Part2では企業のネットワーク管理者と自宅でテレワークを実施する従業員が、最低限実施しておきたいセキュリティー対策を解説する。
VPNの管理体制を見直す
まず企業のネットワーク管理者が実施しておきたい対策だ。大きくVPNの管理体制とエンドポイントのセキュリティー対策の強化が挙げられる。
テレワークで使われるインターネットVPNでは、インターネット上に仮想的なトンネルを構築する。パソコンなどにクライアントソフトをインストールし、企業に設置されたVPN装置と仮想的な専用線を実現する。比較的安価に実現できるのがメリットだ。
しかしVPN装置に脆弱性が見つかる場合がある。2019年以降、主要なVPN装置だけでも8件の脆弱性が見つかっている(図2-1)。脆弱性の深刻度を評価するCVSS v3▼はいずれも「重要」以上であり、放置すればサイバー攻撃によってシステムが停止したり、情報漏洩したりする恐れがある危険なものだ。実際に、セキュリティー更新プログラムが適用されていない装置に対する大規模な攻撃が確認されている。
このためネットワーク管理者は、自社のVPN装置に脆弱性が見つかっていないかを確認する必要がある。ラックの仲上氏によると「VPN装置の脆弱性を通知するサービスはあるが、基本的に有料だ」という。こうしたサービスを使わない企業のネットワーク管理者は、日ごろからVPN装置ベンダーのWebサイトやセキュリティー情報サイトを閲覧し、新たな脆弱性が発見されていないかを確かめる。
厄介なのがゼロデイ攻撃▼が発生した場合だ。自社で使っているVPN装置を狙ったゼロデイ攻撃が起きているという情報を入手したら、原則としてVPN装置の使用を停止すべきだ。ベンダーからセキュリティー更新プログラムが提供されるまで回避策で対応可能かを検討する。
回避策の1つにはIPS▼やIDS▼といったセキュリティー機器にVPN装置を防御させる方法がある。多段防御によってVPN装置を狙う不正な通信を遮断できる可能性があるからだ。ただしこの回避策はセキュリティー更新プログラムが提供されるまでの応急処置にすぎない。セキュリティー更新プログラムが提供されたら直ちに適用する。
エンドポイントの対策を強化
テレワーク環境ではエンドポイントになるパソコンやスマートフォンのセキュリティー強化も必要だ。ラックの仲上氏は「エンドポイントのセキュリティー対策を見直したほうがよい」と指摘する。
これまでエンドポイントのセキュリティー対策は主にウイルス対策ソフトの導入だった。最近のウイルス対策ソフトはシグネチャー▼を基にマルウエアを検出するだけでなく、振る舞いからシグネチャーにない未知のマルウエアも駆除できるようになっている。しかし次々と新たな攻撃手法が生まれるため、マルウエアの感染を100%防ぐのは難しい。
そこで近年注目されているのがEDR▼製品である。EDRは攻撃を受けた後の対策(インシデントレスポンス)に焦点を当てたソフトウエアだ。マルウエアを検出できない場合があることを前提にしている。
EDRはパソコンにインストールされると、起動したプロセスやレジストリーの操作、ネットワークアクセスなど、プログラムの振る舞いを記録する。これにより正常時には動作していないマルウエアなどを検出する。また、記録を解析することでサイバー攻撃の侵入原因や経路、被害状況を可視化できる(図2-2)。
EDRで管理するパソコンは管理サーバーにログを集約している。管理サーバーのログを確認すれば、マルウエアに感染してしまったパソコンがどこにどのようなファイルを送っているのかが分かる。インシデントレスポンスの際に有効な製品だ。
