日経の記事に日本企業38社のVPNアクセス情報がハッカーにより公開されていると紹介されました。
この記事で紹介されている件は、CVE-2019-11510 にて報告されているPulse Secure社の製品であるVPN装置の脆弱性をついた攻撃の件だと思われます。
こちらは任意のファイルを読み取り、認証情報などの機微な情報を取得する可能性がありました。2019年4月に初見で報告されている一方、POC(攻撃の実証用のプログラムコード)なども流布されており、悪意があれば容易に攻撃できる状況でした。
もちろんPulse Secure社はこの脆弱性に対応した改修済バージョンを提供したようですが、被害企業のVPN装置の修正対応へのバージョンアップもしくはすでに攻撃されたと最悪の場合を想定してVPNアクセス情報を変更するなどの対策がなされていなかったのでは?と推測されます。
VPNだけだとストローで息を吹きかけているようなもの
コロナ禍で企業のテレワークの即席対応が要求されこの数か月ほぼパニック状態だったかと思います。本来の意味のリモートアクセスのセキュリティ対応が考慮されないまま、社内環境に自宅からアクセスする環境を準備するということでその場を凌いでいた企業が多いのではないのしょうか。
さらにいえば、VPNという言葉がなにか、セキュリティという雰囲気を醸し出しているため、VPNアクセス環境を作った=セキュリティ対応も行っている。と誤解されている企業IT担当者ももしかしたらいらっしゃるかもしれません。
VPN自体はどちらかといえば論理的な分離のことを意味します。インターネット上にクライアントや自宅ネットワークのルータからいわゆるトンネル、もしくはストローを作成して社内リソースアクセスすることができます。もちろんIPSecVPNやSSLVPNなどいくつかの暗号化対応をしたプロトコルや実現技術はあります。この場合、通信データが暗号化されますので、データ自身をネットワーク経路上で通信を盗み見できないように防御可能です。認証方式としてID、パスワード(事前交換鍵)を利用した認証方式や証明書を利用した認証方式などあります。Man In the Middle Attack対応とアクセス制御が行えているだけでは実はセキュリティ対応はまだ未完です。
VPN接続がアクセス許可され、晴れて自由に社内リソースにアクセスできるようになります。ですが、これは今回のように不運ながらVPNアクセス情報が漏れている場合はアクセス許可を受け、攻撃者にやりたい放題のストローが与えられているという事態になります。
実は、攻撃者でなくてもなにか悪意のあるコードが侵入している端末やネットワークを正規の利用者が意図せずにつないでしまっている場合も同じことが言えます。
これではVPNという名のストローで社内システムに「悪意をもつ攻撃者」もしくは「意図しない潜在脅威をもつ」人がストロー経由であなたの肺に向けて息を吹きかけている状態と同じです。
繰り返すようですが、VPNだけでは本当の意味のセキュリティ対応はまだ未完です。
VPNの認証方式はIDパスワードだけでは不十分。多要素認証で強化する。でもそれだけでよいの?
ID、パスワード(事前交換鍵)だけでは弱い認証方式です。サーバとクライアント双方で証明書交換するという方法もありますが、配布や管理など猥雑なので、最近では多要素認証の対応が増えてきています。IDパスワードの知識認証とスマートフォンのSMSやMailを利用した所有物認証を利用する方法です。SAMLなどと組み合わせた認証プロバイダ(例 Octa社やPingID社)も出てきており、実現する選択肢も増えてきています。
利用者からみると、何度も認証をするので、利便性とトレードオフとなりますが、今回のようなアクセス情報が漏洩したときなどの「悪意をもつ攻撃者」への対応は強化できます。
一番の問題は実は、「意図しない潜在脅威をもつ」人や端末、ネットワークがVPNを利用して接続されるという可能性はありますので、そこが一番重要な課題になります。
ゼロトラストという考え方
正直、市場の中をゼロトラストという言葉が氾濫しており、本来のセキュリティ対応の意味から逸脱して無理にゼロトラスト対応と自社製品と紐づけている製品も増えてきています。ゼロトラストというのは考え方ではあるので、「うちはうちのやり方です」という言い張ってしまわれるとお終いですが、このオレオレゼロトラストを導入して、やった雰囲気になってしまって今回のように最悪な事故に遭遇しては、ハッカーおよび記事にて企業名の公開されていますし、企業としてはたまったものではありません。
実は、このやった雰囲気になるというのは意外とありがちで、経営者はなんとなく経営リスクは感じるからヤレと上から落としたりしますが、予算もつけない状態で根性業務命令をうけて困った担当者が安価なオレオレ系の製品を導入してセキュリティ対応はやったことにしてしまいあとは「うちの会社はたぶん大丈夫」という正常性バイアスを心の暗示としてかけて終わりというパターンもよく聞きます。
話はそれてしまいましたが、本来ゼロトラストとはなんなのか説明します。英語では「ZeroTrust」と書き、2010年に Forrester ResearchのJohn Kindervag氏が提唱した情報セキュリティへの対応するコンセプトモデルです。
1.信頼せず、すべてを検証せよ。
2.すべての通信を可視化して検査せよ。
3.内部からデザインせよ。
4.セキュリティをネットワーク内のDNAに組み込みなさい
と言っています。
2010年当初はまだセキュリティは境界モデルで、外の世界と城壁を作っておけば、外的から守られ中の都市は平和で犯罪がも起きないという認識、システム的には、企業のイントラネットワークや端末、社員は安全、インターネットの境界に城壁(FWやIPSなど)を置いとけばよい、という思想が一般的でしたから、John Kindervag氏の提唱するモデルを企業のネットワークやセキュリティ担当者に紹介すると、どうせベンダーは製品をたくさん売りたいだけとか揶揄されましたが、今の時代は、コンピュータの世界(利用の形態も端末も通信もサーバ環境、クラウドも)激変し、境界モデルでは太刀打ちできなくなり、John Kindervag氏のモデルが正しかったと時代が証明しつつあります。
まだ本当のゼロトラスト対応ができていない。ゼロトラスト対応をするには?
残念ながら、ゼロトラスト対応ができていない企業が多いのが日本の状況でもあります。
今回の件ではやはり、境界モデルという認識が残っているのではないかと感じます。VPNは社内にアクセス、社内は安全だから、VPNでアクセスできたら社内通信は基本信頼されてセキュリティ対応ができていない。としたら、これは前述のコンセプトからはまったく逸脱されています。
本当のゼロトラスト対応はVPNアクセスが強化された後も、必要なセキュリティの検査(IPS、AntiVirus、Malware、URL、DNS、Mail、など)はリモートの端末もしくはリモートのネットワークと社内ネットワークのすべてのトラヒックに対して行うべきです。
ゼロトラストの世界の言葉で表現しますと、セグメンテーションしてマイクロペリメータ(内部の防御ライン)を定義し検査し脅威を検出し、防御するというところまで行わなければなりません。
まとめ
ロッキャオンネットワークスでは、リモートワークを安全に実現するための真のゼロトラストインフラ構築のご支援を行っています。
現在、市場は様々な製品があります。本当にやるべき要件、それに対して何をすべきなのか、過剰な投資になっていないか、もしくは、コスト優先になり、本当のセキュリティ対応ができていないものになっていないか、棚卸をおこない、あるべき姿を導き出すお手伝いを行っております。
また、技術的なアーキテクトのご支援のみならず、経営層にもやさしい、ハイレベルなご支援も可能です。
ぜひとも、リモートワークを安全に実現するためには弊社にご相談ください。
ロッキャオンネットワークス株式会社
草川秀人
hkusakaw@roccaon.com
参考文献:
https://www.nikkei.com/article/DGXMZO62994110U0A820C2MM8000/?n_cid=DSREA001
November 5, 2010 Build Security Into Your Network’s DNA: The Zero Trust Network Architecture
by John Kindervag
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11510