ページの先頭です

ページ内を移動するためのリンク
本文へ (c)

ここから本文です。

New Normalなリモートワークのセキュリティユースケースはこれだ!(その1)

ライター:木村 好幸
2006年 ネットワンシステムズ株式会社に入社。数多くの国内外ITベンダー・製品を担当し、関係構築から商品・サービスの企画・開発、推進および新規ベンダーとのビジネスの立ち上げなど、ビジネス開発業務に従事。

目次

COVID-19の影響で、テレワーク・リモートワークの導入が一気に加速しています。そして、スマートフォンやタブレットの普及、BYODの採用、クラウド利用の増加で、業務に利用されるデバイスやアクセス経路の多様化によるハイブリッド型ワークスタイル環境の導入も進んでいます。それに対するセキュリティ対策が重要かつ急務となっていることから、数年前から言われているゼロトラストが今注目を浴びています。

ゼロトラストは、複数のリサーチ会社やセキュリティベンダー、研究機関が各々の定義で語っているので少々分かりにくい状況になっていると思いますが、まずは何から実施していけばいいのか、ユースケースを交えて説明します。

最優先で対処すべき課題

VPNで社内ネットワークにアクセスする時やSaaSの業務アプリケーションに直接インターネットからアクセスする時に初めにすることはクレデンシャル情報(ID・パスワード)を用いて認証しログインすることですが、そのクレデンシャル情報が漏洩し、悪用されたらどうなるか、想像してみてください。

重要資産の盗難・漏洩・破壊など、その被害の規模と影響範囲は計りしれず、社会的信用の失墜、財務的損害など事業継続に大きな影響を与え、ITやセキュリティ担当者は、その対応に追われる姿が想像できることでしょう。

米国ベライゾンの調査では、「ハッキングによるデータ漏洩/侵害の80%以上で、ブルートフォースや紛失または窃取された認証情報が使用されている」と報告されています(出典:2020年度データ漏洩/侵害調査報告書)。

クレデンシャル情報は、社外でのリモートワーク時に、のぞき見・盗聴・悪意のフリーWi-Fi・詐欺(偽)サイトなどで、容易に窃取されてしまうということを改めて認識することが重要です。

多要素認証で解決!

上述のように、ID・パスワードが窃取されることも想定し、それに備えて認証を強化することがとても重要になります。では、どうすればよいのでしょうか? 答えは、多要素認証を導入してセカンダリ認証を設けることで不正アクセスを防ぐことです。

多要素認証は、ID・パスワードといった「知識要素」に、「所有要素」・「生体要素」など2つ以上の要素で本人確認を確かなものにします。

今回紹介するCisco Systems社のCisco Duoは、様々な認証方法と多くのアプリケーション連携をサポートし、デバイスの状態に応じたポリシー設定でアプリケーション毎のアクセス制御を提供します。

特にプッシュ通知は、数秒でセカンダリ認証の通知がスマートフォンに届き、ワンタップで承認できるとても使い勝手のよいものになっています。

Cisco Duoは、プライマリ認証と連携する多要素認証(セカンダリ認証)ソリューションのため、ご利用中のActive DirectoryLDAPなどのプライマリ認証システムを置き換えることなく迅速で柔軟な導入が可能です。

Cisco Duo のユースケース

  • ユースケース1:管理端末か非管理端末(BYOD)かによるアクセスコントロール
    Cisco Duoで管理端末のみアクセス可能なポリシーを設定。
    Cisco DuoのTrusted Endpoint機能(Cisco Duoの証明書の有無)で管理端末か非管理端末(BYOD)かを判断し、管理端末はセカンダリ認証を経てアクセス可能となる。




  • ユースケース2:Anti-Virus/Malwareの起動状態によるアクセスコントロール
    Cisco DuoでAnti-Virus/Malwareが起動している場合のみアクセス可能なポリシーを設定。
    Cisco DuoDevice Health機能でAnti-Virus/Malwareが起動しているかどうかを確認し、Anti-Virus/Malwareが起動している端末はセカンダリ認証を経てアクセス可能となる。

    さらに、Cisco AMP for Endpointを導入していれば起動の確認に加え、AMP for Endpointで駆除できていないマルウェアやC2サーバーへの接続の痕跡がある場合はアクセスさせない、それらの侵害要素が解決したら自動的にアクセスさせるなど、よりセキュリティを高めた運用が可能になる。

   
   


  

  

    • ユースケース3:VPNレスでオンプレミスのアプリやWebサイトに多要素認証を使ってアクセス
      Duo Network Gatewayがリバースプロキシとして保護されたサービスへのユーザアクセスが許可される前に強力な認証を追加。
      HTTP, HTTPS, SSH トラフィックをサポート。(RDPは今後サポート予定)

まとめ

今回は、ゼロトラストにおいて最優先で実施すべきことは多要素認証であることをご説明しました。単要素認証しか実施していない組織にとって、本ブログがお役に立てれば幸いです。

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。

RECOMMEND