VPN、本当に必要ですか?テレワーク時の安全のための確認事項

好きな所から読む

多くの企業では、オフィスや従業員にテレワークをさせるために、仮想プライベートネットワーク(VPN)に接続させます。しかし、VPNは昨今ハッカーの主要なターゲットになっています。たとえあなたの会社がファイヤーウォールなどとVPNをつなぐなどセキュリティ面において非常に優れていても、セキュリティは一部でも欠陥があると攻撃者がは防御を迂回して壊滅的な打撃を与える事が出来てしまいます。

業者やサービス提供者に許可を与える事業者はよりセキュリティ面に注意を払う必要があります。
ハッカーは自分たちでターゲットを決めて、何十もの社内ネットワークに潜入することができます。複数のベンダーにまたがるソリューションは、人為的な設定ミスを招き、セキュリティホールを生み出しかねません。なるべく単一のベンダーにて事業を展開していきましょう。さらにこのチェックリストを使用して、より安全なセキュリティアプローチを1社でも多くの企業が展開出来ることを祈っています。

VPNでテレワークが十分機能するのかを確認する

下記の質問に応える事で、VPNを超えたソリューションが必要かどうか判断ができるようになります。是非ご確認ください。1つでも該当する懸念がある場合、VPNを導入するのみでは、テレワーク時にセキュアかつ業務効率を落とさない環境を用意できません。VPNを導入することで、なんらかの課題を抱える事になってしまいます。

  1. VPNのセキュリティが気になる
  2. VPNは使えないが、テレワーク環境から安全に何かしらのシステムにアクセスする必要がある
  3. VPNの管理、保護、ポリシーの設定が煩わしいと感じている・考えている
  4. メインの社内ネットワークから離れた所にあるデバイスにアクセスする必要がある
  5. 自社で制御ができないネットワーク上のデバイスにアクセスする必要がある
  6. あなたの組織のネットワークはVLANで高度にセグメント化されていて、サブネットやスイッチなど異なるセキュリティレベルを必要とするものがある
  7. 従業員は時々、単一のデバイスもしくはリソースにテレワーク環境でアクセスする必要がある
  8. 自社の情報システム部門は、テレワーク中の従業員や外部パートナーに対してもサポートを提供している
  9. VPNの流すログでは、テレワークしているユーザーの監査証跡やセッションロギングが不足してしまう
  10. ベンダーやサービスプロバイダのアクセスを、特定の端末のみに制限したい場合がある
  11. ベンダーやサービスプロバイダのアクセスを、特定のアプリケーションのみに制限したい場合がある

分析:VPNとリモートアクセスソフトウェアの比較

上記項目のどれにも該当するセキュリティ上の懸念がない場合、VPNはおそらくあなたのビジネスには適しています。しかし、そうでない場合はセキュアなリモートアクセスソリューションは、より良い選択肢になります。リモートアクセスソフトウェアは、セキュリティを確保し、制御と可視性を情報システム部門に与えます。結果としてチームがプロセスを効率化し、最大限に活用できるよう支援します。

ここでは、チェックリストの各項目の詳細な内訳をご紹介します。

VPNのセキュリティが気になる

あなたは一人ではありません。ハッカーが企業のVPNに簡単に侵入できることを知っていると、心配になります。ネットワークを公開するように設計されたクレデンシャルスタッフィング・マルウェアを含む
は、VPN が必要とするオープンポートについて言及しています。リモートアクセスソフトウェアは、アウトバウンド接続を提供しています。よって限りなく安全でありながら、より厳しいセキュリティ管理と効率性の向上を実現しています。

VPNは使えないが、テレワーク環境から安全に何かしらのシステムにアクセスする必要がある

VPNは与えられた環境では実装できないこともあります。それでも、リモートで繋ぐ必要があるため、業務に目に見えない課題が発生してしまいます。これはリモートアクセスソフトを使うべき完璧なシナリオです。

VPNの管理、保護、ポリシーの設定が煩わしいと感じている・考えている

VPNの設定と最適化は、悪夢のように複雑です。サイバーセキュリティでミスをした場合、それがどれほど悪い結果につながるかを考えると、それは非常に恐ろしいです。VPNの管理についてスキルギャップを感じている場合は、リモートでの作業を簡略化できるソリューションを探す方が賢明でしょう。
情報システム部門は業務における優先度の高い課題にフォーカスをあて、一方セキュアなリモートアクセスの実現については、リモートアクセスソフトウェアで実施し、外部ベンダーにビジネスの安全を確保させた方が懸命です。

メインの社内ネットワークから離れた所にあるデバイスにアクセスする必要がある

いくつかのデバイスを他のネットワーク環境から分離しておく事自体はセキュリティ上理にかなっています。例えば生産設備、POSシステム、または医療
デバイスなどを考えるとイメージが湧くでしょう。このような場合、リモート接続を実現しない理由は本来ありません。しかし、このような環境がある場合VPNは部分的な効果にとどまり、意味をなさないでしょう。それぞれに対して安全な VPN 接続を維持するのは非常手間がかかってしまいます。

自社で制御ができないネットワーク上のデバイスにアクセスする必要がある

システム管理者(もしくはセキュリティ責任者)からVPNの利用許可を得るのは非常に骨が折れるケースがあります。VPNにより特定のポートを常時開けること自体にセキュリティリスクを感じる場合があります。なので、警備を厳重にしておくことで VPNへの扉を開きたくないということはそれはそれで理にかなっています。そんな時、VPNとは別のソリューションとしてリモートアクセスソフトウェアは非常に便利です。リモートアクセスソフトウェアは必要な時だけ必要なアクセスポートを公開する事になるので、システム管理者(もしくはセキュリティ責任者)は安心してリモートアクセスを実現できます。

あなたの組織のネットワークはVLANで高度にセグメント化されていて、サブネットやスイッチなど異なるセキュリティレベルを必要とするものがある

リモートアクセスソフトウェアはデバイス、ネットワークセグメント、および各タイプの多層セキュリティゾーンに対応しています。サーバー上での管理は頭痛の種になります。維持メンテ、管理していくことは非常に大変です。リモートアクセスツールを使用して、権限、時間帯、IP / MAC アドレス、またはホワイトリストされたアプリケーションに基づいて権限を付与することで、より手軽かつ柔軟なセキュリティが実現できます。

従業員は時々、単一のデバイスもしくはリソースにテレワーク環境でアクセスする必要がある

従業員がテレワーク環境で仕事をする場合、ネットワーク全体またはセグメントにアクセスできるようにするには、VPNを使うのはやりすぎです。必要以上にアクセス権限が付与されてしまい、セキュリティ上の課題になりかねません。生産性を維持するために必要最小限のアクセスを許可するのがベストプラクティスです。リモートアクセスソフトウェアで役割、コンテキスト、ニーズに基づいて、特定のデバイスやリソースにアクセスできる環境を構築しましょう。

この方法では、従業員のデバイスが侵害された場合、攻撃者が移動できるのは限られています。ネットワークの中で水平方向に VPNを使ってこのレベルの制御を実現するのは難しいが、リモートアクセスソフトウェアを使えば簡単です。

自社の情報システム部門は、テレワーク中の従業員や外部パートナーに対してもサポートを提供している

従業員がコーヒーショップや空港などのオープンネットワークでリモートワークをしているとサポートが必要です。そしてそれと同時にその接続は、どのように到達しても常に安全でなければなりません。このようなケースでは、VPNの使用は望ましくありません。リモートアクセスソフトウェアを使うべきです。VPNではなくリモートアクセスソフトウェアを使う事で、逆に国内または国際的に様々な環境で従業員が柔軟かつ生産性高く働く事を実現できるようになります。

VPNの流すログでは、テレワークしているユーザーの監査証跡やセッションロギングが不足してしまう

監査、コンプライアンス、フォレンジック分析、リアルタイム分析のいずれの目的であったとしても、特定の時点でリモートアクセスを記録したりログを保存するする必要があります。しかし、 殆どのVPNには改ざん不可能な監査ログ(その他セッションビデオログ等も無し)を吐き出したり、確認できる機能はありません。それに対し、リモートアクセスソフトウェアにおいては大抵が標準装備されています。何かインシデントが発生した時、監査ログが無いと困る、内部統制のために監査ログが必要という場合、VPNは絶対に選択肢に入りません。

ベンダーやサービスプロバイダのアクセスを、特定の端末のみに制限したい場合があります

ハッカーはベンダーやサービスプロバイダを標的にするのが好きなので、彼らのアクセスをセキュアに維持(基本的にはロックダウン)することが重要です。しかしほとんどのMSPは、端末またはIDに対してのみアクセス制御が出来ることを覚えておいてください。あなたは本来、誰が、いつ、どのリソースを、どのようにアクセスするかといった、厳密な粒度のコントロールを可能にする設定が必要です。

ベンダーやサービスプロバイダのアクセスを、特定のアプリケーションのみに制限したい場合があります

プリンターのサービスを提供している会社は、顧客データにアクセスする必要はありませんよね?テレワーク環境で使用するベンダーであれば、そのベンダーが必要なアプリケーションのみにアクセスできるようにする事が大切です。サードパーティのアクセスを強化するのは理にかなっていますが、複数のベンダーがユーザーやロールを変更していくと、Active Directory ですべてを管理するのは頭痛の種になります。ベンダーに自分のアクセス権限を管理させるのも勿論良くありません。ID管理のようなソフトウェアを使用して制御するのがベストプラクティスです。

VPNの課題は実は非常に多いです

VPNが完全になくなるわけではありませんが、その有用性は限界を伴うものとなっています。現代の企業にとって、セキュアなリモートアクセスソフトウェアは必須のアイテムです。VPNの課題を超えて、より安全で効率のよいセキュリティ環境を構築しましょう。

SNSでもご購読できます。

コメントを残す

*