orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。

テレワークしている人のパソコンが狙われている

f:id:orangeitems:20200427120322j:plain

 

セキュリティー攻撃も新しい展開へ

テレワークしている人のパソコンが今狙われています。

 

www.sankei.com

新型コロナウイルスの感染が拡大し、外出自粛が求められるなか、出社せず自宅などで仕事を進めるテレワークが広がっている。こうした動きに照準を合わせるように、不正サイトに誘導するサイバー攻撃の被害が国内で6500件超に上っていることが26日、分かった。世界では4万7千件を超える被害を確認、日本は米国に次ぐ多さだ。テレワーク需要が高まる一方で、急場しのぎの導入で余儀なくされたセキュリティー対策の脆弱(ぜいじゃく)さを突かれる事態となっている。

 

考察

そもそも、テレワークに準備をしていなかった企業が慌てていれたケースが多すぎるということだと思っています。想定していなかったんですから穴も多いです。

特にVPNを使って緊急避難的にリモートでLANにつながせるケースが増えています。

 

moneyzine.jp

快適なテレワークに欠かせないのが、安全で高品質なインターネット接続環境だ。IIJの発表によると、企業のVPN需要が緊急事態宣言の発令後、急増しているという。

 

www.nikkei.com

多くの企業がテレワークを一気に拡大するなかで、ボトルネックが浮上している。通信を暗号化して情報漏洩を防ぐ「VPN(仮想私設網)」の逼迫だ。需要の急増で専用機器が確保しにくく、緊急事態宣言後は設置技術者も外出自粛を求められている。システム構築を担う企業からは「新規受注は受けられない」との悲鳴が上がり、導入までに数カ月を要するケースも出てきている。

 

VPNの大きな問題は、VPN接続を行うパソコンです。個人パソコン、という場合もあります。そうすると企業の想定しているセキュリティー対策が施されていないかもしれません。にもかかわらず会社のLANにつながってしまうのでそのパソコン経由でファイルサーバーなどの情報が盗み見られるということが考えられます。

VPNにつなぐパソコン自体にデータが保管されたり、データへのアクセスが自由にできたりすれば、攻撃者は会社に忍び込んだのと全く同じです。オフィスのLANに忍び込むのはかなり大変なのですが、VPNで穴をあけてしまったために今、攻撃者が「VPNに接続したパソコン」を狙っているというトレンドが発生しています。

VPNを大規模に使うと大きな脆弱性となってしまうため、これをコントロールする方法、「ゼロトラストネットワーク」の考え方が流行し始めています。

 

www.itmedia.co.jp

そこで最近叫ばれているのが「ゼロトラストネットワーク」という考え方です。従来のセキュリティは、全面的に社内のネットワークを信頼し、一度VPNなどを通して接続されてしまえば全てのアクセスを許すという考え方でした。ゼロトラストネットワークは、あらゆるユーザーをIDにひも付け、アクセスのたびに場所や時間、デバイスなどさまざまな要素からリスクを分析し、アクセスを許可したり、必要に応じて多要素認証を要求したりします。それによりネットワークの制約を取り払い、どこからでも必要な認証さえクリアすればリソースにアクセスできる環境を整えます。企業が本気でテレワークに取り組むのであれば、旧来のセキュリティをゼロトラストネットワークなどの新しいやり方に改めるべきなのです。

 

www.nikkei.com

米グーグルは21日(米国時間)、新しいリモート・アクセス・サービスである「BeyondCorp Remote Access」を開始した。ネットワークは全て危険だと認識する「ゼロトラストネットワーク」の考え方に基づくサービスで、オンプレミス(自社所有)やクラウドにある業務アプリケーションにVPN(仮想私設網)を使わずに、社外から安全にアクセスできるようになる。

 

とにかく脱VPN。そしてつながせる人には適切な最小限の権限を。

ゼロトラストネットワークを詳しく説明する記事も引用しておきます。

 

cybersecurity-jp.com

ゼロトラストネットワークでは、まず「全てを信頼しない」ことからスタートします。具体的な例として「アクセス認証」を取り上げましょう。ゼロトラストネットワークでは外部からのアクセスに対して、毎回セキュリティレベルをチェックして安全が確認できたデバイスのみにアクセスを許可します。

 

パソコンにデータを保管しないことが大事

私のお勧めは、「リモートのパソコンに業務データを一切保管しないこと」です。SaaSなどのサービスを使えば、Webブラウザの中ですべてが完結するため、ローカルにデータを保管しなくて良くなります。また、社内の業務システムにどうしてもアクセスしたいときは、オフィスのパソコンにリモート接続で画面だけ使うようにします。データはあくまでも会社のパソコンの中だけで完結します。

どんなに自宅のパソコンのデータを覗き見られても、データが無ければ意味がありませんから。

最近はVPNを使わなくても、Googleリモートデスクトップを使えば、会社のパソコンの画面にアクセスできます。

 

www.mag2.com

外から社内のPCにアクセスできるリモートデスクトップですが、その中でも無料なのがgoogleリモートデスクトップ。ユーザーも多いと思いますが、その使い方が少しくせがありますし、説明書もないので、使い方をご紹介したいと思います!!

 

セキュリティーにはお金をかければいくらでもツールはありますが、まずは「データをパソコン(ローカル)に保管しないこと」をお勧めします。

そのうえで、仕事をするパソコンは、あやしいサイトにつながないこと・・ですね。遊ぶパソコンは別にしたほうが無難かと思います。