Skip to main content
Securing the Digital World

ハイブリッド・ワークの確保の第一歩

  • by Kelly Sarber

Woman using a mobile phone for MFA

サイバーセキュリティ意識月間の期間中、SecurIDは、すべての企業とユーザーが自らとリモートワークを保護し、「#BeCyberSmart」になれるよう支援する知見とベスト・プラクティスにハイライトを当てています。

大部分のビジネスプロセスと同様に、サイバーセキュリティもかなり広範囲に存在する傾向があります。ゼロ・トラスト・セキュリティやリスク・ベース認証など、より成熟した手法を導入している組織では、ネットワーク・セキュリティの姿勢に対する従来の深層防御アプローチを活用しているところが多くあります。

仮想プライベートネットワーク (VPN) を作成して安全なリモートネットワークアクセスを提供することは、ビジネスユーザーがオフィスにいるのと同じくらいすばやくアクセスできる方法の1つです。このように、パンデミックの結果、VPNの利用が急増したことは驚くに値しません。サイバーセキュリティへの取り組みを始めたばかりの多くの企業にとって、VPNはハイブリッドな作業を安全にして業務を続けるための素早く効果的かつ迅速な手段となりました。

これは驚くべき伸びでありハイブリッドな作業を確保しようとしている多くの企業にとって重要な第一歩ですが、まだ第一歩にすぎません。VPNは、VPNへのアクセスに使われる認証と同等の性能しかないためです。また企業はユーザーにパスワードのみでVPNにアクセスしてサインインするよう求めている事例があまりにも多くなっています。

企業ネットワークへのアクセスを提供しようとすると、VPNは重大な脆弱性を引き起こす可能性があります。簡単に言えば、この1つのエントリー・ポイントのリスクは非常に高く、パスワードのみに依存したアクセス管理を組織が行っている場合、リスクはさらに顕著となります。このリスクは、サードパーティーが断続的なアクセスを要求することにより悪化する可能性もあるのです。   

別の言い方をすれば、VPNの保護のためにパスワードを使うことは、銀行の金庫室を鋼鉄で作り、ダイヤル錠を0-0-0に設定するようなものとなります。壁は頑丈かもしれませんが、ほとんどの人があっさりと侵入できてしまいます。

そしてまさにこのような事例がかなり起きているのです。

パスワードを使用してVPNを保護しない

パスワードは高くつくものであり、安全ではありません。サイバーセキュリティ・インフラ・セキュリティ庁は最近、「よくない実践例」リストに単一形式の認証を追加し、パスワードやユーザー名の利用は「極めて危険なサイバーセキュリティ行為」だとしました。

その結果、パスワードで保護されたVPNがサイバー犯罪者を排除できなかった例が複数あることは驚くに値しません。

最も記憶に残る失敗のひとつはコロニアル・パイプラインです。ブルームバーグによると、ハッカーはa) もはやアクティブに使われておらず、b) MFAに保護されていない仮想プライベート・ネットワーク (VPN) アカウント経由でネットワークに侵入しました。

しかし、最近の他の記事でも明らかになっているように、多くの組織はVPNを「保護」するためにパスワードを使っています。 

この手法とFG-IR-18-384 / CVE-2018-13379の不具合を組み合わせることで、攻撃者による「データの侵入、マルウェアのインストール、ランサムウェア攻撃の開始」が可能になるのです。

パスワードの高コスト

パスワードがVPNのセキュリティには特に向いていないというわけではありません。パスワードはすべてのセキュリティに不向きなのです。

正規ユーザーにとってはパスワードの管理が難しく、ハッカーにとっては簡単に推測できるものなのです。パスワードはハッカーの最大の攻撃軌道です ― 2020年のベライゾンデータ漏洩/侵害調査報告書によると、ハッキング関連のデータ漏洩/侵害の80%以上が、総当たり攻撃と紛失・盗難にあった認証情報の使用だったということです。

つい先週、ZD Netはサイバーセキュリティ研究者らが「2021年5月から8月の間だけで550億件の新たな総当たり攻撃の試みを検知した。これは1月から4月に検知された270億件の攻撃の倍以上」であることを発見したと報じました。 

パスワードも高くつくものです。大企業ではITヘルプデスクのコストの50%近くがパスワードのリセットに費やされています。これにより、100万ドル以上の人件費がかかる可能性があります。

パスワードには莫大なコストがかかり、セキュリティ上の負債とビジネス収益の両方に影響するのです。

ハイブリッド・ワークフォースの安全性を確保するための次のステップ

もしあなたがVPNに投資してハイブリッド・ワークフォースに安全なネットワークアクセスを提供すれば、チーム、資産およびIPを保護するための重要な第一歩を踏み出しました。

しかし多要素認証 (MFA) の利用など、組織が自らを保護するために実行しなければならないその他の重要な手順もあります。MFAは、あらゆる組織のサイバーセキュリティのスタンスの基本的な部分です。最近、バイデン大統領は、公的機関にMFAの実行を指示する大統領令に署名しました。このアドバイスは、SSL-VPNの脆弱性に関するFortinetの最近のアドバイザリーに裏付けられました。同社は組織に対して「すべての認証情報を潜在的に侵害されたものとして扱うこと」および「現在および将来にわたって、不正な認証情報の悪用を軽減する多要素認証を導入すること」と警告しています。

企業がリモートワーカーのセキュリティを確保するために実行できるその他の手段としては、パスワードレス認証を導入してハッカーが好む脆弱性を最小限に抑えることや、リスクベース認証を使用して重要な資産のステップアップ認証を作成することなどがあります。

これらの各ステップは、次のステップに基づいて構築されます。また、企業がセキュリティのプラクティスを成熟させ続ける中で、最小限の権限を適用し、常にアクセス要求を検証することで、ゼロ・トラスト原則を構築できるのです。

どこに行くにしても、アイデンティティが鍵です。どのようなサイバーセキュリティプログラムを成功させるにも、ユーザーが誰なのか、ユーザーが何にアクセスすべきか、ユーザーをどのように認証すべきかを知ることが不可欠です。  

ビジネスのアイデンティティとアクセス管理のリスクを計算

多要素認証の詳細と、リモート・ワークフォースを安全に有効化する方法について説明します。