リモートワークとセキュリティ対策への取り組み

激変する働き方、セキュリティ対策への取り組み方～可視化とパソコン対策～

新型コロナウィルスによる在宅勤務の増加もさることながら、DX推進によるクラウドシフト、システム構成の変化、それに伴うセキュリティ対策の変更と増加するサイバー攻撃への対策などなど情報システム担当者にとって大忙しの日々が続いていることと拝察します。
自宅やリモート拠点でのPC利用、クラウドサービスの利用など社外でのIT利用についてユーザの行動やサイバーリスクの実態が把握しにくくなっているのも事実であると思われる。“社外”で感染したPCが社内で発症するという事態も稀ではない。発覚すればよい方だが実は被害が生じているのか否かが分からないという事態も多いことだろう。

DX推進に伴い、どこでもいつでも仕事が出来る環境も整うと思われるが、それは同時にどこでもいつでも感染の可能性がある環境でもあり、こういったリスクに対するセキュリティのフレームワークがゼロトラストアーキテクチャである。これまで防御線をはっていた社内IT環境と社外IT環境との境界が曖昧になりつつある現在、重要な情報資産（リソース）にアクセスするデバイスを制御し、かつモニタリングしていく必要がある。

中にいれば安全とされた、これまで

これまでは社内IT環境は中にいれば安全とされ、内部からリソースへのアクセスは比較的容易に行える様になっていた。つまり社内IT環境自体がグレーゾーンであり、一旦外部からの侵入を許してしまうと感染したデバイスからの横展開は容易に行えるリスクが高かった。この考え方をあらためゼロトラストアーキテクチャに移行する、ということは、リソースへのアクセス制御をポリシーベースとし、デバイスの所在に拘わらず許可されたクレデンシャルとデバイスからしかリソースへアクセスを許可しない仕組みが必要になってくる。
これまでのID、パスワードでの管理もノンパスワードとなり、生体認証もしくは他の手段によるアテステーション機能がID管理では重要になるだろう。

一方攻撃する側はどうだろうか。ランサムウェアによる身代金支払の額は年々増加しており、さらにランサムウェアを開発する人々とそれをサービスとして提供する人々、実際に攻撃する人々とで分業化が進んでいるという情報もある。脆弱性のある組織を探す人々も存在しており、リストが売買されているのも現実らしい。

セキュリティ対策製品を購入し続けるのか？

サイバー攻撃は何も攻撃者から直接行われるだけではない。セキュリティ対策に費用をかけられない中小の取引先やセキュリティ対策の貧弱な海外拠点を経由して大企業を狙う攻撃も存在している。攻撃側の攻撃力は高まっているが、防御側の防御力は逆に弱まっている可能性も否定できない。

現状の可視化が第一歩

それでは、やみくもにITベンダーの口車に乗ってセキュリティ対策製品を購入し続けるのか？

否、まずは現状の可視化が第一歩である。現実として被害にあっているのか、あっていないのか、社員が危険な行為を行っているのかいないのか、それらを可視化して「想像」の世界（ここはこれを使っているから侵入できるはずがないとか、セキュリティ製品がアラートを出さないので安全だ、など）から現実をもとに対策を施す方がより効果的である。

そのためにSOC（Security Operation Center）のように、ファイヤーウォールやIPS/IDS、アンチウィルスソフト、メールサーバ、認証サーバ、WAFなどのログを集めて監視し、人が分析するという手段が必要なのかというと、さすがにAIの技術が進歩している現在では優れたプロダクトが存在する。

基幹となるスイッチに接続するだけでパケットを収集し、AIが分析し、ネットワークとノード（デバイス）を可視化、さらに稀なトラフィックを発見、異常を統合的に分析してくれかつオプションを使えば不正な通信を遮断する機能も備えている。これらを自動化できるのである。つまり、SOCの設備も人材も最小で済むので、セキュリティ人材不足も補えかつセキュリティ対策も強化できる。

可視化製品は高額で難しい企業の対応は

さて、可視化のための製品も様々あるが、どちらかというと高額な場合が多い。セキュリティ対策を投資とみなし安全確保を第一とする大企業であればよいが、セキュリティ対策予算がそこまでない、可視化が無理ならせめて「最小権限の原則」に則り、必要なリソースへのアクセスは必要なユーザにしか行わせない様、アクセス権限を設定することから始めてもよい。

例えば、PCのユーザの権限に管理者権限を付与しているのであればそれを止め、ポップアップが邪魔だからという理由でOFFにされているUAC機能をONにするなど、ユーザからのクレームで止めてしまっていた機能を復活させた方がよい。そのほかにも、EPP製品を販売している身ではあるが、Microsoft DefenderのWindows10で強化されている機能を使うことでも防御力は向上する。ハードウェア要件は高い性能を要求されるが、DefenderのApplication Guardを使うと、EdgeやOfficeアプリケーションをVM上で動作させることが出来るようになる。つまり、重要なシステムプロセスとは別のメモリ空間でハイリスクなアプリケーションを隔離した状態で動作させる仕組みである。少し先の話にはなるが、Windows11ではさらにセキュリティ対策機能が強化されており、ハードウェアのファームウェアやデバイスドライバーなどからの攻撃防止からクラウド上のリソースアクセスの制御までID管理を含むセキュリティ対策機能を提供する。

あくまで個人的な意見だが、Windows11への移行動機の最大要因はセキュリティ機能の強化にあると考えている。

ただし、Windows11の要件となるハードウェアで話題となったTPM2.0、こちらは既にVistaの時代から利用されているそうだが、CPUとTPM間の通信経路を物理的にハッキングするという手法があるため、CPU内にセキュリティプロセッサを包含してしまうというPluton（これまではXbox Oneで採用されていたアーキテクチャ）をPCにも搭載する。そもそもゲーム機では改造されたシステムファームウェアをインストールして不正コピーしたゲームを使うとか、ゲームソフトを改造するなどという行為が行われている。Xbox 360でもそういう行為を防止できていたそうだが、セキュリティをバイパスする改造チップを組み込むことが可能になっていたため、Xbox OneではPlutonにより改造チップが検知されるとヒューズを切断し、デバイスそのものが動かなくなるという対策が施されている。

そのため最も安全で最も安価なPCがXbox Oneであると言ったホワイトハッカーも存在する。

ただし、Windowsのメジャーバージョンアップ、特にサードパーティ側の施策に依存する規格の変更は移行を慎重に進める要因になってきた。無論Windows11への移行も一筋縄ではいかない。特にセキュリティ対策の鍵となるVBS（Virtual Base Security）で利用されるHVCI（Hyper-Visor Code Integrity）はデバイスドライバーをチェックするためドライバー側でHVCIに対応する必要がある。HVCIに準拠していないドライバーを使う周辺機器は使えなくなる。

無論、これにより不正なドライバーがカーネルを攻撃することを防止できるようになる。ちなみにVBSとHVCIはWindows10で既に実装されている機能なので、試そうと思えばWindows10でも可能な機能である。