COVID-19で政府はVPNの代替手段を調査!BYODの必要性を理解

1年前、1ヶ月前でも連邦政府の職員や請負業者の一部だけがテレワークをしていました。現在、コロナウイルスのパンデミックの真っ只中にあって、管理予算局(OMB M:2016)から、テレワークを最大化し、省庁の使命を維持し、在宅勤務が可能なすべての職員と請負業者にテレワークを奨励するようにとの指令が出されています。これは、機関が迅速に対処しなければならないセキュリティとアクセスの課題を提示しています。以下に詳細を示した政府グレードのソリューションを提供しており、すでにいくつかの機関で導入されています。

大きな変革

連邦ネットワークに接続する労働者の数が急激に増加し、ほぼ一夜にして発生しました。これらの労働者の中には、少なくとも時折、または緊急の状況下では、テレワークを行うように規定されている者もいました。しかし、ほとんどの連邦政府機関では、天候に関連した長期的な閉鎖の下であっても、労働力の20%がリモートで接続していることが確認されています。現在、一部の機関では、従業員の80%以上が自宅からの接続を試みています。OMBの義務化により、これは増加し、当分の間は高い水準を維持することになるでしょう。多くの利用者にとって、正式にテレワークをできるようにするための規定はありませんでした。彼らは政府支給の機器(GFE)も、連邦政府のネットワーク、アプリケーション、リソースへの接続方法、サインオン、アクセス方法に関する適切な訓練も受けていません。彼らは、スマートフォンやタブレット、(たいてい)古い、メンテナンスの行き届いていないノートパソコンやデスクトップなど、自分のデバイスを使用していて、時代遅れのオペレーティングシステムやウイルス対策が施されています(あるいはウイルス対策が全く施されていない)。

ユーザーの個人的なデバイスから連邦ネットワークへの接続の津波は、いくつかのアクセスおよびセキュリティポリシーの緩和と他の回避をもたらしました。さらに、ユーザーが確立された仮想プライベート・ネットワーク(VPN)を介して政府のネットワークにアクセスしている場合でも、VPNはこのようなトラフィック量を受け入れるように設計されているわけではなく、また、BYOD(Bring your own device)や一般的なモバイル・デバイスのための追加のセキュリティ・コントロールを提供するように設計されているわけでもありませんでした。

リモートワーカーやネットワーク接続の増加により攻撃対象が拡大し、連邦政府機関や職員がこれまで以上にリスクにさらされるようになりました。これらの予期せぬ個人用デバイスは、適切な認証機能を欠いている可能性があり、多くは多要素認証情報や承認済みの派生認証情報を使用していない可能性があります。身元詐称、認証クレデンシャル(特にユーザーIDとパスワード)を捕捉して危険にさらすように設計されたフィッシング攻撃、悪意のあるコード、高度な永続的な脅威などが増加しています。そして、これらの脅威は、リモートワーカー、特にセキュリティプロセスや技術の経験が浅いリモートワーカーの量が増加しているため、成功する可能性が高くなっています。ここ数日の間に、米国保健福祉省に対する国民国家による攻撃の形で、誤情報を拡散し、米国の国民の間で恐怖と不確実性を増大させる攻撃が見られました。また、基本的な認証アクセスポータルに対するサービス拒否(DoS)、中間者攻撃(MITM)、ブルートフォース攻撃の増加も予想されます。

課題

連邦政府機関がネットワークとITリソースを保護しようとしている方法の1つは、ユーザーが機関のネットワークに接続するためにVPNと呼ばれる暗号化されたトンネルを使用することを要求することです。VPN には、リモートアクセス、サイト間接続、レイヤ 3 マルチプロトコル・ラベル・スイッチング (L3MPLS)、ダイナミック・マルチポイント VPN (DMVPN) など、いくつかの異なるタイプがありますが、エンドツーエンドの通信を暗号化して安全にするという共通の目的と、いくつかの共通の制限事項があります。1つは、VPNはクライアントからサーバへの暗号化のみを提供しています。したがって、VPNサーバがネットワークエッジ上にある場合、VPNは実際のリソースへのラストマイルを確保していません。ほぼすべてのVPNは、デバイスワイド(通常はIKEv2)、常時オン(通常はIKEv2ですが、SSL VPNの可能性もあります)、オンデマンド、またはアプリごとなど、異なるモードで動作することができます。アプリケーションごとのモードは、設定されたアプリケーションが起動されたときにのみ開始され、そのアプリケーションのトラフィックのみが暗号化されたトンネルを通過します。その結果、常時接続の VPN よりもバッテリの消耗が少なくなりますが、保護されるトラフィックについては非常に限定的です。一般的に、ほとんどのVPNゲートウェイは5つの接続を同時に終了させることができ、指定されたアプリのトラフィックだけがゲートウェイへのトンネルを通過することができ、他の悪意のあるアプリが企業ネットワークに転送されるのを防ぐことができます。テレワーカーのユーザーのケースでは、リモートアクセスVPNが最も適しています。従来の企業ネットワークVPNは、コストが高く、実装に時間がかかります。企業ネットワークのエッジで終了するため、許可される同時接続数に制限があり、ライセンス・キーによって制限されています。これらのVPNは、ネットワーク管理者が適切な終端点を設定し、実装するために多大な時間と労力を必要とします。また、連邦政府機関はフルトンネルを実装し、通常はスプリットトンネルを明示的に禁止しており、それによってすべてのデバイスをVPN終端ゲートウェイに強制的に接続しています。

さらに、VPN ライセンスは高価であり、ユーザーの数や 1 日の接続時間の劇的な増加に対応するために動的に拡張できないことがよくあります。多くの連邦政府機関は、このような従来型の企業のネットワーク VPN に依存し続けています。連邦政府のIT近代化の取り組みにより、一部の機関ではアプリごとのVPNソリューションを採用しています。これは、VPN トンネルの起点と終点をより細かく制御し、クライアントと VPN サーバ間で最初にネゴシエートされる TLS 1.2 と 1.3 プロトコルの暗号化スイートを優先するなど、より強力な暗号化を提供し、追加機能を提供します。しかし、ネットワーク管理者が必要なメンテナンスやアップグレードを提供したり、VPNゲートウェイの設定を設定したり、暗号化や必要な証明書を管理したりするための努力に、帯域幅の制約やライセンスコスト、複雑さも加わります。

ほぼすべてのケースで、これらのVPNはモバイルデバイスやモバイルデバイスのトラフィックを想定して設計されていませんでした。企業のVPNは、モバイルデバイスにセキュリティポリシーを適用したり、モバイルデバイスが確立されたベースライン要件に準拠しているかどうかを評価したりする機能を持っていません。

私たちが提供しているものは、他とは違った、より効果的なものです。

Tunnelと呼ばれる統合されたVPNコンポーネントを活用しており、ネイティブ・オペレーティング・システムと組み合わせて使用することで、アプリケーションを起動してアクセスを許可する前に、デバイスの準拠状態を検証することができる、安静時のデータ・セキュリティとサイバーセキュリティ・ポリシーの施行を実現します。デバイスがジェイルブレイクされているかどうか、OSが現在のものであるかどうか、デバイスが認可された(または認可されていない/公共の)Wi-Fiネットワーク上にあるかどうか、アプリケーションが認可されていて信頼できるアプリストアからのものであるかどうか、悪意のある脅威やアプリを検出して修復するモバイル脅威防御ソリューションによってデバイスが現在保護されているかどうかを判断することができます。さらに、ユーザー、デバイス、クレデンシャルの多要素認証と文脈認識を強化し、これらすべてがゼロサインオンのアクセス制御の一部となります。

Tunnelを使用すると、機関は、社内およびサードパーティのアプリを含むあらゆるビジネスアプリが、安全なネットワーク接続を使用して、企業ネットワーク、イントラネット、またはSaaSベースのリソースにアクセスできるようになります。アプリVPNは、連邦政府のデータが常に安全であることを保証するために、携帯電話ネットワークを含むあらゆるネットワーク上で確立することができます。Tunnelはまた、高度なクローズドループコンプライアンスエンジンを活用して、コンプライアンスに準拠していないデバイスが機関の機密データにアクセスできないようにしています。

さらに、Tunnelは、ユーザーが追加のステップを踏む必要なく、オンデマンドまたは常時アプリのVPN接続を確立することで、ユーザー体験を大幅に向上させます。IT管理者は、UEM内からこれらのタイプのVPNを設定することができ、管理されたデバイスはシームレスに更新されます。個人的なアプリや悪質なアプリはブロックされるため、適切なデータのみがTunnelを通過するようになり、政府のデータとユーザーのプライバシーをより強力に保護します。

2019年10月、DHSの一部門であるCISA(Cybersecurity and Infrastructure Security Agency)のBranko Bokan氏は、「モバイル脅威アクションに対して最大のカバレッジを提供するために、組織は、スタンドアロン製品のシリーズとしてではなく、統合されたソリューションとして、Enterprise Mobility Management(EMM)、Mobile Threat Defense(MTD)、Mobile App Vetting(MAV)の機能を一緒に展開する必要がある 」と述べています。

まとめ

最近のCOVID-19の「在宅勤務」義務化や、今日のデジタルワークプレイスで可能になったフレキシブルワークの魅力など、パンデミックを煽った指令によって駆動されるかどうかにかかわらず、企業組織は今後も従業員のリモートワークを可能にしていくと思われます。Zoomの企業コミュニケーション・プラットフォームは、これを実現するのに役立ちます。Zoom-bombing の最近の事例は、セキュリティ上の課題に光を当てるのに役立ちましたが、Zoom は、それらの課題に正面から取り組むために是正措置を講じました。お客様として、リモートワーカーのための組織のセキュリティ態勢をさらに強化するために、貴社が取ることのできる多くの追加のステップがあります。

 

コメント

タイトルとURLをコピーしました