証する仕組みのことを指しています。

MFAが成立するためには、次の3つの要素のうち、2つ以上を組み合わせる必要があります。
・知識情報(パスワードや秘密の質問など)
・所持情報(ICカード、スマートフォンなど)
・生体情報(指紋、声紋、虹彩など)

「知識情報」は、その人が「知っている」情報のことです。パスワードや秘密の質問への答えなど、正規の利用者しか知らないはずの情報を使って認証します。

「所持情報」は、その人が「持っている」情報のことです。ICカード内のチップや、スマートフォンのようなモバイル端末など、正規の利用者しか持っていないはずの情報を使って認証します。

「生体情報」は、その人が「どのような身体的特徴を持つか」を示す情報です。指紋や虹彩といった、人によって異なる身体的特徴を使って認証します。

MFAは、これら3要素のうち2要素以上を使った認証を指します。異なる要素を2つ以上必要とするため、なりすましのリスクが大きく下がるのが特徴です。

二段階認証との違い

「MFA(多要素認証)」と似た言葉として、「二段階認証」という認証方式があります。二段階認証は、要素の違いを問わず、2回のチェックを行う認証方式のことです。例えば、「パスワード」の入力を求めた後で「秘密の質問」による認証を行う、という仕組みは「二段階認証」です。パスワードも秘密の質問も同じ「知識情報」のため、多要素ではありません。多要素認証は、あくまでも異なる要素を組み合わせなければなりませんが、二段階認証は要素の違いは考慮せず、ただ「2回認証する」ということだけに着目した認証方式です。

ゼロトラストとの関係

MFAは、ゼロトラストによるセキュリティを実現するための認証方式として採用され始めています。近年では、「ゼロトラスト」というセキュリティの考え方があります。「ゼロトラスト」とはネットワークの内外やデバイスを問わず、「何も信頼しない」ことを前提としてセキュリティ対策を講じる、という考え方のことです。内部のネットワークやデバイスを信頼しないため、より厳格な認証方式としてMFAが利用されているのです。MFAはゼロトラストによるセキュリティを実現するための方策の1つとして、多くの場面で採用され始めています。

 

MFAで使われる認証方式の例

MFAには様々な例があります。実際にMFAでよく使われる認証方式の例について解説します。

ワンタイムパスワード(知識情報・所持情報)

1つ目は「ワンタイムパスワード」です。IDとパスワードを入力した後で、ユーザのデバイス宛てにワンタイムパスワードを送信し、そのワンタイムパスワードの入力によって再度認証します。ID・パスワードという「知識情報」と、デバイスという「所持情報」を使った多要素認証です。

デジタル証明書(知識情報・所持情報)

2つ目は「デジタル証明書」です。あらかじめ特定の端末に証明書をインストールしておき、パスワード等の情報と共に認証を行います。特定の端末からしかアクセスできないため、より厳密な端末管理ができます。パスワードをはじめとする「知識情報」と、証明書をインストールした端末という「所持情報」を利用した多要素認証です。

リスクベース認証

3つ目「リスクベース認証」です。厳密には、リスクベース認証は多要素認証の一種ではありませんが、リスクベース認証のために多要素認証が使われるのが一般的です。リスクベース認証とは、普段と異なる場所や時間・デバイスでのアクセスが試みられた際に、パスワード等による通常の認証に加え、さらに追加での認証を要求する認証方式を指します。常に多要素認証を要求するよりも利便性が高い、というメリットがあります。追加での認証の際にはワンタイムパスワードを利用するなど、パスワード等の知識情報とは別要素での認証がより効果的です。

 

 MFAの必要性

そもそも、MFAはなぜ必要なのでしょうか。ここでは、MFAの必要性と役割について解説します。

なぜMFAが必要なのか

MFAは、セキュリティを強化するために必要な仕組みです。パスワードのみによる従来の認証方法は、パスワード管理の甘さやブルートフォース攻撃などによる不正アクセスのリスクが高く、扱う情報によっては不十分なセキュリティ対策でもあります。MFAは、1つの要素による認証を突破されただけでは情報漏えいに至らないため、特に扱う情報の重要性が高い場合は、強固なセキュリティを築くために必要と言えます。

MFAは企業の情報資産を守れる?

MFAは、企業の情報資産の保護につながることが期待されています。企業では、多くの重要な情報資産を扱うため、個人よりも強固なセキュリティを構築しなければなりません。近年ではリモートワークなどの普及に伴い、外部から企業内部のシステムやネットワークにアクセスする機会も増えています。そうした事態の変化に伴い、企業に求められるセキュリティのために、MFAの導入を検討すべき事例は増えているでしょう。

 

MFAでのセキュリティを強化するためのポイント

MFAがセキュリティ対策として効果があるとは言っても、ただMFAを導入すれば良いという訳ではありません。ここでは、MFAでセキュリティをさらに強化するためのポイントについて解説します。

パスワードポリシーの強化

MFAをはじめ、パスワードを使ったあらゆる認証方式では、パスワードポリシーを強化することが大切です。具体的には、「最低8文字以上」「英大文字小文字・数字・記号のうち3種以上を使用する」「IDと同一の文字列は利用不可」といった形で、推測されにくいパスワードポリシーを設定し、定期的な変更を義務付けることが大切です。

情報の使いまわしを避ける

パスワードのように、認証情報の使いまわしを避けることもポイントです。複数のサービスで同じパスワードを使いまわすと、一つのサービスから情報漏えいがあった場合に他のサービスでも不正アクセスにつながる可能性が高まります。企業では社員教育を徹底し、複数のサービスで認証情報を使いまわさないように注意すると良いでしょう。

端末やパスワード管理の徹底

MFAは、複数の要素での認証によって不正アクセスを防ぐ仕組みです。そのため、パスワードの流出や端末の紛失などが万が一あったとしても、即座に不正アクセスにつながるとは言い切れません。しかし、強固なセキュリティを維持するためには、パスワードや端末を厳重に管理しなければなりません。MFAだからと油断せず、厳重な管理や社員教育が大切です。

 

まとめ

MFA(「多要素認証」)は、知識情報、所持情報、生体情報の3つの要素のうち、2要素以上を組み合わせて認証する認証方式です。単一の要素のみでの認証に比べてセキュリティを強化できるため、機密情報へのアクセスの際などに導入することをおすすめします。
MFAを始めとするセキュリティ対策を施す際には、専門家の手によるサービスを利用するのがおすすめです。MFAを実現するのにおすすめのソリューションが「Cloudbric RASです。ゼロトラストを基盤としたセキュリティプラットフォームで、セキュアな認証を実現できます。また、ユーザも管理者もブラウザベースで利用できるため、利便性にも優れています。WAFソリューション「Cloudbric WAF+」との併用でさらにセキュリティを強化できるため、Webアプリケーションを利用している企業での導入が特におすすめです。

Cyber Security Global Excellence Awards 2022 Picture

クラウドブリック、2022 Cyber Security Global Excellence Awardsにて銀賞受賞!

Cyber Security Global Excellence Awards 2022 Picture

この度、クラウドブリックは、「Web Application Security and Firewalls」部門で銀賞を受賞いたしました。それに加え、「Most Innovative Security Service of the Year」部門でも銅賞を受賞しました。Cyber Security Global Excellence Awardsにおいては、初受賞となります。「Cloudbric WAF+」はWAF機能だけではなく、DDoS対策や悪性Bot遮断まで含んだセキュリティ対策、いわゆるWAAP(Web Application and API Protection)としてWebセキュリティ対策を提供している点、「Cloudbric RAS」においては簡単かつ安全なゼロトラストセキュリティ対策という点で世界中の専門家たちに高く評価されました。

「Web Application Security and Firewalls」部門で銀賞を受賞した「Cloudbric WAF+」は、独自開発した論理演算検知エンジンとWebトラフィック特性学習AIエンジンを搭載したエンタープライズセキュリティサービスです。このサービスはWAF機能だけではなくDDoS対策、脅威IP遮断、悪性Bot遮断機能まで提供しており、総合的なセキュリティ体制を整えることができます。

「Most Innovative Security Service of the Year」部門で銅賞を受賞した「Cloudbric RAS」は、DNS変更で簡単に導入できる最も安全なクラウド型ZTNA(Zero Trust Network Access)サービスです。このサービスはDirect ConnectやVPNを構築せずセキュアに企業システムへアクセスをサポートし、管理性・利便性とセキュリティを両立させます。

いつも弊社を応援して下さるお客様及びパートナ様に心より感謝申し上げます。これからもより良いサービスの提供ができるよう最善を尽くしてまいります。

▶受賞の詳細内容はこちらをご覧ください。
2022 Cyber Security Winners
https://globeeawards.com/cyber-security-global-excellence-awards/winners/

■ Cyber Security Global Excellence Awardsについて
2003年から始まったサイバーセキュリティグローバルエクセレンスアワードはセキュリティ及び情報技術において、世界で最も優秀な会社、製品、人、PRを選定して授賞しています。

▶授賞式の詳細はこちらをご覧ください。
https://globeeawards.com/

▶受賞した製品情報はこちらをご覧ください。

Cloudbric WAF+

Cloudbric RAS

ランサムウェアの状況とその対策サムネイル220114

2021年日本におけるランサムウェアの状況とその対策について

日本におけるランサムウェア状況とその対策

2020年1月から全世界を脅かしたコロナウイルスは我々の生活パターンを大きく変えてしまいました。コロナウイルスの影響で始まった新しい生活様式は「ニューノーマル」と呼ばれています。その生活様式はソーシャルディスタンスを保つことを中心にしています。この変化は日常生活だけではなく、働き方に関しても大きな影響を及ぼしています。会社に出勤する形ではなく、自宅やネットワークが繋がっている場所で仕事をする、いわゆるテレワークの時代が始まりました。

 

コロナウイルスがもたらした新しい働き方

テレワークはソーシャルディスタンスを保ちながら、企業運営ができる働き方なので、多くの企業が導入していますが、それにはある問題が伴います。それは企業の情報保護が難しくなることです。ネット上で多くの仕事が行われ、重要な情報が保存されるため、ハッカーに狙われやすいです。このような攻撃から情報を守るために、企業はセキュリティ対策に力を入れていますが、巧妙化している攻撃を完全に防ぐことは難しいです。数多くある攻撃の中で、最近急増しているのがランサムウェアによる攻撃です。

 

ランサムウェアとは

ランサムウェアはマルウェアの一種で、利用者のシステムへのアクセスを制御し、データを暗号化する不正プログラムです。暗号化されたデータを解除するためには身代金(Ransom、ランサム)を支払うように要求されるのが一般的です。従来のランサムウェアは不特定多数の利用者を狙っていましたが、最近には特定の個人や企業を標的にしていることも多くあります。ここでは、急増しているランサムウェアによる被害を調べ、その対策について解説いたします。

 

日本におけるランサムウェアの発生状況

警察庁が発表した資料によると、2021年(上半期)にランサムウェアによる被害報告が61件に達しました。この件数は2020年下半期と比べたら、約3倍が増加した数値です。

引用:「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」より作成

また、最近の事例ではデータの暗号化するだけではなく「データを窃取したあとに企業に対し、身代金を支払わなければ、窃取したデータを公開する」などのようなお金を要求する二重恐喝(ダブルエクストーション)による被害も見られます。ランサムウェアによる被害の中で、金銭の要求手口が確認された被害が35件であり、このうち二重恐喝は27件でした。この状況を見ると、これからのランサムウェアは従来の攻撃手口であった利用者のアクセスを制御する形だけではなく、直接金銭を要求するランサムウェア攻撃も多発する可能性が高くなると思われます。

 

ランサムウェアの感染経路

個人や企業を問わずに被害を与えているランサムウェアはどのような経路で感染されているのか調べてみましょう。警察庁の発表によると、多くの割合を占めていた経路はVPN機器からの侵入でした。次いで、リモートデスクトップからの侵入もあり、テレワーク時に使われるサービスを利用して侵入したのが約80%を占めていることがわかりました。では、日本で実際に発生したランサムウェアによる被害の実例を確認してみましょう。

 

日本で発生したランサムウェア「Cring」による被害

「Cring」は2020年12月頃全世界で活動した新しいランサムウェアであり、データの暗号化と窃取したデータを暴露するタイプである二重恐喝(ダブルエクストーション)型です。攻撃者はVPNの脆弱性を利用してITシステムへ不正侵入し、アクセスを制御し、ランサムウェアを感染させて、重要なデータを利用不可にします。このランサムウェアは2021年上半期から日本で多く発生しました。被害事例としては、管理するファイルサーバと業務サーバがシステム停止状態になるなど、企業運営に直接的に影響を及ぼす程度の被害もありました。

このように攻撃者はコロナで急変している働き方の脆弱なところを狙って攻撃を仕掛けてきます。この状況の中で、個人や企業は安全なテレワークの環境の構築とデータを守るためにはどのようなセキュリティ対策が必要なのでしょうか。

 

ランサムウェアを防御するセキュリティ対策とは

まず、簡単にできることは電子メールの警戒があります。未だにもランサムウェアは不特定多数に関心を引くような内容でメールを送って添付ファイルを開かせ、感染させる手口が多いです。対応としては送信先を確認してから添付ファイルを開くことやリンク先にアクセスしないように注意する必要があります。

次に、定期的にデータをバックアップしておき、感染に備えることも必要でしょう。しかし、バックアップデータも暗号化された事例もありますので、バックアップデータはネットワークから切り離して保管した方が望ましいです。

最後に、ネットワークの脆弱性を狙って攻撃し、感染させる手口もありますので、それに対する対策も必要です。多くの企業さんが安全なテレワーク環境を作るために、ZTNAを導入しています。ZTNA(ゼロトラストネットワークアクセス)はアクセスできる範囲や権限をきめ細かく設定したり、多要素認証を追加することでユーザの検証を行い安全性を確保します。

 

Cloudbric RASのご紹介

「Cloudbric RAS」についてご説明します。Cloudbric RAS(クラウドブリック・ラス)は、Cloudbric Security Platformにて選択できるZTNA(Zero Trust Network Access)ソリューションです。ユーザ観点の認証セキュリティを付加し「End To Endのゼロトラストセキュリティ環境」を提案します。安全なテレワーク環境を構築するための企業の課題を解決するSaaS型テレワーク・サービスであり、Direct ConnectやVPNを構築せずセキュアに企業システムへアクセスをサポートし、管理性・利便性とセキュリティが両立できるサービスを提供しています。

Cloudbric RASサービスの料金やサービス内容について詳細を知りたい方は、こちらをご覧ください。

 

まとめ

2021年日本におけるランサムウェア被害とその対策について説明しました。今後はより巧妙化したランサムウェアが特定の企業を標的にして攻撃することもあるでしょう。そのような攻撃からデータを安全に守るためには、適切なセキュリティ対策が必要になります。弊社が提案する対策を参考に安全なテレワーク環境を構築して頂ければ幸いです。

 

参考サイト
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_kami_cyber_jousei.pdf
https://www.ipa.go.jp/files/000093083.pdf
https://www.npa.go.jp/cyber/ransom/index.html

what is ztna2

ZTNA(Zero Trust Network Access)の重要性とは?メリットなども解説!

働き方改革とコロナ禍の影響から、日本企業でもテレワークのリモート・在宅勤務の導入が増加しています。そして、テレワーク増加と比例して増加している事例がVPNの脆弱性を狙ったサイバー攻撃です。

そんななか、VPNのような境界型セキュリティでは防ぐことのできないサイバー攻撃に対応できる次世代のセキュリティとして注目されている概念が「ZTNA(Zero Trust Network Access)」です。ZTNAの概念やセキュリティモデルについての詳細は、こちらの記事で解説しています。

ZTNA(Zero Trust Network Access)とは?概念とセキュリティモデルを解説!

本記事では、次世代セキュリティとして注目されるZTNAの重要性と導入のメリットについて解説しています。ぜひ、最後までご覧ください。

 

企業担当者必見!ZTNA(Zero Trust Network Access)の重要性とは?

ZTNAが注目されるようになった背景には、ITの技術や働き方の変化によって、VPNなどの従来の境界型セキュリティでは守り切れない事例が頻出してきたことが挙げられます。IT技術の変化や企業のクラウド環境への移行が進むとともに、求められるセキュリティ対策も変わってきました。そしてテレワークのリモート・在宅勤務の増加など働き方が急激に変化する中、リモートアクセスに対するセキュリティ対策を見直す必要があるという議論がはじまって、従来のVPNに代わる対策としてZTNAが注目されました。

それでは、なぜZTNAの導入が重要なのでしょうか?まずは、クラウド環境におけるZTNAの重要性について、詳しく解説していきます。

クラウド環境ではZTNAが重要!

近年、ランニングコスト削減効果や安価でスピーディーな環境構築などを目的にクラウド環境の導入・移行に踏み切る企業が増加傾向にあります。クラウド環境とは、離れた場所にあるシステムの本体(物理的なサーバなど)から、インターネットなどのネットワークを介して、ユーザにサービスを提供する形態のことです。

境界型セキュリティと呼ばれている従来のセキリティは、下記のポイントを軸に対策されています。

  • 外部ネットワークとの「境界線(ペリメータ)」でセキュリティ対策を行う
  • 内側(社内)と外側(社外)の接点における悪意のある第3者の存在

つまり、従来のセキュリティ対策としての考え方は、外側は信用できず内側は信頼できるという意識が働いていました。システムの本体が内側にあれば、従来のセキュリティ対策でも、悪意のある第3者からの攻撃は防げるでしょう。

しかし、クラウド環境で離れた場所にシステムの本体がある場合、境界型セキュリティでは攻撃を防ぐことはできません。それに対して、ZTNAは、ゼロトラストという「ネットワークの外側も内側も依存しない」という考えでセキュリティ対策を行うため、クラウド環境にも対応しています。だからこそ、クラウド環境に移行した企業や移行を考えている企業は、クラウド環境にある情報資産を守れるセキリティ対策として、ZTNAの導入は重要となります。

 VPNが安全な対策であると言えない理由は?

境界型セキュリティとして最も一般的で、テレワークでのリモート・在宅勤務での主流となっていた仕組みと言えば、VPNがあります。テレワークの推進やコロナ禍の影響でリモート・在宅勤務をする方が増加したことで、社内ネットワークに外部から安全にアクセスする際に使うVPNは急速に多くの企業に拡がりました。しかし、VPN製品の脆弱性が相次いで発見され問題となりました。そして、その脆弱性を利用したサイバー攻撃や攻撃者の侵入が次々と発覚し、もはやVPNは安全なセキュリティ対策ではないといわれています。

 また、脆弱性があることだけでなく、VPNのような境界型セキュリティは「内側が安全」と考えられているため、他者のなりすまし攻撃に弱いという特性があります。そのため、社内ネットワークへの攻撃を防ぐことは困難といえるでしょう。

ZTNAは脱VPN事故に不可欠!

VPNを狙った悪意のある第3者によって、VPN事故(VPNの欠陥をついた攻撃による情報流出などの事故)が発生する可能性は十分あります。VPNは、もはや安全なセキュリティ対策とはいえなくなっており、一刻も早く「脱VPN」への対策が必要といえるでしょう。そして、そんな脱VPN対策として注目されている概念が、ZTNAの導入です。

 

VPNの代わりに注目されるZTNA(Zero Trust Network Access)のメリットとは?

ZTNAであれば、VPNなどの境界型セキュリティでは守り切れない資産を守ることができますが、他にも下記のようなメリットが得られます。

  • アクセス速度が早まる
  • セキュリティが強固となる
  • 管理者の負担が減る
  • ユーザの増加に柔軟に対応できる

それでは、ZTNA導入におけるそれぞれのメリットについて、詳しくみていきましょう。

アクセス速度が早まる 

ZTNAは、VPNとは異なり、許可された限られたユーザしかネットワーク上のアプリケーションやデータにはアクセスができません。そのため、これまでより無駄なアクセスが減り、接続が最適化されたことでアクセス待ちの時間が短縮します。また、クラウド環境でVPNを利用したリモートワークは、下記のようなアクセス経路を辿ります。

  1. リモート端末
  2. 社内ネットワーク
  3. クラウド

そのため、社内ネットワークに対して、VPNアクセスとクラウドへのアクセスで2重に負担がかかることで速度が遅延しやすいという特性がみられます。ZTNAを導入すれば、効率的なクラウド利用が可能となるでしょう。

 セキュリティが強固となる

ユーザがIDとパスワードによる認証が通過すれば、ZTNAでは、アクセス権限を持つアプリケーションのみアクセスが可能となるよう権限の制御が可能です。もしユーザの端末が乗っ取られても、悪意のある第3者は限られたアプリケーションにしかアクセスできないため、被害を抑えられるでしょう。また、IPアドレスは許可されないユーザには公開されないため、IPアドレスの外部公開によるサイバー攻撃の軽減も期待できます。

 管理者の負担が減る 

VPNの場合、拠点ごとにアクセス制御ポリシー(保護リソースに対するアクセスをユーザに許可するか拒否するかを定義する一連の条件)の管理が必要です。ZTNAを導入すれば、組織全体のアクセス制御ポリシーがすべてクラウド上で一元管理できるため、拠点ごとに管理する必要がありません。そのため、管理者の負担が大きく軽減されるでしょう。また、ACL(アクセス制御リスト)も簡素化できることから、さらに管理者の負担は減るところは大きなメリットです。

ユーザの増加に柔軟に対応できる

VPNの場合、ユーザが増加すると、利用規模に対してサーバなどの性能や容量が負荷に耐えられません。そのようなシステム障害の発生を防止するためには、サイジングの必要性や急なユーザ追加に対して、柔軟に対応しなければなりません。しかし、ZTNAを導入すれば、性能による問題などの処理はすべてクラウド上で行えるため、急にユーザ増加があっても柔軟で迅速な対応ができます。

 

ZTNAソリューションのおすすめ「Cloudbric RAS」を紹介!

脱VPNのセキュリティ対策として、ZTNAを選ぶ企業もあることでしょう。すでに、各企業からいくつものZTNA製品(ZTNAソリューション)の提供を開始しています。しかし、製品によって提供形態やサービス内容が異なるため、ZTNAの導入をする際は製品を見極めて自社にあったサービスを選ぶことが重要。そして、導入するZTNA製品を見極める際のポイントとして、は、下記の4つが挙げられます。

  • セキュリティ能力
  • 情報の管理のしやすさ
  • 相互運用性の良さ
  • 問題が起きた際の対処・対応速度

これら4つのポイントからおすすめするZTNAソリューションといえば「Cloudbric RAS」があります。マルチ・クラウド上に構築されている複数のWebアプリケーションに対し、利用者単位でアクセス権限を設定できるクラウド型セキュリティサービスです。

 

さいごに

今回は、ZTNAの重要性やメリットなどについて解説してきました。セキュリティコンサルティングを世界的に展開しているガートナー社によると、現在「VPN」を利用している企業の約6割が、2023年までにZTNAへ移行すると予想しています。これまで、VPNは利用すべき安全対策といわれてきましたが、今の時代や環境に対応できていない事例が数多く報告されているのが現状。今後のテレワークを推進や会社のクラウド化を目指しているのなら、ぜひZTNAを導入して、脱VPNを検討してみてはいかがでしょうか。

 

ZTNA ソリューション「Cloudbric RAS」の詳細はこちら

Cloudbric RAS

VPNのデメリットとゼロトラスト

VPN脆弱性を狙ったサイバー脅威急増!VPNを代替するゼロトラストとは?

新型コロナウイルスの感染拡大を受けてテレワークの推進が進む中、多くの企業で社外に持ち出したPCや自宅のPC等を組織内部のネットワークに安全に接続させるための手段としてVPNが利用されています。それに伴い、VPNを実現するための装置を狙ったサイバー攻撃が増加しています。テレワークの動きが広がる一方、企業の安全対策が急務となっています。企業には、利用するVPN機器などの脆弱性情報の収集や、設定の見直しなどの迅速な対応が求められています。今回はVPNの安全性を検証すると共に、よりセキュアな代替手段についても解説していきます。

 

VPNのメリットとデメリット

VPN(Virtual Private Network)とは仮想の専用ネットワークのことであり、本来は広く公に開かれているインターネット上にまたがる形で仮想空間を作り、個人専用のネットワークのような機能、セキュリティを実現して通信をおこなうことを指しています。VPNは互いの拠点に専用のルーターを設置することにより、その拠点間上に仮想の専用ネットワークを構成、直接的な接続を可能にしています。利用している回線はごく普通の公衆インターネット回線ですが、外部から中でやり取りされている内容が読み取れないよう、暗号化が施されています。あくまでも「仮想」の専用回線を公衆のインターネット上に作り上げていますので、実際のLAN接続による社内ネットワークとは違い、セキュリティ面などいくつかの問題点も抱えています。

メリット

・低コストで通信可能

パブリックネットワークを利用したVPNは専用回線が不要で、運用に必要なルーターも安い製品が多いので低コストで通信できます。携帯端末からのアクセスも無料Wi-Fiを安全に利用できるので、出先からのアクセスに通信費を気にしなくても大丈夫です。

・通信内容の暗号化で安全な通信ができる

VPNは暗号化技術とトンネリングを併用しているので、通信内容の盗み見や不正アクセスに対する安全が高いメリットがあります。通信内容の暗号化は、専用のソフトを会社と利用者双方が導入して安全を保ちます。トンネリングで専用回線に近い環境を整え、社外からのアクセスが繋がらない設定もできます。

・遠隔でもアクセス可能

全国各地や海外に拠点がある場合でも、VPNは遠隔操作でアクセスできます。距離を気にすることなくネットワークを構築できることはメリットの一つです。新型コロナウイルス対策としてのテレワーク(リモートワーク)にも活用が可能です。

・専用線ではない複数の拠点でも接続可能

拠点が複数であっても、VPNを利用することでスムーズにデータ通信を行えます。また、自社と拠点間のみの通信しかできない専用線と違って、拠点間同士でもセキュアな環境下で通信することができます。

デメリット

・情報漏えいの可能性

さまざまなセキュリティ機能を搭載しているVPNでも、万能というわけではありません。ネット環境を利用すれば情報漏えいのリスクもゼロではありませんし、VPNの設定を適切におこなえず、IP漏えいを助長してしまう可能性もあります。初期設定の誤りは、IPアドレスや通信ログ流出に繋がります。サービス提供者によるマルウエア感染のリスクもあります。安全性が絶対的に確保されているものではないことを、理解しておく必要があります。

・通信速度が遅い場合がある

VPNで一般回線を利用すると、混雑時には通信速度が遅いこともあります。接続するサーバーが日本にない時は、海外のサーバーを利用するので通信速度が国内とは異なる場合もあります。セキュリティ機能のためにルーター側のCPUに負担がかかり、速度に影響を及ぼすことも原因です。

・機能によってコストがかかる場合がある

VPNは機能によってコストが異なるので、価格に見合った価値があることを確認する必要があります。SSLはグループウェアやウェブブラウザに搭載されているので、導入コストを下げられますが、社内システムによっては専用クライアントソフトが必要になることもあります。IPsecは独自のクライアントサーバシステムにも導入可能で、社内ネットワークに適していますが、出先からのリモートアクセスが多い場合はSSLが有効です。

・管理面からみた非効率性

VPNはエンタープライズセキュリティにきわめて現実的な脅威を及ぼします。VPN はその特性から、ネットワークファイアウォールに穴を開け、ネットワークへ自由にアクセスできるのが一般的です。また、VPN はインテリジェンスも欠如していて、ネットワークにアクセスしようとしているユーザーの本人確認を正確に行うことはできず、多要素認証(MFA)に応じて承認と却下の判断が常に変わります。さらに、VPN はベテランの IT スタッフを独占することになります。接続を提供し、日常のオンボーディング、オフボーディング、および一般監査の複雑さを容易にするために、VPN のサポートだけに費やされる時間数や、それに関連した過剰なシステムをユーザーが目にすることはほとんどありません。

 

VPNの脆弱性を狙ったサイバー攻撃

Citrix社製品の攻撃

2019年12月にCitrix社の一部の製品に関する任意のコードを実行可能な脆弱性(CVE-2019-19781)が公開されました。攻撃手法の詳細が公開され誰でも試せる状態になりました。この脆弱性が悪用された場合、データ改ざんや流出などの被害が発生する恐れがあり非常に危険だと報じられました。「複数の Citrix 製品の脆弱性 (CVE-2019-19781) に関する注意喚起」も2020年1月にJPCERT/CCより出されています。
この攻撃で、検証コードを使って製品のパスワードファイル/etc/passwdの取得ができることが示されています。対象はCitrix Application Delivery Controller(旧称Citrix NetScaler ADC)、Citrix Gateway(旧称NetScaler Gateway)、Citrix SD-WAN WANOP を利用するユーザー、サービス、サポートされている製品バージョンと全てのプラットフォームです。これにより該当製品、サービスを利用している企業は必要外(インターネット等)の環境からの接続制限、Citrix社の公開する緩和策の適用、FWやIPS/IDSによるExploitコードの遮断等が求められました。

Pulse Secure社製品の攻撃

2020年8月下旬、米Pulse Secure社(パルスセキュア)のVPN機器から、テレワークに欠かせない社外接続の認証情報などが流出したと報じられました。パルスセキュアのVPN機器(Pulse Connect Secure)を使用する複数の国内大手企業が不正アクセスを受け、テレワークに利用されるVPNの認証情報などが流出したとの内容です。
同社ではこの機器について2019年4月に脆弱性を公表、修正プログラムも公開しており、JPCERT/CCからも注意喚起が公開されていました。情報が流出した企業では、この修正プログラムを反映していなかったとみられています。脆弱なVPN機器は、組織への侵入経路として標的型攻撃やランサムウェア感染などで悪用されるおそれがあります。第三者が機密情報を抜き取ったりウイルスをばらまいたりするなどの被害の拡大も予想されます。

英外貨両替大手Travelexのランサムウエア攻撃

上記で説明した脆弱性のあるPulse Secure社製品を未修整のまま使用していたとされる外貨両替大手Travelexが、ランサムウエア攻撃を受け、ビットコイン2億5000万円相当を支払いました。Travelexは2019年12月31日にランサムウェア「Sodinokibi」の攻撃を受けていました。Travelexはコメントを出していませんが、9月にパッチが出ていた脆弱性(CVE-2019-11510)に対して11月までパッチを適用してなかった可能性が指摘されています。

 

より高速、シンプル、安全なVPNの代替手段、ゼロトラスト・ネットワーク・アクセス(ZTNA)

VPNは、ユーザが正当なユーザであることを確認したり、デバイスの状態を確認したりすることなく、ファイアウォールを通過させるため、セキュリティホールが生まれリスクが増大します。またリモートユーザが VPNでネットワークにトンネリングされると、そのユーザは「信頼済み」と見なされる。本当に信頼できるかどうかは不明であるにも関わらず、 そのユーザに水平方向のネットワークアクセスが許可されてしまいます。そこで近年PNの代替として注目を集めるのがゼロトラスト・ネットワーク・アクセス(ZTNA)です。

ゼロトラスト・ネットワークでは、ネットワークの境界は防御線としての意味をなさず、すべての通信アクセスを信頼しないという考え方に基づき、対策を講じます。守るべき情報そのものにアプローチし、そこにアクセスするユーザー、端末、アプリケーションなどの信頼性を常にチェックするアーキテクチャとなります。社内からのアクセスであっても、ある企業情報に対しアクセスしようと、常にユーユーザは本人なのか、アクセスする権限を持っているか、利用している端末は安全性があるのかといったことを確認します。正しいアクセス権を持ったユーザが本人だと認められた場合のみアクセスが許可されるシステムです。

ゼロトラストのアプローチ

  • 境界を改めて定義し、「外部」だけでなく「内部」からの攻撃も防御
  • 境界をソフトウェアで構築し、集中制御
  • 社内/社外の境界を定義せず、デバイスごとに管理
  • 通信アクセスをすべて可視化/検証する
  • すべての記録(ログ)を残す
  • 必要最低限の認可をユーザーに与える

ゼロトラスト・ネットワークを検討するうえで欠かせないのが、エンドポイント(PCなどの端末)におけるセキュリティです。以前まで、エンドポイントは境界の内側(内部ネットワーク)にあるものだとされていましたが、境界がなくなったゼロトラストネットワークモデルにおいては、エンドポイントの挙動を可視化し、保護/管理することが重要となります。

 

さいごに

今回実際に被害にあった事例としてご紹介したTravelexは全世界26か国に1000を超える店舗とATMを持ち、業界大手の企業です。Travelexでは一定水準以上のセキュリティ体制が取られていたかと思いますが、ランサム攻撃者は、そんなグローバル企業ですら被害を受けてしまいます。この事に、日本企業ももっと注意を払う必要があるのかと思います。自社が利用しているVPN機器の脆弱性について企業は常に把握しておかないと、大きな代償を払う事になります。はっきり言いますとVPNの利用は時代遅れになりつつあり、サイバー攻撃だけでなく、内部犯行による情報漏えいも見据えるなら、今回ご紹介したようなゼロトラストのアプローチが必要になってきます。データを暗号化してアクセスコントロールを行うことはもちろん、誰がどこでどのようなデバイスやツールを使用して企業のシステムにアクセスするのかの可視化するソリューションが重要になってくるでしょう。

弊社は ゼロトラストを実現するセキュリティ・ソリューション、Cloudbric RASをご提供しております。暗号化、適切な2要素認証、モニタリング、不正侵入識別および遮断など、企業システムにアクセスしようとする全てのユーザを徹底的に識別し、VPNでは防御しきれない内部侵入者の攻撃を未然に防げます。

ゼロトラストに基づいたエンタープライズセキュリティ導入をお考えの方は、是非こちらの詳細をご確認ください。

Cloudbric RAS

テレワークセキュリティ対策

【無料提供】ゼロ・トラストでテレワーク実現!テレワーク・セキュリティ・ガイドライン 配布!

昨今の企業のIT環境はテレワーク導入につれ大きな変化を遂げつつあります。しかしテレワークの盲点を突くサイバー攻撃による被害も拡大しているため、より徹底としたテレワーク・セキュリティ対策を講じる必要があります。そのため弊社は、テレワーク時代を見据えて従来のセキュリティ観点を刷新すべきの時点だと考えながら、今回、テレワーク・セキュリティ・ガイドラインを配布することになりました。

本資料では、テレワーク時代に更に複雑化しているIT環境のなか、従来のセキュリティが抱えている課題の解決を目指し、「ゼロ・トラスト」という新たなセキュリティモデルをご紹介いたします。また、その「ゼロ・トラスト」に踏まえ、安全なテレワークを実現するセキュリティソリューションまでご覧いただけます。

今回のガイドラインの配布を通じ、皆様の安全・安心できるテレワーク環境の実現にお役に立てれば幸いです。

 

テレワーク・セキュリティ・ガイドライン、こんな悩みがありましたら、一読をお勧めします。

  • 現在、社内で導入しているテレワーク・セキュリティ対策に不安やご心配をお持ちの方
  • セキュリティ確保・ネットワーク快適化を両立するテレワーク対策の導入で、働き方のデジタル化の実現をご希望の方
  • VPN等の脆弱性から発生しうるセキュリティ事故にご懸念をお持ちの方
  • ゼロ・トラスト・セキュリティ対策の導入方法をお探しの方
  • セキュリティ専門知識なしでも理解できる、簡単かつ安全なテレワークセキュリティ対策をお探しの方

他にも、テレワークセキュリティにおける様々な悩み・課題に直面している方々は是非ご一覧をお願いします。

資料のダウンロードはこちら

資料ダウンロード