東京オリンピック開催に向けたリモートワークで注目を集める、ラテラルムーブメント対策とは?

内部から潜伏可能なサーバを探索する、ラテラルムーブメント(写真:アフロ)

■東京オリンピックで急増するリモートアクセスソリューションの検討

 東京オリンピック開催まで遂にあと一年を切った。東京オリンピック開催期間中は東京オリンピック会場近辺では通勤が困難になると予想されている。2012年に開催されたロンドンオリンピックでは、政府の呼びかけでロンドン市内の企業の約8割の企業がテレワークを実施。これによって、交通網の混乱を回避することが出来たという。

 

 東京オリンピックでも、在宅勤務等のリモートワークを実現するため、リモートアクセスソリューションの再構築を検討している企業が急増している。

 ・リコー、東京五輪開催期間に本社約2000人が一斉リモートワーク

 ・2020年夏 全社のリモートワークを義務化 「トレタリモートウィーク2020」

 このリモートアクセスソリューションの検討に、代表的な技術で有るVPNを引き続き検討している企業も多い。しかし、VPNの技術的な欠点を利用したサイバー攻撃が増加しているのはご存知だろうか?

■VPNのラテラルムーブメントによるマルウェア感染リスクの増加

 VPNは簡単に言えば、インターネット上に仮想的なトンネルを作ることで、外部の人間に通信を覗き見されないようにする技術だ。非常に便利な技術で有り、多くの企業が採用している。しかし、このVPNで作られた社外と社内を繋ぐトンネルは、一度開通してしまうと、ネットワークレイヤでの接続を許可しているため、社内ネットワークのどこにでもアクセスが可能な状態を作り出してしまう。

 もし、在宅勤務者が私用のパソコンでVPN接続を試み、この私用パソコンがマルウェア感染していたらどうなるだろうか?VPNによるアクセスが成功すると、マルウェアはネットワークスキャンを試み、侵入可能なサーバやパソコンが無いかを探し始める。そして、脆弱性の有るサーバや、パソコンを発見すると、それらに感染し、潜伏する。

 こういった社内ネットワークを通じた「横方向の感染」を「ラテラルムーブメント(水平方向の移動)」と呼ぶ。組織のネットワークへの侵入に成功したマルウェアが、OSの標準機能を利用して、内部偵察、資格奪取を行い、組織内の感染領域を拡大させるフェーズで実施される手法を指す。

■攻撃者は「FWの正規の門」ではなく、別の進入路を狙う

 セキュリティ担当者らは、FW経由の「外部からの進入路」をIDS等のセキュリティ装置を使って「侵入の痕跡」を監視しているが、社内ネットワーク経由のラテラルムーブメントによる感染はこういったIDS等を迂回して、サーバに感染するケースも少なくない。筆者がこの種の感染被害に逢った企業のセキュリティ調査をしていると、セキュリティ担当者らはIDS等に侵入の痕跡が無かったため、どこから侵入したかがわからない、と頭を抱える場面に遭遇することも有る。

 厳重な警備が施されている「FW経由の正規の門」を突破するより、脆弱な「利用者」を狙う方が、簡単なことは容易に想像が付くだろう。

■ラテラルムーブメント対策で注目を集めるゼロトラストセキュリティ

 こういったVPNの「ネットワークレイヤで接続された場所にはどこにでも接続出来てしまう」という欠点を補うのが、ゼロトラストセキュリティモデルというリモートアクセスの手法だ。

 ゼロトラストセキュリティモデルのリモートアクセス手法は、VPNのように社外から社内に対するリモートアクセスの方法を提供するが、利用者に対してネットワークレベルでの許可を与えるのではなく、利用者に対して個別のアプリケーション単位でアクセス許可を与える。

 例えば、Salesforceの利用許可を与えられたユーザは、Salesforceへのアクセスは許可されるが、社内サーバに対してポートスキャン等の偵察活動は制限される。偵察活動を大きく封じ込めることが出来るため、「ラテラルムーブメント」に対する有効な解決策として関心が高まっている。

■東京オリンピック後の働き方改革を見据えた、リモートワークの構築

 冒頭で述べたように、東京オリンピックの出勤難対策を理由に、リモートアクセスソリューションを再構築、あるいは新規に構築する企業が急増している。しかし、リモートアクセスソリューションは通常、数年間は利用するもので有るため、東京オリンピック開催後も利用し続けることになる。

 VPNは古くから利用され、普及している技術では有るが、「ラテラルムーブメント」等に対して脆弱性を持っていることが近年指摘されている。政府の狙いとしても東京オリンピックを契機にリモートワークを普及させ、継続的な働き改革を推進させていきたいという思惑も持っている。

 東京オリンピックだけの「その場しのぎのリモートアクセスソリューション」ではなく、東京オリンピック開催後のITインフラも見据えた、これからのワークスタイルを見据えた、リモートアクセスソリューションをこの機会に検討してみてはいかがだろうか?