真下 竜実 NRIセキュアテクノロジーズ情報セキュリティ事業部長
松下 直 NRIセキュアテクノロジーズ情報セキュリティ事業部 上級セキュリティエンジニア
VPN(仮想閉域網)などを使って,外出先から社内ネットワークに接続するリモート・アクセスには,なりすましや社内ネットワークへのウイルス持ち込みなど,様々な危険がつきまといます。認証手段の強化や,パソコンの設定ポリシーの確認などが必要です。
自宅や出張先のホテルなどから社内の情報にアクセスすることを可能にするリモート・アクセスは,その利便性の高さから広く活用されるようになっています。しかしその普及に伴い,「ウイルスの社内持ち込みや情報漏えいの経路になる」などの弊害も見られるようになりました。多くの企業が利用しているVPNベースのリモート・アクセス手段の安全性を検証し,強化すべき時期に差し掛かっています。
利便性向上に伴って増加するリスク
VPNベースのリモート・アクセスには,IPsec(IP security protocol)VPNとSSL(secure sockets layer)-VPNの2方式があります。IPsecはネットワーク間で仮想的なネットワークを構築する際によく利用されますが,リモート・アクセスにも利用されています。一方,SSL-VPNは利便性の点でIPsecに勝っていることから,今後さらに普及が進むでしょう。場所や時間を選ばず,社内ネットワークに接続する機会が増えると予想されます。
しかし,リモート・アクセスには数多くのリスクがあります(表1[拡大表示])。VPNで通信路を暗号化するだけでは済まない問題がいくつも存在するのです。適切なセキュリティで保護されていないネットワーク環境にパソコンを接続するリスクや,VPN接続のための口(アクセス・ポイント)が不正アクセスの標的になる恐れなどが発生します。
認証手段の強化と設定ポリシーの確認
これらのリスクから社内ネットワークや情報資産を守る方法としては,「認証手段の強化」と「パソコンの設定ポリシーの確認」の二つが挙げられます。リモート・アクセスでは,公共のパソコンから認証情報を利用して社内のネットワークにアクセスするケースもあるため,認証手段の強化は必須です。特にSSL-VPNでは,認証情報が唯一不正アクセスから社内ネットワークを守る手段になります。生体認証やPIN入力機能のついたセキュア・トークンを利用した認証を実施すべきでしょう。
また,リモート・アクセスを実施する上で,最近特に問題になっているのが,リモート・アクセスに利用されるパソコンの安全性です。自宅や公共の場,あるいは社外に持ち出したパソコンをインターネットに接続する際は,十分なセキュリティによって守られていない点に注意が必要です。ウイルスに感染したり,スパイウエアが仕掛けられる可能性があります。その結果,VPNトンネルの内側を攻撃のデータが流れるという皮肉な事態が起こりかねません。
このため,リモート・アクセスに利用されるパソコンに対しては,ウイルス対策ソフトの定義ファイルを常に最新に保つことや,定期的にウイルス・スキャンを実施すること,ワームの攻撃を受ける恐れのあるぜい弱性をふさぐパッチを適用することが不可欠です。さらに,これらを社内ネットワークへ接続する前に確認する必要があります。リモート・アクセスをするユーザーにとっては,接続前にパソコンのセキュリティ・レベルを一定以上にしておくことが求められます。
セキュリティ対策が不十分なパソコンから社内ネットを守る具体的な方法としては,まずリモート・アクセス時にパソコンのセキュリティ管理状態が組織の定めたルール(ポリシー)に準拠しているかをポリシー・サーバーへ照会することが挙げられます。そして,設定やセキュリティ対策が十分でないと判定されたパソコンは,いったん「検疫ネットワーク」と呼ばれる一時的な隔離ネットワークに接続し,そこでリモート・アクセスに必要な対策を実施するようにユーザーに指示を与えます(図1[拡大表示])。このソリューションは,「ポリシー・エンフォーサー」と呼ばれる仕組みと検疫ネットワーク,VPN技術を統合することで実装可能です。
