便利な「リモートアクセス」が最大の弱点に？ 企業を脅威から守る10の鉄則：BYODやVPNの落とし穴

テレワーク時の業務を支えるBYODやVPNは便利である半面、デバイスのセキュリティが手薄になりやすく、攻撃者の格好の標的になる。「侵入口」を攻撃者に明け渡さず、サイバー攻撃から企業を保護するための方法とは。

[Karen Kent，TechTarget]

　テレワークやハイブリッドワーク（テレワークとオフィスワークの組み合わせ）が定着した昨今、リモートアクセスは企業の力を引き出す強力な推進力だ。リモートアクセスは従業員、ビジネスパートナー、ベンダーなどの信頼できる関係者が、外部から社内のシステムやデータを利用、閲覧できるようにする。一方で、リモートアクセスはサイバー攻撃の標的となりやすい「侵入経路」を無意識に作ってしまう。攻撃者はこうした入り口を探し出し、悪用する機会を常にうかがっている。

　本稿は、セキュアなリモートアクセスを実現するためのベストプラクティスを10個紹介する。これらを適切に実践することで、企業のセキュリティ体制は強固になり、リスクの劇的な低減が期待できる。

編集部のお薦め記事

1．リモートアクセスポリシーを策定する

　強固なリモートアクセス体制を築くための土台は、全社的なリスクを網羅したポリシーだ。このポリシーでは、許可される利用方法や守るべき要件を明確に定義しなければならない。ルールに違反した場合のペナルティーもあらかじめ定めておく必要がある。ポリシーには、最低限以下の項目を盛り込むべきだ

• 企業が許可する接続方式
  • VPN（仮想プライベートネットワーク）など。
• リモートアクセス可能なデバイスの種類と、それらが満たす要件
  • 企業貸与のノートPC、個人所有のスマートフォンなど。
• リモートアクセスを通じて利用できるシステムやデータの種類
  • 特定の接続方式やデバイスの種類に応じた制限も併記する。
• 既存のポリシーではカバーしきれない、リモートアクセス特有の禁止事項や利用条件

2．可能な限り企業支給のデバイスを配布する

　かつては、従業員が自身のPCやモバイルデバイスを使って企業内のデータやシステムにアクセスする「BYOD」（Bring Your Own Device：私物端末の業務利用）が広く普及していた。しかしBYODは、企業の目が届かないところでエンドポイントの安全性を損なう結果を招いた。企業が管理するデバイスであれば厳格な設定が可能だが、管理者が私物デバイスのセキュリティ状態を詳細に把握し、制御し続けることには限界があるからだ。

　このようなセキュリティの死角をなくすため、可能な限りテレワーカーには企業が管理する専用デバイスを支給するべきだ。この対象には正社員だけではなく契約社員、場合によってはビジネスパートナーやベンダーの担当者も含まれる。BYODは原則廃止するか、一般公開されている情報のみを扱うような、リスクの低い業務に限定すべきだ。

3．内部のシステムやデータには専用サーバを経由させる

　VPNは、リモートアクセスの窓口として中心的な役割を担ってきた。VPNを使うことで、接続を試みるエンドユーザーやデバイスに対して一元的にセキュリティルールを適用でき、通信を厳密に監視できる。

　優れたVPN製品は、エンドユーザーの本人確認から、接続を許可する前の端末の状態チェックまで、多彩な防御機能を備えている。これはエンドユーザーと管理者の双方にとって便利だ。この仕組みがない場合、エンドユーザーは個別のシステムごとにログインを繰り返す必要があり、管理者はその全ての工程を管理・監視する手間がかかる。

　近年はVPNに代わる手段として、ネットワークとセキュリティ機能をクラウドサービスで一元化した「SASE」（Secure Access Service Edge）、接続ごとに厳格な認証を実施する「ZTNA」（Zero Trust Network Access）などが普及している。これらのリモートアクセス技術は企業にとって重要だが、メールサービスなどのSaaS（Software as a Service）を使う場合、全てを本社サーバを経由させると通信が遅くなる恐れがある。そのため、低リスクなクラウドサービスへの直接アクセスを許可するか、クラウド型の管理サービスを併用する構成が現実的だ。

4．エンドポイントのヘルスチェックを実施する

　リモートアクセスにおける最大の脅威は、エンドユーザーのデバイスが侵害されることだ。一度デバイスが悪用されると、攻撃者はそこを足掛かりにして、標的の社内LANやシステムにアクセスし、直接制御できるようになってしまう。

　これに対処するため、内部システムへの接続を許可する前に、エンドユーザーのデバイスに問題がないかどうかを確認するとよい。VPN、SASE、ZTNAは、企業貸与のデバイスに対してサイバーヘルスのチェックを自動的に実行する。一部のBYODデバイスに対しても、限られた範囲ではあるがチェックの対象となる。

　ヘルスチェックでは、エンドポイントのOSに応じて以下の項目を確認する。

• そのエンドポイントが企業の管理下にあるか、BYODでの利用が承認されているか
• OSが最新の状態に更新されているか
• マルウェア対策ソフトウェアが稼働し、定義ファイルが最新の状態になっているか
• デバイス用ファイアウォールのルールなどのセキュリティツールや保護設定が適切か
• マルウェアや攻撃ツールの痕跡がないか

5．MFAを義務付ける

　パスワードだけの認証は非常に危険だ。攻撃者は、人の心理的な隙を狙う「ソーシャルエンジニアリング」、フィッシング詐欺やブルートフォース（総当たり）攻撃など、あらゆる手口でパスワードを盗み出そうとする。パスワードという「知っている情報」に加え、指紋やスマートフォンへの通知といった「本人しか持っていない要素」を組み合わせるMFA（多要素認証）がなければ、侵入を許すのは時間の問題だ。

　社内システムやデータへのリモートアクセスにはMFAを必須にして、可能な限り外部に公開されているシステムへのリモートアクセスにも義務付けるべきだ。MFAをSSO（シングルサインオン）と組み合わせれば、エンドユーザーの手間を減らしつつ、本人確認の精度を飛躍的に高められる。MFAを使うことで、エンドユーザーがパスワード管理の煩わしさから解放されるメリットもある。

6．通信経路をエンドツーエンドで暗号化する

　リモートアクセス中のデータ通信は、エンドツーエンドの暗号化（エンドポイントから他のエンドポイントまでの通信を暗号化する手法）で保護すべきだ。VPN、SASE、ZTNAといったリモートアクセス技術は、エンドポイントからVPNサーバなどの接続拠点までの通信を保護する。しかし、その拠点を通過して社内LAN内を流れる通信は、全て暗号化されているとは限らない。

　そのため、リモートアクセスに関連する通信の流れを見直し、暗号化されていない通信を特定して、どの通信を保護すべきかを確認する必要がある。特にVPNを利用している場合、接続拠点から先の通信が保護されない場合があるため、注意が必要だ。対策として、特定の通信を中継するプロキシサーバで暗号化を補完したり、ネットワークの深い階層で通信を保護したりする手法が有効だ。

7．ゼロトラストセキュリティの導入を検討する

　「ゼロトラストセキュリティ」は、全てのエンドユーザーやデバイスを信頼せず、安全かどうかを検証するセキュリティモデルだ。ゼロトラストセキュリティを実現するには、複数の技術を密接に連携させる必要がある。ZTNAはゼロトラストセキュリティの中核的な要素だが、必須ではない。他にもさまざまな技術やツールが必要であり、それらを適切に連携させなければならない。

　旧来のセキュリティモデルからゼロトラストセキュリティに完全に移行するには、数年単位での計画的な取り組みが必要になる。全社のインフラを一元化し、ルールを適用するには時間がかかるからだ。そのため、移行期間中であっても、既存のリモートアクセス手段を併用しながら段階的に安全性を高めるアプローチが現実的だ。

8．セキュアな運用のためのトレーニングを実施する

　どれほど技術的な対策を講じても、エンドユーザーの不注意があれば、インシデントにつながる。これを防ぐため、全てのリモートアクセスユーザーにセキュリティ教育を実施すべきだ。接続手段やルールが変更された場合には、その都度エンドユーザーを再教育する。大きな変更がない場合でも、定期的に意識を喚起する機会を設けるとよい。

　トレーニングの対象には正社員だけではなく、システムを利用する契約社員やビジネスパートナー、ベンダーの担当者なども含める。トレーニング内容は技術的な話にとどまらず、物理的な対策も網羅すべきだ。特に、以下をはじめとするテレワーク特有の注意点を徹底させる。

• ロックを解除したデバイスを公共の場に放置しない
• 機密性の高い会議中はスマートスピーカーや音声アシスタントを無効にする
• 企業貸与のPCやモバイルデバイスを家族に使わせない

9．利用権限を最小限に絞る

　全ての従業員に一律でリモートアクセス権限を付与するのは賢明ではない。業務に不要な人にまで権限を与えることは、企業にとってリスクを無駄に高めるだけだ。

　リモートアクセス権限は、業務の遂行上必要な人にのみ、適切なトレーニングと規定への署名を経て付与すべきだ。アカウントを複数人で使い回すことも避けなければならない。外部ベンダーなど、複数の担当者が作業をする場合には、個人ごとに個別のアカウントを発行することで、誰がいつ操作したかという責任の所在を明確にできる。

　役割が変わったり退職したりしてリモートアクセスが不要になった場合は、直ちに権限を削除する。懲戒解雇など、不本意な形で退職する者がいる場合はなおさらだ。そうした人は報復としてデータの窃取やシステムの破壊、システムダウンといった目的で、リモートアクセスを悪用するケースがあるため、迅速に対処しなければならない。

10．全てのリモートアクセス活動を継続的に監視する

　これまで挙げた対策を実践しても、全てのリモートアクセスに関する活動を継続的に監視しなければ意味がない。リモートアクセスの接続拠点になるサーバは企業への入り口であるため、攻撃者にとって格好の標的になるからだ。

　最新のセキュリティ技術を用いて全てのリモートアクセスサーバを監視しつつ、異常な振る舞いや不審な活動が発生した場合には、即座に人間が介入できる体制を整える。例えば「数時間前に日本でログインしたエンドユーザーが、今は海外から接続している」といった不自然な振る舞いは、アカウント侵害の強力な証拠となる。大量のファイルが急激にダウンロードされる動きも、内部不正や情報流出の予兆だ。こうした不審な活動を見逃さず、迅速に調査して被害を最小限に食い止める仕組みこそが、真の安全を実現する。