VPN Thumbnail

VPNの脆弱性は、さらなる被害を呼び起こす可能性を持つ

出張の最中、目まぐるしく忙しい中で会社のサーバに保管された文書を急に確認しなければならない時、あなたならどうしますか。普通、企業ネットワークは専用サーバまたは閉域網で構築されており外部からの接近を防いでいますが、VPNを利用すると会社のネットワークに接続できるようになります。一般的にVPNは安全で簡単だと思われがちですが、本当にそうなのでしょうか。今回はVPNの使用例と、その脆弱性についてお届けします。

 

なぜ多くの人がVPNを使っているのか

VPNとは Virtual Private Network の略字であり、暗号化やプロトコールなどを通じネットワーク上に仮想の通路を設け機密を守る技術です。通信過程でセキュリティを維持する必要があるときによく使われています。また、「働き方改革」の一環でテレワークが幅広く進められるにつれ、さらに注目されてもいます。それでは、VPNがどの様な状況で使われているのかを見ていきましょう。

海外出張しているとき

海外出張の際には、業務のため使わざるを得ないサイトに接続できない状況が頻繁に起こります。例えば中国ではグーグルに接続できませんが、これは国家別に接続が許可されていないサイトが存在するからです。業務を行うにおいて大きな障害となりますが、VPNを使うことによって遮断されたサイトに接続することができます。

無料Wi-fiを利用しているとき

公衆無線LANなど、無料Wi-fiの場合、暗号化などのセキュリティ対策が施されていない場合が頻繁に見かけられます。これは、利用者の情報が無防備に露出されることが多い、と同じ意味です。実際、無料Wi-fiの利用者を狙ったサイバー攻撃も数多く報告されています。VPNを利用すると通信経路全体を暗号化でき、情報の露出を防ぐことができます。

外部から社内ネットワークに接続するとき

数々の企業が社員の社内ネットワーク接続のため、ビジネス用VPNを使用しています。社内ネットワークをインターネットで構築しながらも、指定されたVPNを利用する者のみが接続できるようにする形です。専用回線でネットワークを構築する方式に比べコストを抑えながらも、一定レベルのセキュリティを維持する事が可能になります。
しかし、よく考えてみたら、このような事例は全て「VPNを利用すれば安全が保障される」という前提で行われています。VPNは果たして本当に安全だと言えるのでしょうか。

 

VPNとて必ず安全なわけじゃない

残念ながら、VPNを利用するとしても必ず安全が保障されるわけではありません。VPNにも脆弱性が存在するのです。例えば、2020年に発生した「三菱電機に対するサイバー攻撃」事件では、VPN装置がハッキングされたことが事件の始まりでした。

三菱電機へのサイバー攻撃、VPN装置にハッキングか
2020年5月2日
三菱電機への大規模なサイバー攻撃で、不正アクセスの起点が「仮想プライベートネットワーク(VPN)」と呼ばれる通信機器へのハッキングだった可能性が高いことが複数の関係者への取材で分かった。ネットワークに侵入した中国系ハッカー集団「BlackTech(ブラックテック)」が、防衛に関する機密や個人情報を流出させたとされる。…
同社の複数の関係者によると、中国拠点のPCで外部との不審な通信がないか調べたところ、中国国内にあるデータセンターに設置されたVPN装置に不正アクセスの痕跡が見つかったという。装置は中国など海外の拠点と日本の拠点をネット回線を介して互いにつなげる役割がある。この装置へのハッキングが社内ネットワークへの侵入のきっかけだったとみている。
引用: 朝日新聞

実際、VPNを狙った攻撃が近年さらに増加しています。この事件の場合、セキュリティ対策をしっかりと行っていると思われた大手企業を狙ったものなので、さらに大きな衝撃を与えました。特にビジネス用VPNは企業ネットワークに接続する用途で使用されるため、攻撃により発生する被害は想像を超すと思われます。攻撃者が企業ネットワークに侵入でき、内部情報を思うままに奪取できるという事を意味するからなのです。

攻撃者が目標にしていると思われる、主なVPNの脆弱性には次のようなものがあります。

低レベルのプロトコル及び暗号化

VPNは暗号化及びプロトコルなどを利用し安全性を確保しています。しかし、そのレベルには製品によって雲泥の差があります。廉価または無料で提供されているVPNの場合、低レベルのプロトコル及び暗号化を利用しており、容易にハッキングされる可能性があります。よって、十分に検証されたものなのかを確認する必要があるでしょう。ハッキングによって情報が露出されれば、もはやVPNを使う理由はありません。

VPNサーバに対する攻撃

VPNはその利用者を特定のサーバを通じネットワークに接続させる形でセキュリティを維持しています。しかしサーバ自体がハッキングされたら、セキュリティはどうなるのでしょうか。実際、VPNサービス企業のサーバがハッキングされた事例(引用: Techcrunch)が存在するように、サーバに対する脅威はVPNの脆弱性になりえます。もしもサーバに利用者の情報が残っている場合、通信がいくら安全に行われるとしてもその結果が露出されかねないという事になります。結果的に、VPNを使った理由を探せない状況が作り出されるのです。

 

VPNを選択する際の注意事項

VPNに脆弱性が存在するとしても、必ずVPNを利用しなければいけない状況に置かれる可能性も十分あり得ます。例えば、海外で遮断されたサイトに接続する必要がある場合などには、VPNを利用しなければいけません。その際には、次のような点に注意する必要があります。

  • 信頼できる個人情報保護ポリシー及びデータ保存ポリシーが存在するのかを確認する
  • 広範囲もしくは適切なサーバ適用範囲を提供しており、多様な選択肢が存在するのかを確認する
  • 強力なプロトコル及び暗号化措置が存在するのかを確認する
  • 適切な価格と、それに見合う機能を提供するのかを確認する

 

最後に

テレワークはコロナ禍以後にも引き続き拡大される見通しであり、企業により強固なセキュリティ対策が求められている状況です。先ほど紹介したVPNの脆弱性を周知し、VPNを補完できるセキュリティ対策を取る必要があります。このような状況を鑑み、クラウドブリック(Cloudbric)は追加設置などが不要で、簡単に暗号化、認証、ハッキング防止及びモニタリング等の機能をご利用できる「Remote Access Solution」をリリースしました。10月7日まで無料でお試しいただけるので、是非お試しください。
Cloudbric Remote Access Solutionの詳細はこちら

cloudbric blog post

【Webセミナー】クラウドブリック新規機能「Black IP遮断機能」の説明会のご案内

この度、クラウドブリック(Cloudbric)は、「Black IP 遮断機能」を追加させて頂きました。つきまして、パートナー様及びエンドユーザ様向けのWebセミナーを開催いたします。性能向上およびセキュリティリスクの削減に役立つ「Black IP遮断機能」についてご案内します。詳細資料を持って本機能を説明させて頂きますので、開催日程をご確認の上、お申込みください。皆様のご参加を心よりお待ちしております。

テーマ
クラウドブリックの新規機能として追加された「Black IP遮断機能」について
 
場所:オンライン(※Zoomウェビナーにてライブ配信で行われます。)
 
参加料:無料

開催日時及びお申込み

【パートナー様向け】

日時 お申込み
8月19日(水) 11:00~11:30 お申込みはこちら
8月21日(金) 16:00~16:30 お申込みはこちら
9月1日(火) 11:00~11:30 お申込みはこちら
9月3日(木) 14:00~14:30 お申込みはこちら

【エンドユーザ様向け】

日時 お申込み
8月26日(水) 11:00~11:30 お申込みはこちら
8月28日(金) 16:00~16:30 お申込みはこちら
9月8日(火) 11:00~11:30 お申込みはこちら
9月10日(木) 14:00~14:30 お申込みはこちら
cloudbric blog post

【2020年下半期】クラウドブリック Webセミナー開催のご案内

2020年下半期、クラウドブリック(Cloudbric)定期Webセミナーを開催いたします。
本セミナーは、クラウドブリックの新規機能の使い方、仕様変更のご案内を初め、セキュリティトレンド情報や、クラウドブリック導入事例など、パートナー様及びエンドユーザ様に役立つ情報をお届け致します。
 
■場所:オンライン(※Zoomウェビナーにてライブ配信で行われます。)

■参加料:無料

■お申込み:こちらをクリックしてください。

■日時・セミナー概要

日時 テーマ 内容
8月・9月 【新規機能追加のご案内】
Black IP遮断機能
性能向上およびセキュリティリスクの削減に役立つ「Black IP遮断機能」についてご案内致します。
9月 【サービスポリシーのご案内】
ユーザ情報取得シート・運営中作業プロセス
改正されたユーザ情報取得シートのご案内と共に、運用中発生する作業の費用・プロセスについてご案内致します。
10月 【新規機能追加のご案内】
Advanced DDoS対策(エンドユーザ様向け)
より高度化したクラウドブリックのDDoS対策についてご案内致します。
10月 【Cloudbric 活用法】
ユーザ設定(エンドユーザ様向け)
クラウドブリックのユーザインターフェースをもっと有効に活用して頂くために、「ユーザ設定」メニューで操作できる設定についてご案内致します。
11月 【Cloudbric 活用法】
二要素認証・Captcha
ユーザインターフェースのアカウントのセキュリティ強化に役立つ「二要素認証」、L7レイヤーに対する不正アクセス対策に役立つ「Captcha」機能についてご案内致します。
11月 【Cloudbric 活用法】
エンドユーザ管理ツール(パートナー様向け)
パートナー様の管理性・利便性のために提供している「エンドユーザ管理ツール」の基本的な使い方をご案内致します。
12月 Cloudbric Roadmap クラウドブリックのロードマップをお見せしながら、今年実現できたことや来年以降実現していくことについてご紹介いたします。
12月 導入実績・導入事例のご紹介(パートナー様向け) クラウドブリックの2020年の導入実績および導入事例についてご紹介いたします。
12月 今年のクラウドブリック WAF(エンドユーザ様向け) 2020年の新規機能、仕様変更など、今年のクラウドブリック WAFにあった変化についてご案内致します。
main

クラウドブリックの花形、ダッシュボード機能をご紹介します!

クラウドブリック(Cloudbric)は2015年からクラウド型WAFサービスを始めており、約4年ぶりとなる2019年には日本の某IT製品まとめサイトでWAF部門の1位を獲得するなど、日本のお客様から盛大な支持をいただいています。クラウドブリックはお客様の便利のための機能を多数提供させていただいておりますが、その中でも特に好評をいただいているのが、「ダッシュボード」機能であります。そこで今回は、そのダッシュボード機能の詳細を紹介させていただきます。

クラウドブリックは、サービスを利用されていない方でもダッシュボード機能を体験なされるよう、デモページを提供しております。まずは、こちらのリンクから2番目の「cloudbric-demo.site」をクリックしてください。すると、次のようなページが現れます。

これが、クラウドブリック ダッシュボードのメインページになります。もし、「日本語版ではなく英語版が出力される」という方は、お手数ですが、サイト最下段の右側にある言語設定にて、設定を日本語に変えていただければ幸いです。
それでは、詳細を紹介させていただきます。

 

サイトの状況を一目で瞬時に把握できるレイアウト

ダッシュボードでは、ユーザが設定した期間内のWebサイトのステータスや、攻撃数とその目的・手段など様々な情報を一目で把握することができます。今回は、期間を2020年6月に設定し、詳細を調べていきましょう。

まず、緑色のボックス(1)の部分を通じ、現在の月次及び直近の三か月の中で一つを選択した後、オレンジ色の矢印(2)の部分を操作することによって、ダッシュボードで確認する期間を決めることができます。それによって現れる「Webサイトのステータス」では、攻撃数、閲覧数、ハッカーの数、閲覧者数を確認できます。現在は青色のボックス(3)に攻撃数と閲覧数に関するグラフが表示されておりますが、赤色のボックスの部分(4)をクリックすることによって、ハッカーと閲覧者数に関するグラフを表示させることができます。

また、そこから下へスクロールしていただくと、攻撃数の詳細を確認していただけます。まず攻撃マップの場合、赤色のボックス(1)内にある移動・拡大・縮小機能を利用し、全世界からの攻撃を視覚的に認識することができます。次に、オレンジ色のボックス(2)の部分をクリックしていただくと、指定された期間内での攻撃頻度数によって上位に位置されたIPを即時に遮断、またはその解除をされることができます。

なお、緑色のボックス(3)をクリックしていただくと、攻撃頻度数によって整列された国家を下り順に閲覧することができ、それに対する遮断やその解除も即時に行われることができます。また、青色のボックス(4)をクリックすることによって、ハッカーの動向だけではなく、Webサイトに対する全閲覧数に関する情報をご覧になることができます。単純にWebサイトに対する接続動向を調べたい、という時に便利な機能です。

 

完全なローカリゼーションにより、全ての項目を日本語で確認可能

先ほど、ページ情報を閲覧数に設定したその左をクリックしていただき、設定を攻撃数に戻していただくと、指定された期間内の攻撃目的・攻撃ターゲット・最新の検知ログ及びその一覧を確認されることができます。

実は、この部分は「完全な日本語で構成されていて他のWAFのダッシュボードより理解しやすい」という好評を多数受けております。まず、赤色のボックス(1)では期間内で最も多かった5つの攻撃理由を、日本語にて提示しております。この情報は、そのすぐ上にある円型グラフでもご確認いただくことができ、発生した各攻撃理由が全体から占める割合を直観的に把握できるようになっています。また、青色のボックス(2)ではリアルタイムの最新検知ログのなかで発見された攻撃名を、日本語で提示しております。最後に、緑色のボックス(3)の部分をクリックしていただくと、すべての検知ログを一覧されることができます。是非、お試しください。

 

報告の手間を省く、月間レポート作成機能

最後にご紹介するのは、月間レポート作成機能です。ITシステムを担当されている方なら、誰にしろ一回は報告方法についてお悩みになったのではないでしょうか。クラウドブリックの場合、ダッシュボードを通じ月間レポートを自動で作成できるので、報告に掛ける手間を少しでも省けられると思います。ページの上段にお戻りいただき、「レポート」をクリックされると、次のようなレポートページが現れます。

ご覧の通り、ダッシュボードを通じて提供されるレポートは次の内容で構成されています。

  • 指定した月次の状況サマリー
  • ブロックされた攻撃の概要と、最も多かった攻撃の解説
  • 上位の攻撃元IPアドレスと、全世界で最も危険だと判断された攻撃元のIPアドレス
  • 上位の攻撃目的と、主な攻撃目的の割合
  • 上位の攻撃発信国

そして、特にご注目いただきたいのは、これらの内容を含む「直近3か月のレポートを作成できる」点と、PDFファイルにてそのレポートをダウンロードできるという点です。次のイメージをご覧ください。

赤色のボックスの部分を通じ、直近3か月の中でどの月次のレポートを作成するかを決めることができます。また、青色のボックスの部分をクリックしていただくと、現在ご覧になられているレポートをPDFファイルにてダウンロードすることができます。随時に最近の状況を確認できるだけではなく、参考資料として保存もできるとして、実際にお客様から高い評価を得ています。

 

さいごに

いかがだったでしょうか。このようなダッシュボード機能は、Web上だけではなくモバイルアプリという形でもご提供しておりますので、PCを使うことができない場合にも、Webサイトの状況を瞬時に把握することができます。

また、クラウドブリックのメインページからも、サポートの「無償評価お申込み」をクリックされた後、「サービス体験」と「cloudbric-demo.site」をクリックすることでダッシュボード機能をご体験できます。ご参照いただければ幸いです。
これからも、お客様の便利と安全のために、クラウドブリックは日々努力してまいりますので、これからもご関心を是非、お願いいたします。

uploading_1

クラウドブリックの始め方、DNSの変更方法

初めてのWAFとしてクラウドブリック(Cloudbric)をご利用中のお客様、そして他社WAFからの乗り換えでクラウドブリックをご利用中のお客様など、クラウドブリックの導入数がますます増えています。特に導入手続きが簡単ということで、多くのお客様から好評を頂いております。クラウドブリックはクラウド型WAFであるため、ハードウェアやソフトウェアのインストールが不要で、導入時にDNS設定を変更するだけですぐ利用でき、システム管理者の負担を最小限に抑えることができます。

そこで、今回はDNSの変更方法について、詳しくご案内させて頂きます。ご存じの通り、DNS設定を変更するには、WAFサービスを提供する側でなく、ドメインを提供するホスティングサービスにて変更していただく必要があります。ほとんどのWebホスティングサービス業者で提供する方式が似ていると予想されますので、DNS変更にお困りの方にこの記事がお役に立てれば幸いです。
まずは、DNS変更の前にクラウドブリックコンソールでのサイト登録が必要となります。

サイト登録の場合、japan@cloudbric.comにご連絡いただければ、迅速な対応が可能ですので、ご協力をお願いいたします。

 

【DNS変更位置】

1. ご使用中のドメインが登録されているホスティングサービスホームページにアクセス及びログインします。

2. ドメイン管理(My Domain、ドメイン管理者など、メニュー名はホスティングサービスによって異なる場合があります。)をクリックします。

3. DNS管理(DNS設定、DNSレコード編集など、メニュー名はホスティングサービスによって異なる場合があります。)をクリックします。

 

【DNSレコードの確認方法】

1. DNS管理ページへアクセスすると、一般的に下図のように現在登録されているDNSレコードを確認できます。

2. 様々な形で登録されているDNSレコードをクラウドブリックサービスに切り替えるためには、AレコードとCNAMEレコードの2つの変更が必要となります。情報を確認してから表示画面を閉じずに次の段階(クラウドブリックDNS情報の確認)へ進みます。

 

【クラウドブリックDNS情報の確認】

1. クラウドブリックより付与されたアカウントでコンソール(https://console2.cloudbric.com/)にログインします。

2. ログイン後、メニューにて「Webサイト追加」をクリックし、保護するWebサイトのドメインを登録します。

3. ドメインを登録した後、IDCを選択します。クラウドブリックがお薦めするIDCが自動的に表示されます。

4. 保護したいドメインに対するSSL証明書の発行が必要です。クラウドブリックでLet’s Encryptと連動し無料で提供するSSL証明書の発行を選択します。

5. 上の4段階を経ていただくことで、必要なDNS情報を確認することができます。下図をご覧いただきますと、「ネームサーバ変更」と「DNSレコード変更」の2択がありますが、「DNSレコード変更」をクリックし、変更しようとする情報を確認します。画面に表示される情報をメモ帳にコピーしたり、すぐコピー&ペーストできるように該当ページを閉じずに次の段階へ進んでいただいても構いません。


 

【クラウドブリックのDNS情報に切り替える】

1. 先に確認したホスティングサービスのDNS管理ページに戻り、DNS情報が登録されている表にて「修正」をクリックします。

2. Aレコードの@のTarget項目にクラウドブリックが提供するAレコード値を入力します。この際、重要なのはTTL値を300にすることです。上記の手順が終わりますと「保存」をクリックします。


3. 先の手順と同じように、CNAME項目も「修正」をクリックし、wwwのTarget項目にクラウドブリックが提供するCNAMEレコード値を入力、TTL値は300に設定し保存をクリックします。

※wwwがないドメインのことを示すNaked Domain(e.g. cloudbric.com)のCNAMEは一般的にすでに設定されていますが、wwwが含まれたドメイン(e.g. www.cloudbric.com)に関しては、CNAMEが含まれている場合もありますし、そうでない場合もあります。したがって、Sub-domainにwwwが登録されていない場合は、wwwを入力して頂き、Target項目には同じようにクラウドブリックが提供するCNAMEレコード値を入力して頂きます。

これでドメインに対するDNS変更設定が完了しました。

 

DNS変更作業の際、下記の事項にご注意ください。

1. サブドメインが存在する場合には、クラウドブリックコンソールにてサブドメインを登録し、該当するAレコードとCNAMEレコード値を確認してから、上記と同様の手順で変更作業を行ってください。

2. MXレコードやFTP接続アドレスなどをルートドメインとして使用されている場合、ルートドメインのAレコードをクラウドブリックIPに切り替えると、ご利用中のFTPやメールサービスに障害が発生する可能性があります。この場合はMXレコードやFTP接続アドレスをクラウドブリックIPを眺めるルートドメインではなく、WebサーバIPで直接修正していただくか、或いはWebサーバIPとマッピングされたサブドメインとして設定していただく必要があります。もし、自社製ではない他のメールサービスをご使用中でしたら、変更される必要なく、クラウドブリックから提供するCNAMEレコードのみを切り替えることで問題ありません。

今回はDNSの変更方法についてご紹介させていただきました。この内容がクラウドブリックに乗り換えの際、システム担当者様に少しでもお役に立てれば幸いです。DNS変更方法に関して、ご不明なところがありましたら、遠慮なくご質問ください。

6

A百貨店

業種 各種商品小売業
規模 大企業
導入時期 2019年

※本事例は、お客様のご希望により匿名で掲載しております。

ビジネスにおいて、一回失った信頼を取り戻すことは非常に難しいと思います。セキュリティ事故が発生した場合、莫大な被害が発生するだけではなく、お客様の信頼を失うことになるため、事前にしっかりとしたセキュリティ対策を整えることが非常に重要だと思います。特に、多数のお客様の個人情報を取り扱っている弊社としては、さらに強力なセキュリティ対策を取る必要があると判断しました。(A百貨店 ITインフラ担当者)

 

WAFを導入したきっかけ

「お客様の個人情報保護とリスクヘッジの実現」

弊社が運営している百貨店ECサイトはお客様を対象にする会員制サイトであるため、普段から個人情報の取り扱いには幾分気を使っていました。しかし、2018年から1日平均接続者数が増えるにつれ、管理すべきデータも急増してきました。お客様の個人情報をより安全に管理するために現在のセキュリティ対策が十分なのかを再検討した結果、Webサイトに対する新たなセキュリティ製品を導入することを決めました。その中で、「お客様の個人情報保護」と「リスクヘッジ」の両方を実現できるWAF(Webアプリケーションファイアウォール)が候補に挙がり、導入にまで至りました。

 

クラウドブリック(Cloudbric)を選択した理由

「導入の容易性、高い信頼性、合理的な価格」

数々のWAFを比較するにあたり、次の3つのポイントを考慮しました。

  • 簡単に導入や運用できるか
  • 性能面で信頼できるか
  • 合理的な価格で利用できるか

WAFを導入するとき、導入にかかる手続きが複雑だったり、要する時間が長い場合にはIT担当者に相当な負担がかります。クラウドブリックの場合、クラウド基盤で提供されるため、システムを停止せずDNS情報を変更するだけで導入できるという点が大きなメリットでした。
また、個人的にセキュリティソリューションで最も重要なのは「性能面で信頼できる製品なのか」という部分だと思いますが、クラウドブリックは特許技術を保有しており、グローバルから技術力を認められ受賞した履歴を持っていますので、この部分も意思決定に大きく作動しました。日本・米国・韓国で特許を持ち、グローバル受賞歴も持っているという事で、クラウドブリックに対する信頼がさらに増しました。
最後に、合理的な価格設定も大きなメリットだと感じた部分です。優れた技術を提供しながらも企業の状況に応じ多彩なプランを提供しており、柔軟な価格設定のおかげで思ったよりもコストを抑えることができました。

 

クラウドブリック(Cloudbric)の導入効果

「発生していたのかすらわかっていなかった、サイバー攻撃の存在を認知」

クラウドブリックを導入し間もなく、大量のサイバー攻撃を受けたという事を確認できました。クラウドブリックで提供されているダッシュボード機能を使い、サイバー攻撃状況をリアルタイムで確認し、遮断することが可能になったのです。このユーザインターフェースを通じ、三日間にわたった集中攻撃の中84.94%がSQL Injectionによる不正アクセスであり、個人情報の漏えいを目的としていたことを把握できました。もし、攻撃が起きていたこと自体を認知できない状況だったら、大きな事故が発生することは間違いなかったでしょう。事前に防止することで、大きな被害を防ぐことができました。
もう一点便利な部分を挙げるとすれば、クラウドブリックはダッシュボードを通じ把握できるサイバー攻撃の情報及びセキュリティ状況に関するレポートを毎月作成してくれます。一目で攻撃状況に目を通すことができ、またその報告書を社内報告にも使え、業務の手際を軽くするという点も自分にとっては大きなメリットです。

 

クラウドブリック(Cloudbric)導入を検討している企業への一言

大きな事故と化す可能性があったサイバー攻撃を経験した後、さらにWAFの必要性を痛感するようになりました。目にも見えず、いつ起こるか予想すらできないサイバー攻撃はまさに「潜在的な脅威」であり、そこに費用を費やすという事を疑問に感じられるかもしれません。今までよかったからこの先もよいだろう、と思う方も多数いらっしゃるでしょう。しかし今回クラウドブリックを導入して感じたことは、「Webサイトを持ち、個人情報を取り扱う」企業ならどの企業でもハッカーのターゲットになる、という事です。備えあれば患いなしという言葉通り、あらかじめ対策をとっておく必要があるでしょう。
WAFの導入を検討している企業の方なら、コスト、性能、便利性全てを満たすクラウドブリックを利用することをお勧めします。

 

engineer

テレワーク導入時、IT担当者が検討すべきセキュリティ対策

新型コロナウイルス感染症に対する緊急事態宣言が5月25日をもって解除されましたが、それでも東京都では7月2日にも100人以上の感染者が確認されるなど、コロナの勢いが収まる気はありません。こういう状況下で、すぐに終わるだろうと思われたテレワークを続けている方も、また多数おられると思います。

このような状況を鑑み、多数の政府機関がテレワークにおけるセキュリティ対策を紹介しています。その中でも今日は、苦労されているIT担当者の方々に、少しでも手掛かりになるようなテレワーク対策をお伝えします。

 

セキュリティポリシーを策定し、ルールとして守る

テレワーク環境を安全にするにあたりもっとも重要なことは、「脅威が存在する」状況であると認めることです。現状に対する認識なしでは、セキュリティ対策にしっかり取り組むことなどできません。実際、警察庁などもセキュリティ対応を呼びかけてるのが現状です。

テレワーク標的か 国内でサイバー攻撃6500件超
2020年4月26日

新型コロナウイルスの感染が拡大し、外出自粛が求められるなか、出社せず自宅などで仕事を進めるテレワークが広がっている。こうした動きに照準を合わせるように、不正サイトに誘導するサイバー攻撃の被害が国内で6500件超に上っていることが26日、分かった。… 「前例のない危険な状況」。警視庁サイバーセキュリティ対策本部の幹部はテレワークの急増に危機感をあらわにする。十分な準備なしに急遽導入に踏み切る事例が多いためで、3月31日にはテレワークの防犯対策をホームページに掲載し、警戒を呼び掛けた。警察庁が検知した昨年のサイバー攻撃関連の疑いがある不審アクセスは1日平均で4192件。前年比約1・5倍と急増しており、テレワークが標的にされる例が目立っているという。

引用: 産経新聞

このように、テレワークを実施している企業の情報を狙っている攻撃はすでに多発しており、またその数を増やすであろうと予想できます。これに対応するには、まずルール、つまり「セキュリティポリシー」を策定することが対策の第一歩となるでしょう。仕事を始める前に計画を練るのと同様に、セキュリティ対策もまた同じ過程を要します。また、統一されたルールを持つことによって、従業員が悩みなしにルールを従い安全に仕事をできる、というメリットももたらせるでしょう。

 

暗号化されたネットワーク手段を使う

多くの企業で社外と社内の間の通信を暗号化するためにVPN等を導入していると思います。警視庁は、テレワーカーの通信経路に対し、次のような勧告を出しています。

使用するパソコンから勤務先等の接続先までの通信経路が、VPNで暗号化されているか否かを勤務先のネットワーク担当者に確認してから業務を行う

通信経路が暗号化されていないと情報を盗み見されるおそれがあります。
VPNサービスを利用するときは、運営者が明確であり、かつ情報が健全に取り扱われるものを利用する
VPNサービスの中には、通信の盗み見や改ざん、マルウェア(ウイルス)の組み込みがされている場合があるので信頼のあるものを利用しましょう。

引用: 警視庁

総務省もまた、重要情報の盗聴に対する対策として機密性が求められる電子データを送受信する際には必ず暗号化をすることを要求しています。暗号化をすることによって、盗聴を許したとしても、その情報の悪用を防ぐという事です。暗号化をせず通信を行った場合、通信に利用している機器を強固に防衛しているとしても、その対策が破られた瞬間に全ての情報が奪取されます。

しかし、暗号化を施すことによって、例え機器に対する防衛手段が破られたとしても、攻撃者が容易に情報を悪用するのを防げるのです。警視庁はその手段としてVPNを勧めておりますが、実はVPNもまた完全なセキュリティ対策だとは言えません。VPNと他のセキュリティ対策を併用したり、リモート・アクセス・ソリューションを導入したりするなどセキュリティ面を最優先し、自社にあった対策を取ることが重要です。

 

容易に突破されない認証方法を従業員に提供する

警視庁は、テレワーカのパスワードに関しても、次のような勧告を出しています。

パスワードは他人に推測されにくい複雑なものにする
簡単なものは、他人に不正アクセスされるリスクが高くなります。
パスワードを他のサービスと使い分け、テレワーク専用にする
他のサービスと同じパスワードを使用していると、そのサービスがサイバー犯罪の被害によって情報が流出した場合、テレワークのシステムに不正アクセスされるおそれがあります。
引用: 警視庁

パスワードに対する対策は、テレワークに限らず全ての情報セキュリティ対策としてよく知られています。しかし、実際にこれを守るのはそう簡単ではありません。パスワードを複雑にしたり、用途別に違うパスワードを設定するなどの対策はユーザの業務における効率を阻む可能性があります。多彩なパスワードを設定したのち記憶に残らず、パスワードを再設定するのにかなりの時間を費やしてしまった、などの例を挙げることができるでしょう。なので、二要素認証(2FA)などの機能を通じ、パスワード単体ではなく他の認証手段を同時に利用するなどの対策を取ることをお勧めします。

 

不正なパケットを自動的に発見・遮断するシステムを導入する

テレワークでは、社内ネットワークに接続する際、必然的に外部のネットワークを利用することになります。社内で勤務する場合は、オフィスに設置されたネットワークの安全を確保するだけで一定のセキュリティを得られました。しかし、テレワークの場合はそうはいかない、という事です。そこで、総務省は次のような勧告を出しています。

外部のネットワークを利用する場合は、テレワーク実施者が定められたVPN回線に接続してアクセスするルールやシステムを導入する、あるいは不正な通過パケットを自動的に発見、もしくは遮断する措置のできるシステムが求められます。
引用: 総務省

つまり、テレワーカー以外が社内ネットワークに接続するかを常に監視し、摘発するシステムが必要だという事です。社内ネットワークがいくら安全だといっても、それは社内にいる認証された人々だけが利用する場合のことであり、誰もが潜みこめるとなると、もはや安全とは言えません。よって、社外から社内に接続する場合は、怪しい接近を最初から遮断するソリューションを予め導入しておく必要があります。

 

コストをできるだけ削減する

情報セキュリティ対策へのコストを支払うにはに制約があるという理由での反対がある、という方も多いでしょう。しかし、無論自社に対する攻撃だけではなく、他人に対する攻撃への足掛かりにもなりかねない状況で、最低限のセキュリティ対策は必須です。総務省もまた、次のような見解を示しています。

対策の程度は企業により異なりますが、電子メールやWeb等のインターネットに繋がったサービスを使う以上は、他人に迷惑を与えないという意味で、最低限の対策は必要であると考えられます。
引用: 総務省

セキュリティ対策をとるにあたっては、「脅威が存在する」状況であると認めることが重要だとお伝えしました。しかし、そのような状況認識下でも、費用の問題で戸惑う企業もまた、多くいらっしゃると思います。しかし、会社の扉を閉めなければ泥棒が入るから防犯会社と契約するのと同じく、対処をしなければ、もっと大きな被害がいずれは訪れるでしょう。被害が出た後ではなく、被害が出る前に備えるのが重要です。そして、そのための手段を選ぶときには、最も状況にあった、優秀なコストパフォーマンスの製品を選択すべきでしょう。

 

最後に

いかがだったでしょうか。前述したとおり、テレワークは確かに人の「健康」を守るため有効な手段です。しかし、それによって企業情報の「健康」が損なわれることは、最大限防がなければなりません。クラウドブリックもまた、暗号化・二要素認証・モニタリング及び遮断といった機能を持つ Remote Access Solutionを通じ、企業情報の健康を守ろうとしております。そして、その二つの「健康」を守るため尽力しておられるIT担当者の方々に、Cloudbric Remote Access Solution が役に立てれば、と思う一方であります。

Cloudbric Remote Access Solution の詳しい情報は、こちらをご覧ください。

allie-gouPqaau9Qo-unsplash

【Webセミナー】第1回 パートナー様向け クラウドブリック新規機能の説明会のご案内

この度、クラウドブリック(Cloudbric) は、パートナー様の管理性および利便性の向上のため、パートナ様専用管理ページにて「自動メール送信機能」を追加させて頂きました。つきましては、Webセミナーならびに資料を以て本機能を説明させて頂きますので、開催日程をご確認の上、ご参加をお申し込み下さい。

テーマ
パートナ様専用管理ページにて追加された新規機能の説明:自動メール送信機能

  • 目的及び概要
  • 設定方法
  • メールテンプレート

場所:オンライン
※Zoomウェビナーにてライブ配信で行われます。

参加料:無料

開催日程およびお申し込み[/vc_column_text][mk_table]

No. 日時 お申し込み
7月1日(水) 15:00~16:00 こちらからお申込ください。
7月7日(火) 11:00~12:00 こちらからお申込ください。
7月9日(木) 15:00~16:00 こちらからお申込ください。
7月14日(火) 11:00~12:00 こちらからお申込ください。
7月16日(木) 14:00~15:00 こちらからお申込ください。
home-office-569153_1920

「一般的なテレワーク環境」に付きまとう、セキュリティリスク

新型コロナウイルスの影響で、緊急事態宣言が出されるにつれ多数の企業がテレワークを導入しました。そして、緊急事態宣言が解除された以降も、かなりの割合でテレワークが続けられています。一番楽な場所で業務に当たれるという事を好意的に受け取る方も、多数存在するのではないのでしょうか。実際、出勤する手間が省けるというだけでも、日常はかなり楽になるものです。しかし、テレワークがいかに従業員の仕事と生活の調和を助け、生産性を向上させたとしても、デメリットの存在を否定することはできません。テレワークは常にサイバー脅威と隣り合わせしており、いつ企業のデータがリスクに陥るのかわからない状態なのです。そこで、今日は一般的に運用されるテレワーク環境と、それに潜むリスク、そしてその対策についてお伝えします。

 

一般的なテレワーク環境に至るまでの道のり

コロナの影響で急遽テレワークを始めた企業の多数が、「サイバーセキュリティに気を遣う余裕などない」という状況だったはずです。よって、ほとんどの方はもともと家庭に設置されたネットワークを利用してたに違いありません。しかし、テレワークの試行期間が長引き、「Zoom」などのセキュリティ問題が現れるにつれ、セキュリティ対策をせざるを得ない状況になりました。そこで数々の企業が導入したのが、「VPN」です。

VPN(Virtual Private Network)とは、ネットワーク上にプライベートな仮想通路を設置するアプリケーションです。強固なトンネルの様なものと想像していただければいいでしょう。そして、そのトンネルを通じ情報を送受信することによって、指定したサーバ、例えば社内ネットワークなどにより安全に接続できるようになる、というものです。

つまり、「家庭内に構築された既存のネットワークシステム」にVPNが足された形、が一般的なテレワーク環境になったのです。しかし、必ずしもすべての従業員がVPNを誠実に使っている、とは限りません。さらに、VPNを使ったとしても防げない脅威も存在します。

 

VPNを使わないテレワーク環境に潜むセキュリティリスク

テレワーク中の従業員は、想像以上にかなりの頻度で、VPNを使わず家庭用Wi-Fiもしくは公共Wi-Fiを通じ社内ネットワークへ接続します。しかしこれは、攻撃者にとって、重要な情報を奪取するチャンスです。例えば、データが暗号化されず単なるテキストで伝送された場合、攻撃者は容易にこれを奪取することができます。

よって、テレワーカーは安全が保障されていないWi-Fiネットワークを使い、社内ネットワークに接続することを避ける必要があります。もしも、必ずセキュリティ面での不安が残るネットワークを利用しなければいけない場合、VPNを使う必要があります。オープンされた荒野に、トンネルを一つ作りそこを行き来するのです。

 

VPNを使っているテレワーク環境にも潜むセキュリティリスク

VPNは、テレワーカーを抱える企業にとってもはや命綱になりました。しかし、不運にも損傷されたハードウェアやマルウェアに感染されたホームネットワークは、企業のネットワーク全部を危険に追いやります。VPNは安全な「通路」に過ぎないので、それを通じ企業のネットワークにも脅威が迫るのです。

 

個人用デバイスの業務上利用

多数のテレワーカーが業務用デバイスと個人用デバイス間でファイルを送受信しています。しかし、個人用デバイスは決して安全ではないゆえに、情報が漏えいする可能性も高まります。つまり、個人用デバイスを業務に使うことを許可するという事は、脅威にさらされるリスクを受け入れるという事になるのです。

例えばテレワーカーが重要な情報を個人用デバイスに保存したまま退職した場合、その情報はテレワーカー自身のみが削除できます。また、全ての従業員が常にソフトウェアを最新バージョンに保っているという保証もありません。これは、テレワーカーの個人用デバイスに接近するハッカーが、さらに容易に企業の情報に接近できるという事です。

結果的に、ITチームがいくら業務用デバイスのセキュリティに気を使ったとしても、テレワーカーの個人用デバイスからいくらでも情報が流出しかねない、という状況が生み出されます。なので、個人用デバイスの使用を禁止し、業務用デバイスのみで業務を行わせる必要があります。

シャドーIT問題

テレワーカーの個人用デバイスに対する欲求は、シャドーIT問題も引き起こします。個人用デバイスを使用する場合、必然的に企業のITチームから許可されていないソフトウェアやシステムを使うことになります。実際、テレワーカーは自分が容易に使えるアプリケーション、システム、プログラムに手を伸ばしがちです。

しかし、これはハッカーが脆弱性に突き入る隙を与えます。よって、テレワーカーは少し不便になるのを承知のうえ、ITチームから認められたものだけを使うべきでしょう。

巧妙化されるハッキング手段と、保護されないテレワーカー

近年、サイバー犯罪は人間の弱点を利用する形に進化しています。例えば、最近ハッカー集団はWHO(世界保健機関)のサイトでコロナに関する状況を把握しようとする人々を狙った悪性アプリケーションを制作しました。アプリケーションがインストールされた場合、「トロイの木馬」と呼ばれるマルウェアにより、デバイスに保存された重要なデータが奪取されるのです。このように誤って悪性アプリケーションをインストールすることによって、情報を奪取されかねません。

こうした手口で手抜かれた情報は、武器となり、情報の主を攻撃します。特にテレワーカーは、出勤して勤務する従業員より、このような攻撃に屈する可能性が高いのです。出勤して勤務する場合には、アプリケーションなどをダウンロードする際、ITチームからの許可を得る必要があります。しかし、テレワーカーはそのような許可を得る必要がないので、自らハッカーの攻撃に露出される可能性が高まるのです。

よって、強力なVPNを使うだけではなく、強力な認証手段を利用するとともに、エンドポイントのセキュリティ状況を確認できる、VPNより高度なセキュリティ対策も考慮する必要があります。

 

テレワーク環境のセキュリティ対策

デジタル環境が拡大される中、そしてコロナの影響が続く間には、必然的に社内で勤務するのではなく、テレワークなどの形を取る従業員が増えるでしょう。テレワーカーに脅威が付きまとうとはいえ、その脅威を排除する方法もまた、存在するのです。前述したように、テレワークのセキュリティを保存する手段としてはVPNがあり、幅広く利用されています。しかし、VPNがいくら安全だといえ、VPNはただの通路にすぎず、それを通る危険なトラフィックを制御することはありません。

まず、データを保護するための対策をとる前に、テレワークとネットワークに関するポリシーを見直しましょう。

ポリシーが確定すれば、セキュリティに対する脅威にどう立ち向かうかも、自然に明白になるはずです。下の項目は、そのポリシーに従い取りえる対策です:

  • 強靭なパスワードを設定する
  • ファイアーウォールを設置する
  • 2FA(2要素)認証を利用する
  • 自宅のルーターにセキュリティ対策を施す
  • 公共Wi-Fiを利用する際には、必ずVPNを使う
  • フィッシングメールやサイトに注意を払う
  • データを暗号化する

テレワークはもはやビジネス界で最も重要なテーマになりつつあります。しかし、テレワークにあたる従業員をコントロールできぬまま、データが危険にさらされるのをただ見ているわけにはいきません。

 

最後に

このような対策を全てとるのは現実的に難しい、というお客様も多数おられると思います。そういう方には、「Cloudbric Remote Access Solution」をお勧めします。2FA認証を通じ、全トラフィックを監視・暗号化するソリューションを手軽に利用できます。従業員にテレワークを指示しながらも、ネットワークとデータ両方を守る事ができる「Remote Access Solution 」を、無料お試し提供中の今、是非お試しください。

Cloudbric RAS

pc_img_01

Remote Access Solutionの、VPNとの差別化ポイント

新型コロナウイルスによって急遽始まったテレワークが、今も続いている、という方も多くいらっしゃると思います。それに伴い、多数の企業がセキュリティ対策に目を向け始めました。その一つとして幅広く使われているのが「VPN」です。しかし、VPNだけが有効なセキュリティ対策だというわけではありません。クラウドブリックの Remote Access Solution もまた、安全かつ低コストで従業員のテレワークの安全を守る、セキュリティ対策です。今回は、VPNと Remote Access Solution それぞれについて簡単に説明し、三つのポイントで VPNと Remote Access Solutionを比較しようと思います。

 

VPNとは

VPN(Virtual Private Network)とは、指定されたWebサーバとユーザ間に暗号化された通路を設置し、安全な接続を可能とするものです。言い換えれば、VPNはインターネットを利用しプライベートなネットワークへ接続するものであり、この「仮想」のプライベートネットワークは、安全な内部ネットワークのように稼働します。この過程のおかげで、ユーザは私設・社内サーバを含めたWebサーバに遠隔接続できるようになります。もちろん、すべてのデータは第3者から奪取されても安全なように、暗号化される必要があります。

 

Remote Access Solutionとは

Remote Access Solution はクラウドブリックが持つセキュリティ技術が詰め込まれた、クラウドベースのビジネス用テレワークソリューションです。ユーザは Remote Access Solution を通じ、全てのトラフィックを暗号化し安全な状態にさせた上で、社内ネットワークに接続できます。また、認証を経たユーザのみが、デバイスや場所に関係なく企業の情報とデータに接近できます。これだけを見れば、さほどVPNとの差がないように見えますが、そうではありません。Cloudbric Remote Access Solution はVPNと比べ、次のような三つの差別化ポイントを持ちます。

 

Remote Access Solution の、三つの差別化ポイント

その1、簡単な利用方法

VPNの場合、安全な接続環境を構築するためには、サードパーティ製のアプリケーションが必要です。しかし Remote Access Solution の場合、お客様は何も設置する必要はありません。モバイル機器で接続する場合にも、VPNを利用するにはサードパーティ製のアプリケーションをダウンロードする必要があります。

しかし、クラウドベースである Remote Access Solution は、この場合にもいかなるダウンロードも要求しません。ただWebブラウザからログインするだけで、社内ネットワークを利用することができます。

その2、より確実なセキュリティ

VPNとは違い、Remote Access Solution は全てのトラフィックをモニタリングし、マルウェア、ボット、ハッキングなどの不審な動きをを自動的に遮断します。

また、VPNは通常シンプルなIDとパスワードを利用し、ゲートウェイにログインします。つまり、この情報を持つだれでも容易にゲートウェイへアクセスできるという事になります。しかし、Remote Access Solution の場合、FA認証を通じて認証されたユーザのみ、プライベートネットワーク(Private Network)内のWebサーバとデータへのアクセスを許可します。

ログデータの収集が気になる、という企業にも Remote Access Solution はうってつけです。VPNの場合、ベンダーごとにログデータへのポリシーは異なります。例えば、「No Log」ポリシーを随行しているというベンダーであっても、セッションログなどのデータを保存している場合があります。しかし、Remote Access Solution は、企業及び従業員のどのようなデータも保存しません。

その3、合理的な価格

前述したように、多数の企業がエンタープライズ級VPNソリューションを利用しています。しかし、規模によってはオンプレミスのVPN用機器や個別回線の設置が必要になる場合もあり、これには莫大な費用が伴います。

一方、Remote Access Solution はクラウドベースのソリューションなので、前述したとおり、設置を一切要求しません。よって、設置から発生する料金も、一切ありません。また、クラウドベースという利点を生かし、柔軟にサービス規模を調整できるので、納得できる範囲の中で料金が設定されます。さらに、2020年10月7日まで無料お試しプロモーションを実施中ですので、負担なく試していただけます。

 

最後に

日本でも広がったテレワークは、今や典型的な働き方の一つともなりえる程に浸透しています。しかし、セキュリティ対策なしのテレワークは、コロナが人体に与える被害と同じ様に、企業を傷つけ、さらには再起不能にまで陥らせる危険があります。クラウドブリックのすでに検証されたセキュリティ技術に基づいた Remote Access Solution は、テレワークに対する最も簡単な答えです。

Webサイトにて、もっと詳しい情報をご覧ください。