VPN 脆弱性|あなたの会社は大丈夫?在宅時代の落とし穴 【多要素認証】
突然ですが、3点質問させて下さい。
「貴社は、テレワークをここ1年で開始しましたか?」
「貴社は、テレワーク時にVPNを利用していますか?」
「貴社は、VPNを、セキュリティの面で安全だと考えていますか?」
全て「はい」、特に3つ目を「はい」と答えられた方、注意が必要です。
テレワークを導入している企業VPNの脆弱性をついた攻撃が近年急増しているからです。
詳細は以下のニュースをご覧下さい。
_____________________
VPN装置のIDやパスワードが世界中の900社から流出する事件が発生した。脆弱性を抱えたまま運用していたVPN製品が攻撃を受けた。狙われた脆弱性は、VPN装置上の任意のファイルを外部から読み出せるもの。認証情報を平文で一時保存していたキャッシュファイルを読み取られた。日本企業も40~80社が被害を受けたとみられる。
_____________________
引用元:VPN装置からのパスワード大量流出、1年前の脆弱性が突かれたわけ(日経XTECH・2020.09.11)
https://xtech.nikkei.com/atcl/nxt/column/18/01157/090900018/
「注意が必要」と急に言われても、今すぐVPN利用を止めるわけにもいかないと思います。
比較的コストをかけずに、どう対策するのか?
「多要素認証」が一つの選択肢になるでしょう。
多要素認証とは何か?という部分から掘り下げて解説していきます。
目次[非表示]
- 1.多要素認証とは
- 2.VPNの脆弱性×多要素認証
- 3.テレワーク×多要素認証
- 4.多要素認証を利用するためには
- 4.1.多要素認証の利用
- 4.2.多要素認証の使い勝手
- 5.まとめ
多要素認証とは
多要素認証とは、
・知識認証(知っているもの(パスワードなど))
・所有認証(所持しているもの(デバイスや認証カードなど))
・生体認証(人が備えているもの (指紋、網膜、声帯など))
などの複数要素を組み合わせた認証のことです。
通常、IDとパスワードでパソコン本体やアプリケーションなどの管理をされていると思います。しかし、これだけだと不十分です。
IDとパスワードだけで管理している場合、その情報さえ知っていればアクセスできてしまうためです。
たとえばIDとパスワードが、もしも流出してしまった時や盗み見られてしまった時、簡単にパソコン本体やアプリケーションにログインされ、情報を取られてしまう危険があります。
そこに「所持しているもの」と、「人が備えているもの」が加わると、不正アクセスの難易度が格段に上がります。たとえIDとパスワードが流出しても、「所持しているもの」か「人が備えているもの」がなければアクセスはできません。
たとえると、「IDとパスワードのみ」で管理している状態は、家に鍵が一つしか掛かっていない状態です。
「多要素認証を用いた」管理を行っている場合は、家の開錠に物理的な鍵と顔認証が同時に必要な状態です。
どちらが、セキュアな状態かは一目瞭然だと思います。
VPNの脆弱性×多要素認証
_____________________
VPN装置のIDやパスワードが世界中の900社から流出する事件が発生した。脆弱性を抱えたまま運用していたVPN製品が攻撃を受けた。狙われた脆弱性は、VPN装置上の任意のファイルを外部から読み出せるもの。認証情報を平文で一時保存していたキャッシュファイルを読み取られた。日本企業も40~80社が被害を受けたとみられる。
_____________________
引用元:VPN装置からのパスワード大量流出、1年前の脆弱性が突かれたわけ(日経XTECH・2020.09.11)
https://xtech.nikkei.com/atcl/nxt/column/18/01157/090900018/
VPNの脆弱性について、まずは冒頭でも触れた上記のニュースから、簡単に説明します。
通常、ファイアウォールなどで守られた社内ネットワークに対して、社外ネットワークから接続する場合、VPNを通して安全な通信経路を確保したうえで接続します。
上記のニュースは、安全と考えていたVPNの脆弱性をついた攻撃によって、VPN機器から管理用IDとパスワードが盗まれたことが発端です。その情報が不正にやり取りされ、入手した別の悪意ある第三者によって、該当VPN機器への不正アクセスに使用されたと報じられました。
VPN機器からは、接続していた社員の情報(IDとパスワードなど)を抜き取られたようです。
該当のVPN機器は、2019年9月に脆弱性があるとの警告が発表され、対策用パッチも公表されていました。
国外ではその脆弱性を突いた攻撃が確認されていましたが、ついに2020年3月、JPCERT/CC(※)から国内企業への攻撃も確認されたとの公表がされました。
※JPCERT/CC:不正アクセスの被害に対応するために設立された情報提供機関
コロナ禍において各企業が急速にテレワーク化を進めてきたなかで、多くの企業が利用しているVPNの脆弱性を突いた攻撃ということで、大きく報道されたのです。
しかし、実のことをいうと、脆弱性を突いた攻撃自体は、それほど珍しいものではありません。
そもそも脆弱性が公表された時点で、悪意ある第三者より、いつ攻撃されてもおかしくないということは認識しなければなりません。
そのため、もし仮にVPNの脆弱性を突いた攻撃を受け、管理用IDとパスワードが盗まれたとしても、重要情報にアクセスさせないための防御壁として多要素認証が有効になります。
テレワーク×多要素認証
VPNの脆弱性対策だけではなく、テレワークの急速普及へのセキュリティ対策としても、多要素認証が有効な手だてとなります。
クラウドサービスが全盛の今、テレワークが増えることで、直接インターネットへ接続される通信が増加し、社内で保護されていないネットワーク通信が増加します。
それは、すべての通信をVPN経由で行うとネットワーク帯域が圧迫されることで通信のスピードが落ちてしまい、業務に支障をきたしてしまうためです。
しかしながら、社内で保護されていないネットワークの通信を許可することは、どこの誰でもアクセスが可能な状態であり、非常にリスクが高くなってしまいます。
そこで、多要素認証を行い、複数の要素をクリアした人間のみをネットワークアクセスの対象とすることで、セキュリティを担保できるようになるのです。
また、昨今、業務端末として会社支給の端末だけではなく、BYOD(※)も利用が増加してきております。
※BYOD:Bring Your Own Deviceの略称。個人所有の端末を業務で利用すること。
そのBYODについても、多要素認証を用いることで、社員の方がどの端末からでも安全にアクセスできるようになります。
セキュリティを担保でき、かつ導入を手軽に進められるため、テレワーク時代において多要素認証の導入が非常に有効だと言えるのです。
※テレワーク時におけるネットワークアクセスの負荷軽減についてはこちらをご覧ください。
テレワーク下でのストレスの元凶だった通信速度の遅さ。 SD-WANならどのように解決できるのか!?
※テレワーク時におけるデバイス管理手法についてはこちらををご覧ください。
2021年度の情シス部員は知っておきたい新時代のデバイス管理 “EMM”とは?
多要素認証を利用するためには
『多要素認証が有効なのは分かった。でもどうやって利用するのか?またその使い勝手はどうなのか?』
という疑問をお持ちになることでしょう。
多要素認証の利用
多要素認証を取り入れるためには、専用のアプリケーションを利用することが一般的です。
業務で利用されることの多い、Google WorkspaceやMicrosoft365などのグループウェアについては、それぞれ無料の多要素認証アプリケーション(Authenticator)が用意されています。
・Google Authenticator
・Microsoft Authenticator
上記2つのアプリケーションは、シンプルな設計に加え、対応するアプリケーションも多い
ことから選ばれることが多くなっております。
▽公式ページ
・Google Authenticator(https://support.microsoft.com/ja-jp/account-billing/アプリをダウンロードしてmicrosoft-authenticatorする-351498fc-850a-45da-b7b6-27e523b8702a)
※それぞれ、設定方法や対応アプリケーションなどをご確認の上、貴社に最適な選択をして頂ければ幸いです。
当然、他のアプリケーションと連携ができない場合は、他サービス含めてご検討頂く必要があります。
現在、Authenticatorアプリケーションはいくつか提供されており、それを使用可能なサイトも徐々に増えています。
有名なところでいうと、Amazonのサイトでも認証にAuthenticatorアプリを用いることが可能となっています。
多要素認証の使い勝手
また、多要素認証を利用するにあたり、複雑な手順が必要なイメージを持たれるかもしれないですが、常に所持しているスマートフォンで操作するひと手間がかかるだけであり、長いパスワードを覚えるより簡易に、セキュリティ向上を見込めます。
具体的には、システムへのアクセス時にIDを入力するとAuthenticatorに認証通知がとび、画面に表示された番号をAuthenticatorで選択するとサインインできるという方法になります。
「所持しているもの」であるスマートフォンと、「知っているもの」であるパスコードか、「人が備えているもの」である指紋などの二要素でサインインとなります。
この方法の場合、パスワードを入力する必要はありません。
IDとパスワードのみの認証については、前述したようにセキュリティ的な課題がいくつかあります。
たとえ長く複雑なパスワードを設定したとしても解析される可能性があると同時に、人が覚えられる内容には限界があります。
このような観点からも、多要素認証の魅力を感じられるのではないでしょうか。
まとめ
今回、テレワーク環境下におけるセキュリティ対策で、VPNのみでのセキュリティには限界があり、多要素認証を取り入れる事が解決策の一つとなることを述べてきました。
多要素認証とは
・知識認証(知っているもの(パスワードなど))
・所有認証(所持しているもの(デバイスや認証カードなど))
・生体認証(人が備えているもの (指紋、網膜、声帯など))
上記認証を複数組み合わせた認証のことです。
不正アクセスを試みようとする人間にとって、特に「所有認証」や「生体認証」は、入手が困難なため、多要素認証を取り入れることでセキュアな環境を構築できます。
また、無償や安価なツールも用意されているため、実施にあたりコストが少ないことも魅力の一つです。
まだ多要素認証をご検討されていない場合、テレワークにおけるセキュリティ向上のため、多要素認証の検討を始めていく必要があるのではないでしょうか。
■関連記事
・デバイス管理どうしてる?MDMとMAMを用いた適切な管理を!
・どうすれば良い!?間違えたくない・・・・ 現代的なデバイス管理ツールの選び方!
・本気で現状を打破したい情シスの方以外は見ないでください “DX時代の情シス”とは?