GoldenBridgeAwards

クラウドブリック、Globeeの「第15回 2023年 ゴールデンブリッジアワード」を受賞

クラウド&エッジコンピューティングセキュリティ企業のクラウドブリック株式会社(代表取締役:鄭 泰俊、以下クラウドブリック)は、世界有数のビジネスアワードであるGlobee Awardsにおいて、「第15回 2023年 ゴールデンブリッジアワード」の銅賞を受賞したことをお知らせします。
※本資料は2023年7月13日にクラウドブリック株式会社(韓国ソウル)が発表したプレスリリースの抄訳です。

GoldenBridgeAwards

 

Globee Awardsは9つのプログラムから構成されており、そのうちのひとつであるゴールデンブリッジアワード(Golden Bridge Awards)は、多様な背景を持つ350人以上の専門家が厳格な審査を行い、さまざまな産業分野で優れた業績と革新性、卓越性を称える賞です。

クラウドブリックは、Cloudbric PAS(Private Access Solution/日本ではリリース時期未定)において、優れた技術力とビジネス成果が認められ、新型コロナウイルス感染症への効果的な対処と影響の最小化に貢献した(To Combat and Reduce the Impact of COVID-19)最高の製品と最高のサービス部門で銅賞に選ばれました。

Cloudbric PASは、ソフトウェア定義境界(SDP, Software Defined Perimeter)技術を活用したエージェントベースのゼロトラストネットワークアクセス(ZTNA, Zero Trust Network Access)ソリューションで、幅広いプロトコルへのアクセス制御機能を提供し、外部脅威から企業のネットワークを安全に保護します。なお、日本でのサービスリリース時期は未定です。

 

  • クラウドブリック代表 鄭 泰俊のコメント

クラウドと在宅勤務活性化でZTNAが注目されている中、SDP技術を活用したサービス型(SaaS)エージェント基盤ZTNAソリューションであるCloudbric PASの受賞を大変光栄に思います。Cloudbric PASを通じて、企業におけるゼロトラストネットワーク環境を実現し、より安全なリモート接続環境が構築されることを願っております。

 

Globee Awardsの詳細、および2023年の受賞リストは以下をご覧ください。
https://globeeawards.com/golden-bridge-awards/winners/

ZTNA image

ZTNAソリューションの種類、メリットから導入時のチェックポイントまで

ZTNA image

コロナ禍をきっかけにリモートワークの普及が進み、社外から社内のネットワークにアクセスするVPN接続の利用も広がっています。しかし昨今、VPN接続を狙ったサイバー攻撃も増加しつつあり、ネットワークのセキュリティ対策の重要性が見直されつつあります。近年、ネットワークのセキュリティに関して注目を集めているのが、ZTNAと呼ばれる考え方です。ここでは、ZTNAソリューションの種類やメリット、そして導入する際におさえておきたいチェックポイントについてご紹介します。

 

ZTNAとは?

ZTNAという概念について簡単に解説しておきます。ZTNAとは「Zero Trust Network Access」の略称です。「ゼロトラスト」とは、ネットワークの外側も内側も信頼しない、という考え方です。従来のセキュリティは、ネットワークの内側だけを信頼し、外側は信頼しない、という考え方に基づいた対策を採用していました。しかし昨今のクラウドのように、社外に情報資産を置いたシステムの利用も活発化しています。そのため、従来のセキュリティでは不十分とみなされつつあります。そうした現状の中で注目されているZTNAは、あらゆるアクセスを信頼せず、外部だけではなく内部からのアクセスもチェックし、信頼できるものだけを通過させる仕組みです。

ZTNAについて、詳しくはこちらの記事をご覧ください。

企業担当者必見!ZTNAとは?概念とセキュリティモデルを解説!

 

ZTNAソリューションを導入するメリット

ZTNAソリューションを導入するメリットとして、以下のようなことが挙げられます。

  • セキュリティの向上
  • 管理負担の軽減
  • アクセス負荷の低減

それでは、ZTNA導入におけるメリットを詳しく説明します。

セキュリティの向上

ZTNAソリューションを導入することで得られるメリットとして、まずはセキュリティの向上が挙げられます。VPNと異なり、すべてのアクセスを信頼せずにチェックを行うZTNAは、セキュリティの向上につながります。また、認証を通過したデバイスのみ、制限された領域にのみアクセスできるような仕組みを提供するため、万一デバイスの盗難等の被害に遭った場合にも、情報漏洩等の被害を最小限に抑えることができます。

管理負担の軽減

管理者の負担を軽減することも可能です。特に社員数が多い会社の場合、情報システム部門で管理すべき情報は膨大な数に上ります。ZTNAソリューションを導入することで、認証情報等を一括して管理することができるため、管理の負担を減らすことができます。ソリューションを選ぶ際には、管理インターフェースの使いやすさ等も考慮しておきましょう。

アクセス負荷の低減

アクセス負荷を低減することもできます。ユーザーは限られたアプリケーションにしかアクセスできなくなるため、必要なアクセスのみが発生し、無駄なアクセスを減らすことができるようになります。

 

ZTNAソリューションの種類

それでは、ZTNAに基づいたセキュリティ対策を実現する製品について、さらに詳しく解説していきます。ZTNAソリューションには、大きく分けて「サービス主導型」と「クライアント主導型」の二種類があります。それぞれの特徴と、向いている企業についてご紹介します。

 サービス主導型

「サービス主導型」のZTNAソリューションは、サービス(アプリケーション)を提供している側がアクセス権限等を主導的に管理する仕組みです。サービス主導型のソリューションはSDP(Software Defined Perimeter)という概念を取り入れています。SDPとは、ソフトウェア上に新しく境界線を設けることで、ユーザーのアクセス権限等を一括して管理する考え方です。サービス主導型のZTNAソリューションは、ユーザーのデバイスにインストール等を行う必要がありません。そのため、ユーザーが各々のデバイスを利用して業務に携わる形態を採っている企業に向いています。

 クライアント主導型

「クライアント主導型」のZTNAソリューションは、クライアントであるユーザーの状態やデバイスに応じてアクセス制御を行います。オンプレミスでもクラウド上でもアクセスが可能となるため利便性が高く、アプリケーションの構成変更も少ない場合が多いため、サービス主導型に比べ導入しやすいという特徴があります。クライアント主導型のZTNAソリューションは、デバイスの方にインストール等を行うことになります。社用のPCやスマートフォンを支給している場合など、デバイスを限定して管理している企業に向いています。

 

ZTNAソリューションを導入する際のチェックポイント

それでは、ZTNAソリューションを導入する際のチェックポイントについてご紹介していきます。複数のZTNAソリューションの中から自社の業務にとって適切なものを選ぶためにも、重要なポイントをおさえておきましょう。

セキュリティの固さ

1つ目のポイントはセキュリティの固さです。セキュリティソリューションである以上、性能の低いものであっては意味がありません。強固なセキュリティを実現可能か見極めるために、ソリューションの特徴をきちんと把握し、信頼できるベンダーを選定する必要があります。

操作性と管理のしやすさ

2つ目のポイントは操作性です。ユーザーにとっての認証画面にしても、管理者にとっての管理画面にしても、操作しやすいことに越したことはありません。ユーザーにとっては、あまりに煩雑な認証画面が与えられると業務効率の低下が想定されます。管理者にとっても、ユーザー情報をはじめ管理すべき情報が多いため、効率的な業務のためには管理用のインターフェースにも気を配りたいところです。

サポートの充実

ネットワークに関わるソリューションである以上、問題が起こった場合に即時に対応ができないと、業務に大きな支障をきたす恐れがあります。セキュリティ関係の事故が発生した場合など、ベンダーの助けがなければ原因究明や対応ができない可能性もあります。手厚いサポートが用意されているかどうか、ということも選ぶ際のポイントになります。

 

ZTNAソリューションのおすすめ「Cloudbric RAS」を紹介!

製品によって提供形態やサービス内容が異なるため、ZTNAの導入をする際は製品を見極めて自社にあったサービスを選ぶことが重要です。そして、導入するZTNA製品を見極める際のチェックポイントとしては、前述した内容である、下記の3つが挙げられます。

  • セキュリティの固さ
  • 管理のしやすさ
  • サポートの充実

これら3つのポイントからおすすめするZTNAソリューションは「Cloudbric RAS」があります。「End To Endのゼロトラストセキュリティ環境」を構築することができるクラウド型セキュリティサービスです。より詳しい内容を確認したい方は、こちらをご覧ください。

 

まとめ

今回は、ZTNAのソリューションの種類や導入のメリット、そして導入するために確認する必要があるポイントについて解説してきました。今まで解説してきた導入のメリットやチェックポイントを踏まえた上で、ZTNAソリューションから自社に適切なものを選択しましょう。

 

what is ztna2

ZTNA(Zero Trust Network Access)の重要性とは?メリットなども解説!

働き方改革とコロナ禍の影響から、日本企業でもテレワークのリモート・在宅勤務の導入が増加しています。そして、テレワーク増加と比例して増加している事例がVPNの脆弱性を狙ったサイバー攻撃です。

そんななか、VPNのような境界型セキュリティでは防ぐことのできないサイバー攻撃に対応できる次世代のセキュリティとして注目されている概念が「ZTNA(Zero Trust Network Access)」です。ZTNAの概念やセキュリティモデルについての詳細は、こちらの記事で解説しています。

ZTNA(Zero Trust Network Access)とは?概念とセキュリティモデルを解説!

本記事では、次世代セキュリティとして注目されるZTNAの重要性と導入のメリットについて解説しています。ぜひ、最後までご覧ください。

 

企業担当者必見!ZTNA(Zero Trust Network Access)の重要性とは?

ZTNAが注目されるようになった背景には、ITの技術や働き方の変化によって、VPNなどの従来の境界型セキュリティでは守り切れない事例が頻出してきたことが挙げられます。IT技術の変化や企業のクラウド環境への移行が進むとともに、求められるセキュリティ対策も変わってきました。そしてテレワークのリモート・在宅勤務の増加など働き方が急激に変化する中、リモートアクセスに対するセキュリティ対策を見直す必要があるという議論がはじまって、従来のVPNに代わる対策としてZTNAが注目されました。

それでは、なぜZTNAの導入が重要なのでしょうか?まずは、クラウド環境におけるZTNAの重要性について、詳しく解説していきます。

クラウド環境ではZTNAが重要!

近年、ランニングコスト削減効果や安価でスピーディーな環境構築などを目的にクラウド環境の導入・移行に踏み切る企業が増加傾向にあります。クラウド環境とは、離れた場所にあるシステムの本体(物理的なサーバなど)から、インターネットなどのネットワークを介して、ユーザにサービスを提供する形態のことです。

境界型セキュリティと呼ばれている従来のセキリティは、下記のポイントを軸に対策されています。

  • 外部ネットワークとの「境界線(ペリメータ)」でセキュリティ対策を行う
  • 内側(社内)と外側(社外)の接点における悪意のある第3者の存在

つまり、従来のセキュリティ対策としての考え方は、外側は信用できず内側は信頼できるという意識が働いていました。システムの本体が内側にあれば、従来のセキュリティ対策でも、悪意のある第3者からの攻撃は防げるでしょう。

しかし、クラウド環境で離れた場所にシステムの本体がある場合、境界型セキュリティでは攻撃を防ぐことはできません。それに対して、ZTNAは、ゼロトラストという「ネットワークの外側も内側も依存しない」という考えでセキュリティ対策を行うため、クラウド環境にも対応しています。だからこそ、クラウド環境に移行した企業や移行を考えている企業は、クラウド環境にある情報資産を守れるセキリティ対策として、ZTNAの導入は重要となります。

 VPNが安全な対策であると言えない理由は?

境界型セキュリティとして最も一般的で、テレワークでのリモート・在宅勤務での主流となっていた仕組みと言えば、VPNがあります。テレワークの推進やコロナ禍の影響でリモート・在宅勤務をする方が増加したことで、社内ネットワークに外部から安全にアクセスする際に使うVPNは急速に多くの企業に拡がりました。しかし、VPN製品の脆弱性が相次いで発見され問題となりました。そして、その脆弱性を利用したサイバー攻撃や攻撃者の侵入が次々と発覚し、もはやVPNは安全なセキュリティ対策ではないといわれています。

 また、脆弱性があることだけでなく、VPNのような境界型セキュリティは「内側が安全」と考えられているため、他者のなりすまし攻撃に弱いという特性があります。そのため、社内ネットワークへの攻撃を防ぐことは困難といえるでしょう。

ZTNAは脱VPN事故に不可欠!

VPNを狙った悪意のある第3者によって、VPN事故(VPNの欠陥をついた攻撃による情報流出などの事故)が発生する可能性は十分あります。VPNは、もはや安全なセキュリティ対策とはいえなくなっており、一刻も早く「脱VPN」への対策が必要といえるでしょう。そして、そんな脱VPN対策として注目されている概念が、ZTNAの導入です。

 

VPNの代わりに注目されるZTNA(Zero Trust Network Access)のメリットとは?

ZTNAであれば、VPNなどの境界型セキュリティでは守り切れない資産を守ることができますが、他にも下記のようなメリットが得られます。

  • アクセス速度が早まる
  • セキュリティが強固となる
  • 管理者の負担が減る
  • ユーザの増加に柔軟に対応できる

それでは、ZTNA導入におけるそれぞれのメリットについて、詳しくみていきましょう。

アクセス速度が早まる 

ZTNAは、VPNとは異なり、許可された限られたユーザしかネットワーク上のアプリケーションやデータにはアクセスができません。そのため、これまでより無駄なアクセスが減り、接続が最適化されたことでアクセス待ちの時間が短縮します。また、クラウド環境でVPNを利用したリモートワークは、下記のようなアクセス経路を辿ります。

  1. リモート端末
  2. 社内ネットワーク
  3. クラウド

そのため、社内ネットワークに対して、VPNアクセスとクラウドへのアクセスで2重に負担がかかることで速度が遅延しやすいという特性がみられます。ZTNAを導入すれば、効率的なクラウド利用が可能となるでしょう。

 セキュリティが強固となる

ユーザがIDとパスワードによる認証が通過すれば、ZTNAでは、アクセス権限を持つアプリケーションのみアクセスが可能となるよう権限の制御が可能です。もしユーザの端末が乗っ取られても、悪意のある第3者は限られたアプリケーションにしかアクセスできないため、被害を抑えられるでしょう。また、IPアドレスは許可されないユーザには公開されないため、IPアドレスの外部公開によるサイバー攻撃の軽減も期待できます。

 管理者の負担が減る 

VPNの場合、拠点ごとにアクセス制御ポリシー(保護リソースに対するアクセスをユーザに許可するか拒否するかを定義する一連の条件)の管理が必要です。ZTNAを導入すれば、組織全体のアクセス制御ポリシーがすべてクラウド上で一元管理できるため、拠点ごとに管理する必要がありません。そのため、管理者の負担が大きく軽減されるでしょう。また、ACL(アクセス制御リスト)も簡素化できることから、さらに管理者の負担は減るところは大きなメリットです。

ユーザの増加に柔軟に対応できる

VPNの場合、ユーザが増加すると、利用規模に対してサーバなどの性能や容量が負荷に耐えられません。そのようなシステム障害の発生を防止するためには、サイジングの必要性や急なユーザ追加に対して、柔軟に対応しなければなりません。しかし、ZTNAを導入すれば、性能による問題などの処理はすべてクラウド上で行えるため、急にユーザ増加があっても柔軟で迅速な対応ができます。

 

ZTNAソリューションのおすすめ「Cloudbric RAS」を紹介!

脱VPNのセキュリティ対策として、ZTNAを選ぶ企業もあることでしょう。すでに、各企業からいくつものZTNA製品(ZTNAソリューション)の提供を開始しています。しかし、製品によって提供形態やサービス内容が異なるため、ZTNAの導入をする際は製品を見極めて自社にあったサービスを選ぶことが重要。そして、導入するZTNA製品を見極める際のポイントとして、は、下記の4つが挙げられます。

  • セキュリティ能力
  • 情報の管理のしやすさ
  • 相互運用性の良さ
  • 問題が起きた際の対処・対応速度

これら4つのポイントからおすすめするZTNAソリューションといえば「Cloudbric RAS」があります。マルチ・クラウド上に構築されている複数のWebアプリケーションに対し、利用者単位でアクセス権限を設定できるクラウド型セキュリティサービスです。

 

さいごに

今回は、ZTNAの重要性やメリットなどについて解説してきました。セキュリティコンサルティングを世界的に展開しているガートナー社によると、現在「VPN」を利用している企業の約6割が、2023年までにZTNAへ移行すると予想しています。これまで、VPNは利用すべき安全対策といわれてきましたが、今の時代や環境に対応できていない事例が数多く報告されているのが現状。今後のテレワークを推進や会社のクラウド化を目指しているのなら、ぜひZTNAを導入して、脱VPNを検討してみてはいかがでしょうか。

 

ZTNA ソリューション「Cloudbric RAS」の詳細はこちら

Cloudbric RAS

what is ztna

企業担当者必見!ZTNAとは?概念とセキュリティモデルを解説!

現代社会において、インターネットを利用するさまざまなサービスの通信手段としてVPN接続が活用されています。しかし、多くの利用があることもあり、VPN接続の脆弱性を悪用した第3者によるサイバー攻撃が年々増加しています。そして、VPN接続の脆弱性を悪用したサイバー攻撃・トラブルを解決できる新しいセキュリティとして注目されている仕組みが「ZTNA(Zero Trust Network Access)」ソリューションです。

本記事では、従来の境界型セキュリティからの転換を実現するZTNAについて解説しています。また、クラウド環境でのZTNAの重要性や従来のVPN接続を使い続けたときの危険性のうち、日本国内でのVPN関連事故の事例も紹介していますので、ぜひご覧ください。

 

企業担当者必見!ZTNA(Zero Trust Network Access)の概念とは?

まずは、ZTNAの概念について解説します。ZTNAとは、「Zero Trust Network Access(ゼロトラストネットワークアクセス)」の略語です。ゼロトラストとは、ネットワークの外側も内側も何も信頼しないという概念です。従来のセキュリティは、外側は信用できなくても内側は信頼できるという概念で対策されていました。その理由は、悪意のある第3者からのサイバー攻撃から保護する対象(データ・情報)がネットワークの内側にあったためです。しかし、クラウド時代の到来により、現在は保護する対象がネットワークの外側に存在しているケースが主流を占めています。そのため、こうした保護する対象がネットワークの内側と外側に点在するようになったことで、従来のセキュリティ対策では守り切れない状況に陥っています。そこで、生まれた概念がZTNAです。 具体的には、「ゼロトラスト」の概念から考えられたセキュリティソリューション(コンサルティング・対策・運用監視・インシデント対応までをトータルサポートするセキリティ対策)を行います。

ZTAとの違いは?

ZTNAと同義の言葉に、ZTA(Zero Trust Architecture、ゼロトラスト・アーキテクチャ)があります。そもそも、アーキテクチャという言葉は、「建築(物)・建築術・建築様式、・構造・構成」などの意味を持ちます。そして、ITの分野では、コンピュータやソフトウェア・システム、あるいはそれらの構成要素などにおける、基本設計や共通仕様・設計思想などを指します。

つまり、ZTNAはゼロトラストの概念を取り入れたセキュリティソリューションのことであり、ZTAとの違いはゼロトラストの特徴をそのまま反映させたシステム構想を意味します。

VPNの代わりに注目されるZTNAのメリットとは?

VPN接続とは、インターネット上に仮想の専用線を設定し、特定の人のみが利用できる専用ネットワークのことで、インターネットを利用するさまざまなサービスの通信手段として利用されています。

基本的に、VPN通信は暗号化できることから、安全に通信可能と言われています。そのため、ネットワークの外側と内側の境界線を構築し、セキリティ強化が見込めます。

一方、ZTNAには境界線が存在しないことから、ネットワークの内側外側のどちらにも脅威が存在することを前提にセキュリティ対策を行わなければなりません。そのため、より強固なセキュリティ対策が行われる必要があります。

 ZTNAのメリットには、下記の4つが挙げられます。

  • 高度なユーザ認証ができ、より詳細な制御が可能
  • 最小の権限での認可が可能となり、セキュリティ管理者の負担が軽減する
  • 端末ごとの信頼性評価で接続の可否を判断するため、乗っ取られても被害を最小限に抑えられる
  • ユーザに対する透明性がアップする

ZTNAの重要性やメリットについては、こちらの記事で詳しく解説しています。

ZTNAの重要性とは?メリットなども解説!

次章では、そんなZTNAのメリットを活かせるセキュリティモデルについて解説します。

 

ZTNA(Zero Trust Network Access)のセキュリティモデルは?

次世代のセキュリティモデルと言われているZTNAには、「サービス主導型」「クライアント主導型」の2つのタイプが存在します。これら2つのタイプの解説と、ZTNAソリューションの例を紹介します。

「サービス主導型」は、SDP(Software Defined Perimeter)と呼ばれる概念を取り入れたタイプです。Webアプリケーション構築プラットフォームやソフトウェアを利用してアクセス制御やサイバー攻撃を防ぎます。通常、Web制作会社や開発会社が快適にアプリケーションを構築し、クライアントに提供できるようにするためのプログラムを採用します。

一方、「クライアント主導型」は、クライアントが必要に応じて、バックアップ・リカバリー処理を指示する方法を採用した形態であるため、クライアント主導型の方が、ユーザにとって導入しやすいといわれています。

ZTNAソリューションの例|Cloudbric RAS

「Cloudbric RAS(クラウドブリック・ラス)」は、マルチ・クラウド上構築されている複数のWebアプリケーションに対し、利用者単位でアクセス権限を設定できるクラウド型セキュリティ・サービスです。既存のDirectConnectやVPNの構築などが不要で、DNS情報を変更するだけで利用開始でき、ユーザ向け認証用画面と管理者向け統合管理画面の2つのインターフェースを提供することが特徴です。

企業システムをドメイン単位で管理できるようになるため、複数のシステムが一元管理できることも大きな魅力です。また、認証セキュリティの強化によってZTNAだけでなく、従業員と企業の安全の確保でき、簡単かつ安全なテレワーク環境の実現できます。 

「Cloudbric RAS」の詳細を確認する

 

日本でのVPN関連事故の事例を紹介!

ここでは、VPN接続のリスクと関連事故の事例について紹介します。それでは、詳しくみていきましょう。

Pulse Secure社のVPN製品

2021年4月下旬、Pulse Secure社がVPN製品「Pulse Connect Secure」で深刻な脆弱性(CVE-2021-22893)が存在し、その脆弱性を狙ったサイバー攻撃による被害を受けていたことを発表しています。悪意のある第3者がこの脆弱性を悪用した場合、認証を回避して任意のコードを実行可能となります。同年5月に、この脆弱性を修正したバージョンが提供されており、日本国内での被害はありませんでした。

 しかし、国内での悪用は確認されており、修正バージョンの提供まで約1か月間かかったことから、今後被害が確認される可能性もあるでしょう。

また、Pulse Secure社のVPN製品は、他にも下表のような脆弱性が確認されています。

バージョン 概要
CVE-2019-11510 HTTPS経由で送信・細工されたURIを処理することにより、任意のファイルが読み出される可能性
CVE-2019-11509 管理用Webインターフェースにログインしたユーザによって、PulseSecureアプライアンス上で任意のコードを実行される可能性
CVE-2019-11508 Pulse Connect SecureのNetwork File Share (NFS) の実装には脆弱性があり、認証されたユーザが悪意あるファイルをアップロードすることによって、ローカルシステム上に任意のファイルが書き込まれる可能性
CVE-2019-11542 管理用Webインターフェースにログインしたユーザから受け取った、細工されたメッセージを処理することによって、スタックバッファオーバーフローが発生する可能性
CVE-2019-11541 Reuse Existing NC(Pulse) SessionオプションでSAML認証を使用しているユーザの認証情報が漏えいする可能性
CVE-2019-11540 Pulse Secureには脆弱性があり、遠隔の攻撃者によって VPN サーバに接続するエンドユーザを対象としたセッションハイジャック攻撃が行われる可能性
CVE-2019-11539 管理用Webインターフェースにログインしたユーザによって、任意のコマンドが実行される可能性
CVE-2019-11538 Pulse Connect Secure の Network File Share(NFS) の実装には脆弱性があり、認証されたユーザによってローカルファイルシステム上の任意のファイルにアクセスされる可能性

Citrix社製品のVPN製品

2019年12月にCitrix社の一部のVPN製品で、任意のコードを実行可能な脆弱性(CVE-2019-19781)が確認されました。さらに2020年1月11日には、この脆弱性を悪用する攻撃コードが、インターネット上で公開されていることも確認されました。また、同年7月にも、Enterprise Cloud 2.0(ECL2.0)のロードバランサー(NetScaler VPX)メニューで提供しているCitrix社のNetScalerで、脆弱性(CVE-2020-8257/CVE-2020-8258)が確認されました。これらの脆弱性を狙って、国内外で継続した非常に多くのサイバー攻撃が行われたとのことです。

 

さいごに

今回は、ZTNAの概念とセキュリティモデルについて解説してきました。コロナ禍の影響もあり、テレワークのリモート/在宅勤務を導入する日本企業が増えています。そのため、日本国内でもVPNの脆弱性を狙ったサイバー攻撃が活発化しています。これまでは、VPNだけでも安全に通信ができました。しかし、クラウド環境への変化に加え、働き方の多様化によって安全であるはずのVPN接続は安全ではなくなっています。時代の変化に合わせ、悪意のある第3者からの攻撃から重要な情報・データを守るためには、ZTNAを導入しVPN環境から脱することも検討する必要性が高まりつつあります。

 

ZTNA ソリューション「Cloudbric RAS」の詳細はこちら

Cloudbric RAS

VPNのデメリットとゼロトラスト

VPN脆弱性を狙ったサイバー脅威急増!VPNを代替するゼロトラストとは?

新型コロナウイルスの感染拡大を受けてテレワークの推進が進む中、多くの企業で社外に持ち出したPCや自宅のPC等を組織内部のネットワークに安全に接続させるための手段としてVPNが利用されています。それに伴い、VPNを実現するための装置を狙ったサイバー攻撃が増加しています。テレワークの動きが広がる一方、企業の安全対策が急務となっています。企業には、利用するVPN機器などの脆弱性情報の収集や、設定の見直しなどの迅速な対応が求められています。今回はVPNの安全性を検証すると共に、よりセキュアな代替手段についても解説していきます。

 

VPNのメリットとデメリット

VPN(Virtual Private Network)とは仮想の専用ネットワークのことであり、本来は広く公に開かれているインターネット上にまたがる形で仮想空間を作り、個人専用のネットワークのような機能、セキュリティを実現して通信をおこなうことを指しています。VPNは互いの拠点に専用のルーターを設置することにより、その拠点間上に仮想の専用ネットワークを構成、直接的な接続を可能にしています。利用している回線はごく普通の公衆インターネット回線ですが、外部から中でやり取りされている内容が読み取れないよう、暗号化が施されています。あくまでも「仮想」の専用回線を公衆のインターネット上に作り上げていますので、実際のLAN接続による社内ネットワークとは違い、セキュリティ面などいくつかの問題点も抱えています。

メリット

・低コストで通信可能

パブリックネットワークを利用したVPNは専用回線が不要で、運用に必要なルーターも安い製品が多いので低コストで通信できます。携帯端末からのアクセスも無料Wi-Fiを安全に利用できるので、出先からのアクセスに通信費を気にしなくても大丈夫です。

・通信内容の暗号化で安全な通信ができる

VPNは暗号化技術とトンネリングを併用しているので、通信内容の盗み見や不正アクセスに対する安全が高いメリットがあります。通信内容の暗号化は、専用のソフトを会社と利用者双方が導入して安全を保ちます。トンネリングで専用回線に近い環境を整え、社外からのアクセスが繋がらない設定もできます。

・遠隔でもアクセス可能

全国各地や海外に拠点がある場合でも、VPNは遠隔操作でアクセスできます。距離を気にすることなくネットワークを構築できることはメリットの一つです。新型コロナウイルス対策としてのテレワーク(リモートワーク)にも活用が可能です。

・専用線ではない複数の拠点でも接続可能

拠点が複数であっても、VPNを利用することでスムーズにデータ通信を行えます。また、自社と拠点間のみの通信しかできない専用線と違って、拠点間同士でもセキュアな環境下で通信することができます。

デメリット

・情報漏えいの可能性

さまざまなセキュリティ機能を搭載しているVPNでも、万能というわけではありません。ネット環境を利用すれば情報漏えいのリスクもゼロではありませんし、VPNの設定を適切におこなえず、IP漏えいを助長してしまう可能性もあります。初期設定の誤りは、IPアドレスや通信ログ流出に繋がります。サービス提供者によるマルウエア感染のリスクもあります。安全性が絶対的に確保されているものではないことを、理解しておく必要があります。

・通信速度が遅い場合がある

VPNで一般回線を利用すると、混雑時には通信速度が遅いこともあります。接続するサーバーが日本にない時は、海外のサーバーを利用するので通信速度が国内とは異なる場合もあります。セキュリティ機能のためにルーター側のCPUに負担がかかり、速度に影響を及ぼすことも原因です。

・機能によってコストがかかる場合がある

VPNは機能によってコストが異なるので、価格に見合った価値があることを確認する必要があります。SSLはグループウェアやウェブブラウザに搭載されているので、導入コストを下げられますが、社内システムによっては専用クライアントソフトが必要になることもあります。IPsecは独自のクライアントサーバシステムにも導入可能で、社内ネットワークに適していますが、出先からのリモートアクセスが多い場合はSSLが有効です。

・管理面からみた非効率性

VPNはエンタープライズセキュリティにきわめて現実的な脅威を及ぼします。VPN はその特性から、ネットワークファイアウォールに穴を開け、ネットワークへ自由にアクセスできるのが一般的です。また、VPN はインテリジェンスも欠如していて、ネットワークにアクセスしようとしているユーザーの本人確認を正確に行うことはできず、多要素認証(MFA)に応じて承認と却下の判断が常に変わります。さらに、VPN はベテランの IT スタッフを独占することになります。接続を提供し、日常のオンボーディング、オフボーディング、および一般監査の複雑さを容易にするために、VPN のサポートだけに費やされる時間数や、それに関連した過剰なシステムをユーザーが目にすることはほとんどありません。

 

VPNの脆弱性を狙ったサイバー攻撃

Citrix社製品の攻撃

2019年12月にCitrix社の一部の製品に関する任意のコードを実行可能な脆弱性(CVE-2019-19781)が公開されました。攻撃手法の詳細が公開され誰でも試せる状態になりました。この脆弱性が悪用された場合、データ改ざんや流出などの被害が発生する恐れがあり非常に危険だと報じられました。「複数の Citrix 製品の脆弱性 (CVE-2019-19781) に関する注意喚起」も2020年1月にJPCERT/CCより出されています。
この攻撃で、検証コードを使って製品のパスワードファイル/etc/passwdの取得ができることが示されています。対象はCitrix Application Delivery Controller(旧称Citrix NetScaler ADC)、Citrix Gateway(旧称NetScaler Gateway)、Citrix SD-WAN WANOP を利用するユーザー、サービス、サポートされている製品バージョンと全てのプラットフォームです。これにより該当製品、サービスを利用している企業は必要外(インターネット等)の環境からの接続制限、Citrix社の公開する緩和策の適用、FWやIPS/IDSによるExploitコードの遮断等が求められました。

Pulse Secure社製品の攻撃

2020年8月下旬、米Pulse Secure社(パルスセキュア)のVPN機器から、テレワークに欠かせない社外接続の認証情報などが流出したと報じられました。パルスセキュアのVPN機器(Pulse Connect Secure)を使用する複数の国内大手企業が不正アクセスを受け、テレワークに利用されるVPNの認証情報などが流出したとの内容です。
同社ではこの機器について2019年4月に脆弱性を公表、修正プログラムも公開しており、JPCERT/CCからも注意喚起が公開されていました。情報が流出した企業では、この修正プログラムを反映していなかったとみられています。脆弱なVPN機器は、組織への侵入経路として標的型攻撃やランサムウェア感染などで悪用されるおそれがあります。第三者が機密情報を抜き取ったりウイルスをばらまいたりするなどの被害の拡大も予想されます。

英外貨両替大手Travelexのランサムウエア攻撃

上記で説明した脆弱性のあるPulse Secure社製品を未修整のまま使用していたとされる外貨両替大手Travelexが、ランサムウエア攻撃を受け、ビットコイン2億5000万円相当を支払いました。Travelexは2019年12月31日にランサムウェア「Sodinokibi」の攻撃を受けていました。Travelexはコメントを出していませんが、9月にパッチが出ていた脆弱性(CVE-2019-11510)に対して11月までパッチを適用してなかった可能性が指摘されています。

 

より高速、シンプル、安全なVPNの代替手段、ゼロトラスト・ネットワーク・アクセス(ZTNA)

VPNは、ユーザが正当なユーザであることを確認したり、デバイスの状態を確認したりすることなく、ファイアウォールを通過させるため、セキュリティホールが生まれリスクが増大します。またリモートユーザが VPNでネットワークにトンネリングされると、そのユーザは「信頼済み」と見なされる。本当に信頼できるかどうかは不明であるにも関わらず、 そのユーザに水平方向のネットワークアクセスが許可されてしまいます。そこで近年PNの代替として注目を集めるのがゼロトラスト・ネットワーク・アクセス(ZTNA)です。

ゼロトラスト・ネットワークでは、ネットワークの境界は防御線としての意味をなさず、すべての通信アクセスを信頼しないという考え方に基づき、対策を講じます。守るべき情報そのものにアプローチし、そこにアクセスするユーザー、端末、アプリケーションなどの信頼性を常にチェックするアーキテクチャとなります。社内からのアクセスであっても、ある企業情報に対しアクセスしようと、常にユーユーザは本人なのか、アクセスする権限を持っているか、利用している端末は安全性があるのかといったことを確認します。正しいアクセス権を持ったユーザが本人だと認められた場合のみアクセスが許可されるシステムです。

ゼロトラストのアプローチ

  • 境界を改めて定義し、「外部」だけでなく「内部」からの攻撃も防御
  • 境界をソフトウェアで構築し、集中制御
  • 社内/社外の境界を定義せず、デバイスごとに管理
  • 通信アクセスをすべて可視化/検証する
  • すべての記録(ログ)を残す
  • 必要最低限の認可をユーザーに与える

ゼロトラスト・ネットワークを検討するうえで欠かせないのが、エンドポイント(PCなどの端末)におけるセキュリティです。以前まで、エンドポイントは境界の内側(内部ネットワーク)にあるものだとされていましたが、境界がなくなったゼロトラストネットワークモデルにおいては、エンドポイントの挙動を可視化し、保護/管理することが重要となります。

 

さいごに

今回実際に被害にあった事例としてご紹介したTravelexは全世界26か国に1000を超える店舗とATMを持ち、業界大手の企業です。Travelexでは一定水準以上のセキュリティ体制が取られていたかと思いますが、ランサム攻撃者は、そんなグローバル企業ですら被害を受けてしまいます。この事に、日本企業ももっと注意を払う必要があるのかと思います。自社が利用しているVPN機器の脆弱性について企業は常に把握しておかないと、大きな代償を払う事になります。はっきり言いますとVPNの利用は時代遅れになりつつあり、サイバー攻撃だけでなく、内部犯行による情報漏えいも見据えるなら、今回ご紹介したようなゼロトラストのアプローチが必要になってきます。データを暗号化してアクセスコントロールを行うことはもちろん、誰がどこでどのようなデバイスやツールを使用して企業のシステムにアクセスするのかの可視化するソリューションが重要になってくるでしょう。

弊社は ゼロトラストを実現するセキュリティ・ソリューション、Cloudbric RASをご提供しております。暗号化、適切な2要素認証、モニタリング、不正侵入識別および遮断など、企業システムにアクセスしようとする全てのユーザを徹底的に識別し、VPNでは防御しきれない内部侵入者の攻撃を未然に防げます。

ゼロトラストに基づいたエンタープライズセキュリティ導入をお考えの方は、是非こちらの詳細をご確認ください。

Cloudbric RAS