
- サイバー攻撃
- エンドポイントセキュリティ
ゼロデイ攻撃とは?
先日発表されたグーグルのセキュリティチームの調査結果で、Chromeブラウザに対するゼロデイ攻撃について触れられていました。今回はゼロデイ攻撃は何が怖いのか、未然に防ぐことは難しいのか、内容についておさらいしたいと思います。
|
みなさんこんにちは。長谷川まりです。
コロナ禍でテレワークを一気に拡大したものの、Office365の動作が遅い、Web会議が途切れるといったお悩みはありませんか?そこでVPNのインターネットブレイクアウトが注目されていますが、VPN製品だけでクリアするのは難しいことも。今回は、VPNのインターネットブレイクアウトを実現するにあたって考えられる3つの課題と、解決ツールとしての秘文のメリットをご紹介します。
インターネットブレイクアウト(ローカルブレイクアウト)とは、特定の通信を振り分けて各拠点から直接インターネットに繋ぐことを許可し、通信を一定箇所に集中させないようにする仕組みです。
通常、各拠点からインターネットに接続する際は、アクセス管理などを一元的に行うため、中央拠点に設置されているファイヤウォールやゲートウェイを経由させます。しかし近年、Office365などの大容量の通信を必要とするクラウドサービスが普及するにつれ、通信の集中によるレスポンス低下と業務への影響が課題になっていました。そこで、中央拠点への通信集中を避けるため、端末から直接インターネットやクラウドサービスにアクセスさせてしまおうという、インターネットブレイクアウトの仕組みが注目されるようになりました。テレワークの導入が加速している今日において、インターネットブレイクアウトは、VPNの逼迫を解消できる方法としてますます注目されるようになっています。
テレワーク時のインターネットブレイクアウトでは、ユーザーが自宅などの社外からも、安全、快適に仕事ができることが期待されています。まず、テレワークでは自宅のWi-Fi等、いわゆる社外からのアクセスになりますので、セキュリティ担保のためにVPNを利用するのが一般的です。しかしこの時、多くのユーザーがVPNにログインし、大容量の通信を必要とするクラウドサービスを利用するとどうなるでしょう?VPNの負荷が増大し、すぐにセッションが切れてしまう、またインターネット接続が遅いなどの問題が頻発することが考えられます。特に、コロナ禍のテレワークでVPNの利用者を急拡大した場合には要注意かもしれません。VPNを使うから安全、とはいえ快適な通信が使えないことで、ユーザーも困ってしまいますね。
そこでVPNの逼迫を解消するため、VPNのトンネルモードを全ての通信ではなくスプリットトンネルに変更することでインターネットブレイクアウトを実現するのが一般的ですが、VPNのスプリットトンネルによるインターネットブレイクアウトには、以下の3つの課題が考えられます。
下の図のように、一般的なVPN製品ではスプリットトンネルを設定する時、VPNのトンネルで保護する対象を社内ネットワークリソースへの通信に指定します。しかし同時に、インターネットサイトへの通信は全て直接アクセスを許すことになってしまいますので、データ漏洩やマルウェア感染などのセキュリティリスクを考慮しなければなりません。
|
ブレイクアウトの対象サイトを指定できる便利なVPN製品もありますが、完全ではありません。IPアドレスでの指定のみ、というケースが多いためです。Office365をはじめとするクラウドサービスは、IPアドレスが頻繁に変わったり、そもそもFQDN形式での指定が必要なこともあるため指定ができず、完全なインターネットブレイクアウトの実現がなかなか難しくなります。
|
VPN接続+インターネットブレイクアウトを実現するには、まずユーザーがVPNに接続しないといけません。ルール化していても、100%遵守されているかは不確かです。ユーザーがVPNにログインするまで、すべてのインターネットサイトに直接アクセスできる状態になるので、データ漏洩やマルウェア感染などのセキュリティリスクが残ります。
|
そこで、テレワークでVPN接続を徹底しながらインターネットブレイクアウトをしたい場合にお奨めなのが、セキュリティ対策ツールである秘文です。秘文を導入すると、先に挙げた3つの課題を綺麗に解決することができます。
設定はどの通信をVPN経由にするかではなく、基本的にはVPN経由で、例外的にどの通信を直接アクセスできるかを指定するという考え方なので、分かりやすくセキュアな環境設定がしやすくなります。
Office365、Windows Update、Box、Dropbox等、秘文が対応しているクラウドサービスであれば、対象のクラウドサービスを画面上で有効化するだけで、直接アクセスできる対象が設定できます。また、未対応のクラウドサービスであっても、IPアドレスやFQDN、CIDR形式でも指定できるので、通信先の情報さえ揃えば、インターネットブレイクアウトの範囲を拡大できます。
秘文は、直接アクセス対象の通信先以外はVPN通信を「強制」できるため、管理者の運用負荷、セキュリティリスクともに抑えることができます。
|
以上のように、テレワーク時のインターネットブレイクアウトでは、安全さと快適さ、両方を実現することが目的です。ただ、通常のVPNでそれを実現しようとすると、環境によっては設定や運用上の課題が残り、VPN製品だけでは目的を達成できないことも考えられます。そこでアシストでは、それらの課題を補完し、インターネットブレイクアウトの運用をしやすくする秘文の導入をお奨めしています。この機能はクライアント1台あたり、3,000円で実装が可能です。
秘文によるインターネットブレイクアウトの詳細は、以下の資料をご覧ください。
秘文によるインターネットブレイクアウトは、「秘文Device Control」のネットワーク制御機能で実現できます。どのように実現できるのか、特長や事例を含めて図説で詳しくご紹介します!
長谷川 まり
|
|
先日発表されたグーグルのセキュリティチームの調査結果で、Chromeブラウザに対するゼロデイ攻撃について触れられていました。今回はゼロデイ攻撃は何が怖いのか、未然に防ぐことは難しいのか、内容についておさらいしたいと思います。
企業のサーバには、重要なシステムファイルや機密情報を含むファイルが数多く存在します。今回は、ファイル保護と言う観点にゼロトラスト基準を採り入れた、アクセス権限管理の考え方をご紹介します。
いわゆる「ニューノーマル」として、在宅勤務はもちろん、委託先によるリモートからのサーバ保守などが浸透しています。今回は、こういったリモート業務の管理面での不安や課題と、それらの解決策についてご紹介します。