リモートワークの目に見えないセキュリティ脅威と戦う
2020年の春、世界中のほとんどの政府や企業は、多くの従業員を迅速にリモートワークに移行させることを余儀なくされました。そのため、新しい情報セキュリティシステムの設計問題は後回しにされました。代わりに、当時利用可能だった最も関連性の高い保護対策、例えば、ファイアウォール、VPN、多要素認証が採用されました。
リモートワークの構築と限られた予算の急増により、多くの緊急のセキュリティ脅威が無視されました。時間が経つにつれて、情報保護システムとその文書基盤は、実際の脅威の数が増えたことを考慮して改善されてきました。しかし、攻撃者は引き続き抜け穴を見つけて損害を与えることを続けています。
ユーザーアカウントへの脅威
入力された認証情報の傍受
リモートワークを組織する際に従業員が個人のデバイスを使用する場合の情報保護策の一つは、職場の仮想化とアプリケーションをターミナルサーバーに移動させ、その後環境を完全に隔離することです。
実際、従業員のコンピューターにマルウェアがインストールされても、作業環境やビジネスアプリケーションには影響しません。
しかし、リモート接続に別の認証方法を使用していても、仮想化されたワークステーション(VDI)や端末アプリケーション(例えば、RemoteAppを介して)に接続する場合、アプリケーションがユーザー名とパスワードを使用した認証を要求する可能性が高いです。この場合、マルウェアはキーストロークを傍受し、正しいログイン・パスワードの組み合わせを特定し、最終的に、攻撃者は機密データへのアクセスを得ることができます。
この脅威を軽減するためには、シングルサインオン(SSO)ソリューションを代替認証ソリューションと併用することが推奨されます。SSOソリューションは、従業員がVDI経由で接続するオフィスのワークステーションやターミナルサーバーにインストールされるべきです。さらに、企業アプリケーションでの認証を確認するために、システムは代替認証要素を要求した後、SSOが独立して必要な認証情報を提供します。したがって、従業員のワークステーションにキーロガーが存在していても、入力されたログイン名とパスワードは傍受されません。
一回限りのパスワード生成器をクローニングする
言うまでもなく、強力な(多要素の)認証方法は、リモートワーク中の脅威に対する抵抗力を大幅に高めます。しかし、すべての認証技術には、適用性とセキュリティの両面で大きな違いがあります。
現在の人気のある多要素認証方法は、デバイス上で生成される一度限りのコードを使用するか、メッセンジャーで送信されるものですが、重大な脆弱性があります。攻撃者がスマートフォンへの継続的なアクセスを得ると、スマートフォンでの権限昇格を試みることができます(iOSデバイスの場合はジェイルブレイク、Androidの場合はルート)。そして、攻撃者が成功すれば、一度限りのパスワードジェネレータの鍵をクローンし、自分のデバイスにコードを送信するように設定することができます。
このリスクを軽減するためには、ワンタイムパスワードをやめて、デバイスに明確に紐づけられ、攻撃者のデバイスでは機能しないプッシュ認証を使用することをお勧めします。
企業リソースの可用性への脅威
ユーザーアカウントのリモートロック
しばしば、ウェブサービスはインターネット上で利用可能です。例えば、ウェブメールを使用して企業のリソースにアクセスすることができます。
時々、メールボックスの名前はドメインアカウント名と同じです。ハッカーは、ブルートフォース攻撃を開始してパスワードを推測しようとすることがあります。この脅威を無効にするためには、何度かの失敗したパスワード試行の後にアカウントのロックアウトを有効にするべきです。
しかし、攻撃者はパスワードをブルートフォース攻撃で意図的にドメインアカウントをブロックすることができます。このような攻撃は一部のビジネスプロセスを麻痺させる可能性があります。
この脅威を部分的に無効化するために、例えばワンタイムパスワードのような二要素認証(2FA)の専門的なソリューションを使用することができます。この場合、ブルートフォース攻撃が試みられても、アカウントではなく、第二の認証器がブロックされます。したがって、従業員は、代替の接続を通じて、またはローカルで作業している場合に限り、企業リソースへのアクセス能力を保持することになります。
· セキュリティキーを保存している媒体の紛失や故障
リモートワーカーは、業務を行う際、デジタル証明書を使用して文書に署名したり、第三者のWebサービスに接続したり、その他のタスクに使用することができます。同時に、デバイス(例えば、鍵を保存しているフラッシュドライブ)の紛失や故障が発生した場合、迅速な交換の問題が生じます。しばしば、特に従業員がオフィスから遠く離れた場所にいる場合、合理的な時間内に実施することはできません。
脅威を無効にするために、キー情報を取り外し可能なデバイスに保持しない仮想スマートカードを実装する専門的なソリューションを使用できます。
この場合、キーの保存は以下の方法で行われます:
サーバー側では、すべてのキー操作がサーバー上で実行されます。
デバイス内の専用モジュール – トラステッド・プラットフォーム・モジュール。
このようなソリューションは、取り外し可能な保護メディアよりも安全性が低いと考えられていますが、これらのソリューションは最も柔軟で、説明された緊急事態に適しています。
キーを交換した後、仮想スマートカードを無効にすることができます。したがって、キーキャリアが紛失または破損しても、会社のビジネスプロセスにダウンタイムは発生しません。
事件に至った行動の非帰属の脅威
重大なリソース障害が発生した場合の紛争
特権ユーザーがITリソースを扱う際には、常に人為的なエラーのリスクが伴います。彼らの行動自体が、重要なリソースの故障につながる可能性があります。
組織の敷地内で直接作業している場合でも、何が起こったのか、そして誰が失敗の責任を負うのかを把握するのは難しいです。リモートアクセスの場合、この状況はさらに複雑になります。このようなインシデントの調査は、無実の当事者に責任を負わせようとする試みがある場合には作業環境に悪影響を及ぼすだけでなく、非生産的な行動に多くの時間を浪費します。
SIEMソリューションを使用すると、誰がリソースに接続したかをおそらく把握できますが、複数の同時接続がある場合に誰が責任を持つかを正確に特定することは難しいでしょう。また、障害に至った行動の順序も判定するのが難しいです。
しかし、Privileged Access Management (PAM) ソリューションを使用する場合、特権ユーザーのすべての接続は、さまざまな形式(ビデオ、テキスト、スクリーンショット、キーストローク、転送されたファイルなど)で記録されます。後で、これらのログを使用して、どのアクションのシーケンスが障害につながったかを迅速に特定し、そのインシデントに責任がある人物を特定することができます。
責任逃れの試み
企業内に悪意のあるインサイダーがいる場合があります。彼は意図的に、重要なリソースの故障や中断につながる行動をとることができます。それ自体、責任者を特定する任務は簡単ではありませんが、PAMソリューションを使用することで、すぐに犯人を見つけることができます。
従業員が捕まった時、彼は自分のパスワードが盗まれたと言うかもしれません。パスワード認証が様々な脅威に非常に脆弱であることは秘密ではなく、その開示の事実が事件後にのみ明らかにされることがよくあります。
明らかに、そのような状況では、セキュリティ担当者は従業員が無実であり、起こったことはただの不幸な偶然だと考えることができます。
この脅威を中和するためには、2FAをPAMソリューションと併用することを推奨します。もし従業員が実際に悪意のある内部者である場合、彼が責任を逃れることは難しくなります。それでもなお、従業員がパスワードだけでなく、ワンタイムパスワードジェネレーターがインストールされた電話も盗まれたと主張する場合、彼には論理的な質問がされます。「なぜすぐにセキュリティサービスにこれを通報しなかったのですか?」
## 結論
リモートワークを行う際に発生する追加の脅威を考慮すると、情報セキュリティの脅威がIT技術の発展とともに進化することを念頭に置く必要があります。攻撃者は適応し、常により多くのお金を稼ぐ新しい方法を探しています。防御システムが新しい現実に完全に再構築されるまで、サイバー犯罪者は古いも新しいものを問わず、あなたの弱点を自分たちの目的のために利用することができます。
今日、リモートワークの形式は私たちの生活にしっかりと根付き、一部の国では国家レベルで規制されています。その結果、情報セキュリティの専門家は、既存の保護システムが現代のサイバーチャレンジに耐えられるかどうかを慎重かつ急がずに考えなければなりません。私たちは、外食のセキュリティリスクのように、考えることもないと思っていたことを見直し始める必要がありました。