働き方の多様化を支えるワンランク上のセキュリティ
一般社団法人日本ハッカー協会 理事 上野 宣
聞き手:スプラッシュトップ株式会社 代表取締役 水野 良昭
リモートワークの普及により、外部から社内ネットワークに接続する機会が増えました。外部からの入口が企業内で広く利用されるようになり、サイバー攻撃が高度化する昨今では、社内ネットワークと外部に境界を設ける従来の境界型防御では攻撃に対応できなくなっています。企業はどのようなセキュリティを目指すべきなのか、一般社団法人日本ハッカー協会の理事である上野宣氏にスプラッシュトップ株式会社代表取締役の水野良昭がお話を伺いました。
リモートワーク急増の今、VPNは安全?!
水野:先日、石川県で開かれたIoTイベントに行ってきました。その際に立ち寄った石川県警のブースでは、ランサムウェアの被害が倍増し、ランサムウェアの感染経路は半数以上がVPNという調査結果*を発表していました。この結果をどうご覧になりますか。
上野:VPNは企業が構築している境界防御を突破する入口です。コロナ禍によりリモートワークが普及し、社外から社内ネットワークにアクセスする際にVPNの経路を利用する人が大幅に増えました。言わば「メジャーな入口」になったことで狙われやすくなったと言えます。例えば昔、Windowsはマルウェアに感染するがMacは感染しないと謳ったCMがありましたが、単にMacのシェアが低かったことかと思います。
ただリモートデスクトップや他のツールの経路なら安全かというと、そうではありません。境界防御を突破する入口であることには変わりがないので、メジャーになったり脆弱性が見つかるなどすれば狙われやすくなるでしょう。
水野:私は多くの企業とお話する機会がありますが、VPNが最も安全だという神話が根強くあります。当社ではVPNを使わずに安全に社内ネットワークに接続できるソリューションとして「Splashtop」をご提案しています。自宅のPCが外部のリレーサーバーを経由して社内にあるPCと通信する方式で、Windows標準搭載のリモートデスクトップと比較するとVPNを併用しなくとも通信の安全性がはるかに高いです。そこがなかなか理解されずに「Splashtopはリモートデスクトップと同様にVPNを経由しないと危険だ」と思われてしまうことが多いです。セキュリティの専門家から見てVPNの安全性についてはどのように見られていますか。
上野:VPNの何が安全かというと、まず通信経路の安全というのが第一にあります。
通信経路というのは、例えば自宅を想定したら自宅のPCと会社のVPNのサーバーの入口までは安全である、「盗聴」と「改ざん」、「なりすまし」から守るのがVPNの役割であり、それ以上でもそれ以下でもなく、VPNを使っているから安全であるとは言えません。
また境界防御を突破して社内のネッワークにアクセスできてしまうので、それが安全かというと逆に悪用された時は危険です。サイバー攻撃者が自宅のPCを乗っ取り、直接会社内のネットワークにアクセスできるわけです。私は顧客の依頼でよくペネトレーションテスト(侵入テスト)をやります。例えば従業員のPCの中にVPNの設定ファイルがありID・パスワード・接続先が定義されています。設定ファイルをダブルクリックするだけで
社内ネットワークに接続できてしまいます。
さらにVPNサーバーは社内ネットワークではなくインターネット上にあるため、例えばSHODANのようなOSINTツールを使えばVPNサーバーをすぐに見つけることができ攻撃者から狙われやすいリスクがあります。
外部からの接続が増える中で安全性を高めるには
水野:社外から社内ネットワークにアクセスする手段はこれからも必要とされると思います。安全性を高めるにはどのような対策が必要でしょうか。
上野:攻撃者は脆弱性を突いてきます。かつてアンチウィルスソフトや資産管理ソフトの脆弱性が発見され狙われたことがありました。脆弱性はVPNであれ何であれ付き物だという前提で私たちは取り組んでいます。
VPNを取り巻く環境で特に言えることは、VPNサーバーは現状メンテナンスされていない傾向にある点です。VPNサーバーは箱物で置いてあって、一回設置したらあとは知らないというか放置されている傾向にあります。先ほどお話したようにVPNは「盗聴」「改ざん」「なりすまし」から守るだけなのでVPNにランサムウエアを守るといった「謎の効用」はありません。VPNのサーバーが放置されメンテナンスされていない、結果脆弱性を持ったサーバーが狙われ社内ネットワークを攻撃されてランサムウエアに感染してしまう、単純にIDパスワードが破られて突破される、誰かのパスワードが盗まれ突破されることもあります。攻撃リスクをできる限り少なくするには、脆弱性をできるだけ速く発見し定期的にセキュリティパッチを適用するのが基本です。
水野:Splashtopも年に4回セキュリティパッチの更新を行っています。脆弱性を放置しない体制が重要になってくるということですね。
上野:実際に2021年10月に徳島県のつるぎ町立半田病院がランサムウェアの被害を受け、電子カルテシステムや会計システムの業務が停止に追い込まれメディアでも大きく報道されました。感染経路としてVPN装置から侵入された可能性が高く、VPNサーバーのセキュリティパッチ適用がされていなかったのが原因とされています。攻撃側は放置されたVPNサーバーの脆弱性を突いて仕掛けてきます。この事例に限らず運用する側にVPNをメンテナンスする意識がないケースが多く見受けられます。
水野:他に考えられる対策はありますか。
上野:攻撃者が社内ネットワークに侵入したとしても、マルウェアを他のPCに展開しにくい環境であれば、被害を局所化できます。従来の境界防御は外からの攻撃から守る対策のため、いったん社内ネットワークに侵入されると基本的に防御されていません。PC間の通信が簡単にできるため、マルウェアの感染パスができてしまいます。これはVPNやリモートデスクトップのようなソリューションでは解決が難しい問題です。
水野:例えばVDIを導入して、自宅のPCとVDIサーバーとの接続にVPNを使う代わりにSplashtopを使うという事例は数多くあります。社内にネットワークに侵入されても他のPCに展開するのを防ぐ環境を作るということに対して、VDIで補完できるでしょうか。
上野:おっしゃるようにVDIサーバー上の仮想デスクトップ同士の通信を禁止し、不正な通信をチェックできる仕組みがあるため、侵入されたとしても比較的安全です。また事例の数は少ないですが、社内のADサーバーやファイルサーバーといった全てのサーバーをクラウドに移行するゼロトラストに近い対策をすれば、社内ネットワークに侵入したとしても他の端末やサーバーがない状態のため、攻撃される可能性が少なくなります。
SplashtopとVDIの違いはどこにあるのですか。
水野:Splashtopは画面情報の差分情報だけを転送するソリューションです。VDIとの違いは、サーバーではなくパソコンにエージェントをインストールします。日本国内に設置されたAWS、オラクル、GPC等の約300台の中継リレーサーバーを使って画面情報を転送しサーバーに社外からアクセスして見るので、リレーサーバーと接続デバイスには画像やファイルデータは一切残らない仕組みになっています。
目指すセキュリティモデルとは
水野:場所を選ばずに業務をするための安全な環境として、企業が最終的に目指す形というのはあるのでしょうか。
上野:従来の境界防御という概念を取り払い「ゼロトラスト」を目指すことが重要になってきます。ゼロトラストは、ネットワークの内外に関わらず全てのアクセスを適切に制御する仕組みのことです。
その第一歩としておすすめしたいのが、ID・パスワードの管理を強化することです。最近企業で利用するクラウドサービスが増えてきています。従業員が個別にID・パスワードを管理すると、情報システム部門としては管理が煩雑になるだけでなく、誰がどのサービスを使っているのか把握できなくなります。
水野:SplashtopでもSSOのベンダーとの連携を強化しています。SSOで認証した後に、Splashtopが使えるようになる仕組みを採用しています。
上野:SSOはセキュリティ対策としても非常に良いと思います。従業員が退職した場合でもアカウントを削除してしまえば全てのシステムが使えなくなります。管理負荷が大幅に抑えられるというメリットもあります
水野:Splashtopは、安全性を確保しながらリーズナブルに導入しやすさとパフォーマンンスを追求しています。昨今のセキュリティソリューションはどれも高価で複雑です。セキュリティにどれだけ投資したらよいのかというのは、大きな問題としてあります。
VPNでは大多数が接続することを想定していないことが多く、リモートワークが常態化した現状では通信速度が遅くストレスがあると聞いています。同様の問題はVDIでも発生します。現状の仕組みのままでパフォーマンスを上げるにはよりコストをかける必要があります。セキュリティ対策としてコストやパフォーマンス、利便性のバランスはどう考えるべきでしょうか。
上野:企業の目的は事業を継続することであり、セキュリティはその手段にすぎません。コストの問題もありますし、導入のしやすさや利便性も必要です。
VPNやVDIはシステム構築に時間がかかるので、簡単に導入できるSplashtopで安全に接続できる環境を作る方が、より早くセキュリティリスクを削減できるという判断もありえます。またリレーサーバーや社外の端末にデータが残らないのもSplashtopの優位点です。
ゼロトラストは目指す形ではあるのですが、Googleですらゼロトラストの環境を構築するのに8年かかりました。その他の企業がゼロトラストを実現するのは、簡単ではありません。さまざまな観点を考慮に入れながら、常に一歩先のセキュリティを目指すべきだと私は考えています。
水野:示唆に富んだお話で、Splashtopの目指す姿を再確認できました。上野さん、本日は貴重なご意見をありがとうございました。
【併せて読みたい上野宣の関連記事】
*警察庁「サイバー犯罪被害に対する企業・団体を対象にしたアンケ―ト調査結果及び対策」より
【上野宣(うえの・せん)のプロフィール】
一般社団法人日本ハッカー協会 理事
株式会社トライコーダ 代表取締役
奈良先端科学技術大学院大学で山口英教授の元で情報セキュリティを専攻、2006年にサイバーセキュリティ専門会社の株式会社トライコーダを設立
OWASP Japan 代表
株式会社Flatt Security 社外取締役
グローバルセキュリティエキスパート株式会社 社外取締役
情報処理安全確保支援士 集合講習講師、カリキュラム検討委員会
一般社団法人セキュリティ・キャンプ協議会 理事・顧問
情報セキュリティ専門誌 ScanNetSecurity 編集長
Hardening Project 実行委員
JNSA ISOG-J セキュリティオペレーションガイドラインWG (WG1) リーダー
SECCON 実行委員
NICT 実戦的サイバー防御演習 CYDER 推進委員
一般社団法人 ITキャリア推進協会 (JAIC) アドバイザリーボードメンバー
情報経営イノベーション専門職大学 (iU) 客員教員
第16回「情報セキュリティ文化賞」受賞
(ISC)² 第11回アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA) 受賞
主な著書に『Webセキュリティ担当者のための脆弱性診断スタートガイド – 上野宣が教える情報漏えいを防ぐ技術』、『HTTPの教科書』、『めんどうくさいWebセキュリティ』、『今夜わかるシリーズ(TCP/IP, HTTP, メール) 』など他多数