多くの企業でリモートアクセス環境の導入が進んでいる。リモートアクセスを実現する技術には複数あるが、現在最も使われているのはVPN▼と仮想デスクトップ(VDI▼)だ。そこで今回はVPNやVDIを利用して安全かつ快適なリモートアクセス環境を構築する方法を解説しよう。
端末とVPN終端装置間で暗号通信
VPNは、社外にいる利用者の端末を企業ネットワークに接続させるための技術だ。パソコンだけでなくスマートフォンやタブレット端末でも利用できる。
VPNを利用する社外の端末は、企業ネットワークに設置したVPN終端装置に接続する(図1)。端末とVPN終端装置の間で通信を暗号化し、仮想的なトンネルを作る。
トンネルの形成には、専用クライアントを使う方法とWebブラウザーを使う方法がある。プロトコルには、前者はIPsec▼、後者はTLS▼を使用する。専用クライアントを使う方法では、Webアプリケーション(Webサーバー)以外にもアクセスできる。社内の端末と同じようにファイルサーバーなどにもアクセスできる▼。
多要素認証が不可欠
VPNを導入するに当たり、注意すべき点を挙げていこう(図2)。
まずVPNを利用するときのユーザー認証だ。IDとパスワードの組み合わせによるユーザー認証だけでは、これらが流出した場合に容易になりすまされてしまう。
そこでパスワードのような「記憶」による認証に加えて、本人が持っている機器を確認する「所有」による認証や、身体的特徴を確認する「生体」による認証も実施する。このように複数の要素で認証することを多要素認証という。
インターネット接続経路を制限
端末のアクセス制御も重要だ。業務用の端末で自由なインターネットアクセスを許すと、情報漏洩のリスクが高まる。
そこで考えられる対策が「VPN接続の強制」や「セキュアインターネットゲートウエイ(SIG▼)の利用」である。SIGはファイアウオールやプロキシーサーバー、CASB▼などのセキュリティー機能を備えたクラウドサービスを指す。
前者は、VPNに常時接続するようにVPNクライアントを設定することで実現する。社外からも、企業ネットワークのファイアウオールやプロキシーサーバーなどのセキュリティー機器を経由してインターネットへアクセスするので、安全性が高まる。後者はSIGを経由することで、インターネットへのアクセスを制御する。
万全のマルウエア対策を
マルウエア(コンピューターウイルス)対策も不可欠だ▼。マルウエアに感染した端末がVPN経由で企業ネットワークにアクセスした結果、マルウエアの感染が拡大したり機密情報を盗まれたりする危険がある。
そこで端末にウイルス対策ソフト▼を導入する。またセキュリティーレベルを上げるためにEDR▼を導入し、端末の可視化や制御を可能にする。
EDRを使えば、端末の操作や通信のログを定期的に収集し、過去にどのような操作があったかを調査できる。以前はEDR専用のエージェントソフトが必要だったが、最近はウイルス対策ソフトとEDRが1つのエージェントに統合されている製品が多いので、導入しやすくなっている。
