ブログ(トレンド&インサイト)

新型コロナウイルス感染症(COVID-19)時代のリモート・ワーク - そのリスクと脅威

新型コロナウイルス感染症(COVID-19)の急速な感染拡大に伴い、企業や組織は、人と人の接触や、感染への対応を迫られています。この数週間、世界中で多くの組織がリモート・ワークや在宅勤務を開始しています。以前から強固なリモート・ワーク向けのシステムを保ってきた組織もあるかもしれませんが、多くの組織においては、今までは在宅勤務者も少なく、また、従業員の在宅勤務も制限されていたことでしょう。また、在宅勤務者がいる組織にとっても、今回の状況によって、リモート・ワーク対応の対象となる業務内容の幅が各段に広がったことでしょう。リモート・ワークが適応されていなかったような部署にも、今や完全なリモート・モードでの業務が求められています。このように業務形態が急速に変化する今、どのようなリスクが発生しうるかについて、セキュリティ専門家として考察していきます。

この変化がもたらすリスクを考えるにあたり、過去のリモート・アクセス実装の事例をモデル化しました。もちろん、これらの脅威モデルはサンプルであり、各組織は自身の実装に対する調整や考慮が必要になります。プロアクティブにその機能をアセスメントする際には、各組織が自身の実装方法やリスクについて考慮することが重要です。

リモート・アクセスに対する構造的アプローチ

最もリスクの高いリモート・アクセス方式

ダイレクト・アクセス

もっとも危険なリモート・アクセス方法は、Microsoft Remote Desktop Protocol(RDP)などのネットワークプロトコルのインターネットへの公開です。主にインシデント・レスポンスの現場などでRDPを公開している組織もたまに見かけますが、セキュリティ対策において成熟した組織では、ファイアウォールによりダイレクト・アクセスを禁止しています。ただし、成熟した組織であっても、シャドウITによって管理対象外のクラウド・プラットフォームやサードパーティ・サービスが起動される可能性があることに配慮する必要があります。

エンタープライズ標準

先ほど説明したモデルにおけるリスクや制御の欠落問題を考慮すると、企業は中央集中的なリモート・アクセスをわずかな技術にしか適応していないことがわかります。この実装には、アクセス管理、ログ記録、およびセキュリティ制御の観点から、改善の余地があるといえるでしょう。

中央集中管理の実装にはいくつかの方法があります。

VPN/仮想デスクトップ

最も一般的な実装は、VPNソリューションや仮想デスクトップ(CitrixやVMwareなど)です:

これらのソリューションは、組織のDMZの内側に展開されます。VPNの場合、フル・トンネリングもしくはスプリット・トンネリングの方法があります。組織がVPN接続を提供し、外部から社内ネットワークへの大量アクセスを実現するケースが多々ありますが、フル・トンネリングを提供していても、COVID-19の影響によるリモート接続の大幅増加のため、帯域幅消費を軽減するためにスプリット・トンネリングに移行している組織もあります。この場合のリスクについては、後で説明します。

Citrix、VMWare、などのソリューションでは、アプリケーションや仮想デスクトップを使用してユーザーをプロビジョニングします。インターネット・エクスプローラ(Internet Explorer)、自家製アプリケーション、およびサードパーティ・アプリケーションなどのアプリケーションのセットが提供されるほか、ネットワーク共有、アプリケーション、および内部リソースへのアクセスを提供する仮想デスクトップをユーザーに提供することもできます。

ゼロトラスト・モデル

リモート・アクセスの新しい形に「ゼロトラスト」があります。ゼロトラストは、認証プロバイダーを使用してアプリケーションへのアクセスをプロビジョニングし、ユーザーとデバイスの両方に基づいて承認権限を決定するモデルです。一般的な承認権限には、デバイスとユーザーIDに対する確認が行われます。例えば、デバイスが組織によって管理されているものかどうか(証明書がTrusted Platform Module/TPMに保存されているか)、ログインの発信元、およびユーザーの役割などです。このモデルに移行する企業が増加する一方で、レガシー・システムによる課題や例外に関する問題がいまだ残り、中途半端な実装のソリューションや、古いVPNアクセスがバックアップ用に残っていたりするのを目にします。

リスクの脅威モデル化

COVID-19のもたらす急激な変化は、リモート・ワーク変革を促進する結果をもたらしています。リモート・アクセスを通じて提供されるアクセスレベル、新たにリモート・ワークを開始した従業員、セキュリティレベルのチェックが限定される可能性などを考慮すると、攻撃者たちはこの状況を逆手に取り、企業ネットワークへのアクセスを試みる可能性が高いといえます。FireEye Mandiant Threat Intelligenceは、COVID-19関連のおとりを使ったフィッシング攻撃やスピア・フィッシング攻撃を数多く特定しており、今後も増加すると予測しています。

在宅勤務者の増加に伴い、組織はリモート・アクセス方式の見直しに迫られています。IPアドレスホワイトリストの調整や、管理対象外のデバイスのアクセス許可、スプリット・トンネリングへの移行など、リモート・アクセスに関する標準の変更です。これらの設定変更は、組織にとって新たな脅威となりうるものは何か、より考慮すべきリスクなどを思慮に入れた上、慎重なセキュリティのレビューとテストに基づいて決定する必要があります。

ダイレクト・アクセスの脅威モデリング

ダイレクト・ネットワーク・アクセスに関しては、外部からのサービスへのアクセスを得るための従来の手段、つまり、外部ポートのネットワーク・スキャンや、ブルート・フォース攻撃、パスワード・スプレー攻撃、スピア・フィッシングなどの攻撃手法を観測しています。ダイレクト・アクセスがさらに危険なのは、管理されていないデバイスからのダイレクト・アクセスを許可したり、サービスに接続しているホストの可視性が低まったりする可能性があることにあります。

エンタープライズ脅威モデル

VPN/仮想デスクトップ

VPN/仮想化デスクトップに対する脅威としては、認証回避、侵害アカウント悪用、侵害システムの悪用など、さまざまな角度からの攻撃を考慮する必要があると考えています。さらに、攻撃者は複数の不具合を組み合わせて悪用する傾向があることから、内部ネットワークへの侵入の足掛かりとして、攻撃者がどうやってVPN/仮想化デスクトップへの最初のアクセスを行うかを考察しました。在宅勤務者の増加と、脅威のモデルやインシデント・レスポンス、レッドチーミング演習などの活動を通じて見られた不具合を考慮した上で、考慮するべきいくつかのポイントを指摘したいと思います:

  1. エンドポイントからのリモート・アクセス:社員を狙ったフィッシング・メールは今後も続くため、Eメールのフィルタリング、エンドポイントの堅牢化、管理者権限の削減および可視化を継続する必要があります。現行のCOVID-19を取り巻く状況において、セキュリティ・チームは、新しいユーザーであれ関連会社からのアクセスであれ、リモートからのエンドポイント・アクセスに対する可視性の一貫性の維持を保証することが必要です。
  2. 水平展開:攻撃者が一度VPN仮想デスクトップなどのリモート・アクセスにアクセスしてしまうと、資格情報を収集して攻撃を水平展開します。こういった状況を招かないよう、本来、ネットワークアクセスは、業務上必要なリソースに限定するべきです。以前の記事で説明したように、仮想化されたサービスは堅牢化されている必要があります。
  3. 多要素認証(MFA)回避:多くの組織はマルチファクタ認証を導入し、ブルート・フォース攻撃やパスワード・スプレー攻撃対策を行っています。しかし、私たちの提供するレッドチーム演習の中で、パスワード・スプレー攻撃後にプッシュ通知を受けてリモート・アクセスを許可するケースがいまだ見受けられます。従業員は、許可されていないプッシュ通知を見分け、報告するように訓練されるべきでしょう。SMSのテキスト・メッセージなどを多要素認証の2つ目の要素として利用する方法が悪用されるケースもありました。組織のリスク許容度に合わせて、MFAの実施方法を決定していくことが必要です。
  4. 管理対象外デバイスからのアクセス:組織によっては管理対象外のデバイスからのアクセスに対し、最低限の検証チェックしか行わないことがあります。その結果、攻撃者のシステムがチェックをかいくぐってリモート・アクセスにアクセスしてしまう場合があります。VPNソリューションによって実施される「ふるまいチェック」はVPNソフトウェアのレスポンスを改ざんしたりレジストリキーを変更することですり抜けが可能です。攻撃者からの接続のほか、ユーザーの非許可システムからのネットワークにも注意を払う必要があります。COVID-19の状況下では、過去リモート・ワークの対象者でなかったため、企業によりノートPCの貸与を受けていない従業員もいるでしょう。彼らが従来デスクトップでのみプロビジョニングされていた場合、どのようにリモート接続させるべきでしょう?セキュリティ・チームによる限定的な可視化や制御が適応されていない、管理対象外の個人的なデバイスを使ったりしていないでしょうか?
  5. スプリット・トンネリングvs.フル・トンネリング:在宅勤務者の増加に伴い、フル・トンネリングVPNからスプリット・トンネリングに移行している組織もあります。フル・トンネリングでは、すべてのトラフィックがVPNを通過し、Webプロキシがトラフィックをフィルタリングするため、セキュリティ・チームは承認されていない活動を識別できます。スプリット・トンネリングは可視性を下げる可能性があるため、適切なエンドポイント・エージェントを用いて、十分な可視性と制御を確保する必要があります。
  6. リモート・アクセスDoS:組織全体がリモート・アクセス・モデルに移行した場合、リモート・アクセス・ポータルに対するサービス不可能攻撃(DoS)の影響は、業務に大きく影響します。たとえば、攻撃者があるアカウントに対して意図的に複数回のログイン失敗を行うことで、そのユーザーをロックアウトさせることができます。スクリプトを用いてこの攻撃を複数のアカウントに対して実行すれば、大規模なロックアウトを発生させることができてしまいます。

ゼロトラスト・モデルにおける脅威

エンドポイントの可視性/堅牢化、MFA回避技術、サービス妨害などの、VPN/仮想化モデルにおける脅威は、ゼロトラスト・モデルでも考慮する必要があります。さらに、ゼロトラスト・モデルでは、デバイスに対する信頼が認証と承認の構成要素であるため、信頼レベルを維持するために、以下を考慮する必要があります:

  1. デバイスの信頼:組織によって管理されているデバイスであることを検証するために証明書を使用することで、デバイスの信頼性を確立します。組織は、この証明書がどのように保護されているかを考慮する必要があります。攻撃者がユーザーのデバイスに不正アクセスされた場合にも、証明書が攻撃者によってエクスポートや再利用できないようにします。Trusted Platform Module(TPM - 信用されたプラットフォーム)上で証明書のエクスポートをさせないユーザー権限の設定が必要です。
  2. 管理対象外デバイスからのアクセス:管理対象外デバイスには、データおよびリソースへのアクセスを制限する必要があります。一般的な例として、Microsoft O365 Conditional Access Policiesがあります。これは、管理対象外のデバイスがファイルやEメールの添付ファイルにアクセスすることを制限します。適切なゼロトラスト環境を実装するには、これらの制限が適用されていることを検証することが重要です。

リモート・アクセスの制御

これらの脅威を考慮し、組織は、ネットワークのエッジにおいて強力な対策を講じておく必要があります。在宅勤務を展開するにあたり、組織は、ユーザー認証情報やアプリケーションが、クラウドにあっても企業ネットワークにあっても、同じように保護する必要があります。以下の方法で、リモート・アクセスに対する不正アクセスを軽減することができます。

認証

  • 多要素認証(MFA):組織は、パスワード・スプレー攻撃、リスト型攻撃、フィッシング攻撃などからネットワークやアプリケーションへのアクセスを保護するために、多要素認証(MFA)の導入が必要です。クラウド・サービスとその設定を含む、すべての外部企業リソースをレビューします。たとえば、ある組織ではユーザーのMicrosoft Office 365アクセス用にMFAを実装しているものの、Exchange Web Services(EWS)やIMAPなどのOffice 365アプリケーションに対してはレガシーな一要素認証しか導入していない、ということがあり得るのです。すべてのネットワーク認証をレビューする際には、単一要素認証を利用している可能性があるディザスター・リカバリー(DR)やレガシーなVPNシステムも必ず視野に入れておくべきです。
  • デバイスに対する認証:MFAを導入しただけで終わってはいけません。接続しているデバイスが従業員によって管理されている既知のデバイスであることを確認する方法が必要なのです。これは、デバイスのTPMにID証明書を配置するシステム管理プラットフォームを使用することによって実現できます。

エンドポイント・コントロール

  • エンドポイントの可視化:多くの組織では、在宅勤務者を狙った悪意ある行為の可視化ができていません。すべての従業員のエンドポイントに複数レイヤーから構成されるエンドポイント対策エージェントをインストールすることで、この問題を解決できます。エンドポイント・エージェントは、悪意のある行為を検知、保護、対応する機能を持ちます。
  • エンドポイント・セキュリティの堅牢化:エンドポイント・デバイスを堅牢化し、攻撃者がシステムにアクセスし、権限を昇格する能力を無力化します。ローカル管理者権限を制限し、CISベンチマークなどの一般的なベースライン標準に合わせてシステムを堅牢化する必要があります。
  • 仮想化アプリケーション/デスクトップのセキュリティ堅牢化:仮想化インターフェイスの初期設定では、仮想セッションを「分割」して、基盤となるオペレーティング・システムにアクセスできる場合があります。詳細については、セキュリティ堅牢化の基準を参照してください。

クラウドへの制御

  • クラウドの可視化と制御:クラウド・サービスは、在宅勤務者にとって、企業の機密データを含む情報にアクセスするための重要なリソースです。セキュリティ・チームは、クラウド・プロバイダーからログを受け取り、不正アクセスやデータのフィルタリングについて定期的にそれらを確認していることを確かめます。不正アクセスを制限するために、定期的に設定を評価し、制御のレビューを行う必要もあります。
  • 未認可のクラウド・サービス:個人的なクラウド・サービスのために、適切な代替サービスを用意します。従業員は、サードパーティのソリューションを使用して、メモを取ったり、ファイルを保管したり、文書を管理したりしている可能性があるでしょう。企業の代替サービスの実装により、企業のデータがセキュリティ制御によって保護され、監視されるようになります。

ユーザーと管理者

  • ユーザーの意識トレーニング:在宅勤務者にセキュリティ意識を向上させるためのトレーニングを提供します。フィッシング、パスワード設定ガイドなどのITセキュリティに関する話題に加えて、PCのプライバシー・フィルタなどによる物理的なセキュリティの話題なども含めて従業員を教育することで、公共スペースでの機密情報にかかわる作業を制限し、物理的にもコンピューティング資産を保護するのに役立ちます。
  • 環境ドリフト(ゆらぎ):ネットワークが成長し変化するにつれて、セキュリティは時間の経過とともに弱くなり、管理から外れるレガシー・システムが出てくる可能性もあります。レッドチーム演習/パープルチーム演習を通してセキュリティ制御を継続的に評価することで、環境のドリフト(ゆらぎ)を避けます。
  • 安全性の確保された管理者権限:ドメイン・アドミニストレーターなどの権限を持つユーザーは、別に個別のアカウントを持ち、管理者権限でのリモート・アクセスを禁止する必要があります。これらの特権ユーザーは、必要に応じて、管理者権限アカウント専用の特権アクセスワークステーション(PAW)からのみログインを許可するようにするべきでしょう。

ネットワークコントロールと可視化

  • 仮想デスクトップ接続:仮想デスクトップからのオフネットワーク・コミュニケーションを制限して、外部に晒されることから防御します。外部ネットワークへのアクセスが必要な場合は、必要な承認済みリソースのみを含むホワイトリストを維持します。
  • スプリット・トンネリングの可視化:フル・トンネリングからスプリット・トンネリングへの移行は必須ですが、その結果、エンドポイントに対する可視性が制限される可能性があります。クラウドプロキシなどのソリューションを使用してネットワーク可視性を拡張することを検討します。これはすべてのコミュニケーション手法をカバーするものではありませんが、一般的な手法をカバーしています。リモート・エンドポイントのDNSログを必ず確認してください。
  • 送信元IPアドレスの可視化:ネットワーク・トポロジーによっては、ロード・バランサー、プロキシ、DNS設定、DHCPプールなどによって、トラフィックの送信元IPアドレスが隠されてしまうことがあります。VPNから発信されるすべてのトラフィックを送信元IPアドレスに適切に関連付けできること、およびIPアドレスの割り当てを決定し、ユーザー・アカウントに適切に関連付けることができるかどうかを確認します。

物理的制限

  • ユーザー教育:ユーザーは、必要な機器の提供を受けた上で、プライバシー画面、デバイスロック、およびエンドポイントのセキュリティ強化など、プライバシー保護についての教育を受ける必要があります。
  • デバイス暗号化:組織は、ノートPCが紛失や盗難に遭う可能性を考慮する必要があります。すべての従業員端末でディスク暗号化が有効になっていることを確認しておくことで、端末紛失時に企業データを保護するのに役立ちます。ディスク全体を暗号化し、鍵とパスワードの管理が確実に行われていることを確認します。進化するワークスタイルに向けて、暗号化可能なデバイスを提供できていますか?

シャドウIT

  • 未承認のアクセス方法:リモート・アクセスの必要性が劇的に増加するにつれて、従業員や関連会社が未承認のサービスを利用する現場に即面することになるでしょう。セキュリティ・チームは、定期的な脆弱性スキャンの実施や、ビジネス部門やペネトレーション・テスト・サービスと積極的に協調し、承認されていないサービスが利用されていないか監視する必要があります。

突然リモート・ワークに移行したり、在宅勤務文化が加速したことにより、新しいリスクが生じる可能性があります。各組織は自社独自の状況を考慮する必要がありますが、前述のサンプル実装とリモート・アクセスに関する考慮事項は、安全性と生産性の両方を維持したうえで業務を遂行する基盤作りに向けた、方向づけとなることでしょう。

詳しくは、オンラインセミナー録画(英語)をご覧ください。

 

本ブログは、米FireEyeが公開した March 20, 2020「Remote Work in an Age of COVID-19 — Threat Modeling the Risks」(英語)の日本語抄訳版です。

日本語版:Reviewed by Noriko Yokokawa

 

関連リンク