クラウド化やテレワークを活用した働き方が定着し、ネットワークの境界型セキュリティだけでは無く、データそのもの着目するデータセキュリティの重要性がますます高まっています。大事な組織のデータや個人情報を守るためにはどのような対策を行えば良いのでしょうか?
データファーストのソリューションを展開するForcepointならばSWGとDLPを駆使し、情報漏えいやデータ消失などのセキュリティトラブルを防ぎ、セキュリティレベルを強化することができます。Forcepoint Web Security Cloud(SWG)、Forcepoint DLPでできることとは?Forcepointに関連する5つの疑問と間違えやすいポイントに徹底的にお答えします。
Forcepointではローカルブレイクアウトできない?
回答)Forcepoint SWGでは、Web通信とデータに対するセキュリティチェックが可能であるため、インターネット全般のローカルブレイクアウトが可能です。社内のネットワーク帯域が節約され、内部通信が保護されます。
ファイアウォールやルーターでなく、ForcepointのPACファイル自身で、宛先IPが変更されます。下記の図は、Forcepoint SWGを導入した環境で、エンドポイントからGoogle.comへアクセスした際のProxy通信のデータの詳細です。HTTPのCONNECTメソッドで、宛先IPが本来のGoogleのIPではなく、Forcepointの116.50.61.180となり転送されているのがわかります。つまり、ファイアウォールやルーターが無い環境、例えばテレワークなどでエンドポイントが直接インターネットに接続する場合でも、セキュリティが保たれるのです。
また、SSL復号化を含んだセキュリティチェックが可能であるため、インターネット全般を安全にブレイクアウトすることが可能です。ファイアウォールやルーターのインターネット全般のローカルブレイクアウトを実施する場合、拠点単位でSSL復号化をする必要がありますが、パフォーマンスに大きな影響が出るため、SSL復号化をあきらめるネットワーク管理者もいらっしゃるでしょう。そのため、ローカルブレイクアウトの対象を信頼性の高いSaaSアプリのみに絞っていることも多いのではないでしょうか。
下記の図はForcepointのポリシー設定タブの抜粋です。SSL復号化をした上で、様々なセキュリティ対策を行うことができ、ユーザー認証(Access Control)から、簡易Cloud Apps制御、簡易DLP機能(File Blocking、Data Security)、Webフィルタリングなど詳細の設定が可能です。
もし信頼性の高いSaaSのみをローカルブレイクアウトする場合、インターネット全般の通信量が業務通信へ与えるリスクは取り除けません。下記、総務省のトラヒック統計では年間2割ずつ増えています。これに追いつくために、自社の通信回線や設備を毎年2割増強できるでしょうか?Forcepoint のようなセキュリティクラウドサービスを利用すれば、セキュリティを向上させながら、本社に集中していたインターネット通信を分散させることができます。
令和3年版情報通信白書 総務省(R3.2.5)「我が国のインターネットトラヒックの集計・試算」
テレワーク対策としてはSSL-VPNで十分
回答)SSL-VPNのみではでは不十分です。
テレワークではSSL-VPN用の自宅回線などからインターネットへ直接アクセス可能です。そのため自宅回線経由のセキュリティを確保しなければなりません。(社内サーバへのアクセスのためにSSL-VPNも必要です。)
IPA 情報セキュリティ白書 2021掲載の三菱重工業株式会社の事例では、自宅回線からの感染が原因となっています。これを防ぐためには、リモートワーク時の社用端末に対する対策が必須になります。
『在宅勤務時に従業員が社内ネットワークを経由せずに社有パソコンを外部ネットワークへ接続、SNS を利用した際に、ウイルスを含んだファイルをパソコンにダウンロードしたことで感染し、出社の際、このパソコンを社内ネットワークに接続したため、ネットワークを通じ感染が拡大した』
Forcepoint SWGのAgentでは自宅回線で接続されるインターネット通信の保護が可能です。社内VPNにつながなくとも、悪性サイトへのアクセス時、ファイルダウンロード時にセキュリティチェックが可能です。
悪性サイトのカテゴリについても、ギャンブル、麻薬などの業務に不必要と思われるカテゴリだけではなく、C&C、埋め込みリンク、マルウェアペイロードなどのセキュリティカテゴリが準備されています。
一部のエンドポイントソリューションでは操作ログでの事後対応は可能ですが、Forcepoint SWGではリアルタイムのWeb制御が可能となります。特にテレワーク中にセキュリティに対する意識が薄くなったタイミングでの不用意なURLクリック、悪性ファイルダウンロードなどを効果的に防御することが可能です。
ファイアウォールはすべてのプロトコルを検査可能。Webのプロトコルだけだと意味がない。
回答)Forcepoint SWGはWeb Proxyであり、対応しているのはHTTP/HTTPSのみですが、インシデントの大部分はWebから発生している状況においては、短期間に実装でき、意味のあるセキュリティ対策になり得ます。
下記図はJPCERT/CC インシデント報告対応レポートの2021年度1月~6月のインシデント内訳です。フィッシングサイト、Webサイト改ざん、マルウェアサイトで上位を占めます。Web Proxyは、これらのインシデントのうち8割以上を対策することができます。
JPCERT/CC インシデント報告対応レポート[2021年1月1日~2021年3月31日]
JPCERT/CC インシデント報告対応レポート[2021年4月1日~2021年6月30日]
https://www.jpcert.or.jp/ir/report.htmlより
フィッシングに関する2020年の報告件数は前年比4.3倍にまで増えており、早急に対策が必要です。
一部のファイアウォールでは通信を想定しないポートをブロックしていることが多いですが、HTTP/HTTPSのブロックはしていません。ファイアウォールのポート制御だけでは昨今のフィッシングサイトや改ざんされたサイトへのアクセスなどを防御することはできません。
また、Forcepoint SWGでは攻撃の各段階での防御が可能です。Forcepoint SWGにはHTTP/HTTPSのプロトコル制限がありますが、下記の図の通り、攻撃の各段階を広くカバーすることができます。攻撃シナリオでは、初期の潜入にはメールが使われることも多いのですが、①URLをクリックする際、②URLをクリックしてしまい不審なファイルをダウンロードする際、③マルウェアが攻撃者サーバと通信する際、④攻撃者サーバに情報が漏洩する際、それぞれにWebの防御が働きます。
日本ではZIP文化であるためDLPは流行らない。
回答)これまでは確かにそうでした。しかし、今後、脱ZIPの流れとともにDLPの有効性が増えます。
DLP(Data Loss Prevention)とは、情報漏えいやデータ損失から組織を保護するために、ファイルの中身をチェックしポリシーチェックを行うものです。(IPアドレスや、通信ポートのチェックではありません)
日本でDLPが流行ってこなかった理由の一つとして、ZIP文化があげられます。ZIPファイルは暗号化されて中身が解読できないため、セキュリティチェックができないことが原因です。ただしこの文化については廃止の方向で進んでいます。
<参考>平井内閣府特命担当大臣記者会見要旨 令和2年11月24日
そもそも海外では、ZIPファイルを添付したメールはメールセキュリティソフトでブロックする企業が多いです。それはZIPファイルを悪用したセキュリティ攻撃が良く行われているからです。以前、日本ではそのような攻撃は少なかったのですが、最近では日本でもZIPファイルを悪用化した攻撃が増えています。
<参考>2021年5月27日 IPA セキュリティセンター発行 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて より
今後、脱ZIPファイル運用となってくると、DLP本来のセキュリティチェックが日本でも有効的に活用されることになりそうです。
また、Forcepoint DLPはEmailチャネルだけを防ぐものではありません。例えばEmail以外にも、Web、CASB、リムーバルメディア、LAN、プリント、アプリケーションへのコピー&ペーストなど複数チャネルからの情報漏洩を防ぎます。特に、導入が容易なDLP Endpointでは、リモートワークでVPNに接続していないときでもEmail、Web、Cloud Service、リムーバルメディア、LANなど複数のチャネルへのデータ流出を止めることができます。
エンドポイント型アンチウィルスを導入しているので問題がない。
回答)エンドポイント型アンチウィルスのみで安心ではありません。攻撃過程における棲み分けが必要です。
上記IPAの資料によると、攻撃は侵入経路についてはネットワーク経由の侵入と、物理的侵入に分類されます。
侵入後は”内部侵攻”(マルウェア感染とプロセス不正実行)を経て、”目的遂行”(機能停止、情報窃取、情報改ざんなど)に至ります。
内部侵攻の防御については主にエンドポイント型アンチウィルスで防御されます。
物理的に侵入したユーザー(内部不正者)の不正/過失操作についてはForcepoint SWGにも含まれているURL Filter機能で防御されます。また、Forcepoint SWGにはゲートウェイ型アンチウィルス機能があります。つまり、侵入したマルウェアが外部と通信をしてしまう段階での防御も可能であり、目的遂行段階の防御も部分的に可能です。
最終段階の目的遂行ではDLPが防御を行います。エンドポイント型アンチウィルスだけの場合では、一度内部侵攻を許してしまうと情報窃取を食い止めることができず、事後の検知となってしまう可能があります。
(参考: IPA制御システムのセキュリティリスク分析ガイド第2版 表 4-29 セキュリティ対策項目一覧、表 4-33 脅威(攻撃手法)と技術的対策/物理的対策の候補一覧(1/3))
そして、侵入を防ぐことももちろん重要ですが、最後の目的遂行段階での防御が最重要です。目的遂行段階の情報窃取において、有用と呼ばれているものには権限管理、アクセス制御、データ暗号化、DLPがあります。権限管理、アクセス制御については、ユーザーが利用する範囲内の必要最小限の権限を与えることが望ましいとされていますが、現状としては一般ユーザーでも組織がもつ重要データへアクセスできてしまうのではないでしょうか。
DLPではデータそのものをブロックします。権限を偽装されても、マルウェアに侵入されても、内部不正をされても、最後の砦として情報窃取を見逃さないのがDLPの本質です。
さいごに
COVID-19の影響で、オフィスの中で働くことが主流であることを想定したネットワーク構成では無くなり、またセキュリティ攻撃が高度化し、インターネットが複雑化した現代において、境界型セキュリティ対策だけではセキュリティの侵害や、データの漏えい、データ消失は免れることはできません。SWGやDLPなどのデータセキュリティに特化したForcepointのソリューションは、働く人がどこにいても、脅威の侵入を防ぎ、攻撃の実行と攻撃後の対処を行うことができます。
現状のセキュリティ対策は、COVID-19以前のものになっていませんか?Forcepointを導入することで、大事なデータを守り、よりよいテレワーク環境やクラウドの活用を実現しましょう!
--------------------------------------------------------------------------------------------
弊社では、人とデータに焦点を当て、テレワーク環境のクラウドセキュリティ強化を実現するForcepoint製品を取り扱っています。
高度なリアルタイムの脅威防御でインターネット通信を守るWeb Security Cloud(SWG)、柔軟な接続方式を選べるCASB、端末からクラウドまで企業情報資産を保護するDLP、業界初のデータ中心型SASE ツールであるCloud Secure Gatewayなどがございますので、ご興味がありましたらお問い合わせください。
この記事に関するサービスのご紹介
Forcepoint ONE
Forcepointは、以下のソリューションコンセプトを掲げ、セキュリティをシンプルにすることで、管理者の運用負荷を下げ、ユーザーのビジネスを止めずに、内部不正や外部からのセキュリティ攻撃を阻止します。
詳細はこちら
