VPN + PKI =リモートワーカーを保護するアクセスを実現するソリューション

リモートで作業する際に、通常どおりビジネスを継続するためより多くの従業員が企業のプライベートネットワークにアクセスする必要があります。リモートワーカーの接続を維持すると同時に、ネットワークアクセスの保護と制御も重要です。さらに、組織のVPNの使用が増加するにつれて、攻撃の防止方法やVPNの利用監視ポリシーなど、脅威の多様化も考慮する必要があります。PKI( 公開鍵基盤 )はモバイルワーカーをサポートしつつ、仮想ネットワークアクセスを制御する素晴らしいオプションです。

VPNとは何か

よく知られたことですが、仮想プライベートネットワーク(VPN)は高度な暗号プロトコルを使用し、インターネットプロトコル( IP )アドレスをマスクして、プライバシーとセキュリティを強化します。VPNを使用すると、インターネット経由で別のネットワークに安全に接続できます。そのため、デバイスは、プライベートネットワークに直接接続されているかのように、パブリックネットワークを介してデータを送受信できます。基本的にVPNを使用すると、自宅のコンピューターもまるでオフィスに接続されているかのように動作できます。

VPNは盗聴や中間者攻撃を防ぐことができるため、組織を保護できます。DigiCertがTechRepublic Japanに寄稿した「仕事用PCだけを使う、家族に使わせない–在宅勤務を安全にするための9つ」ブログで述べたように、リモートで接続して会社の情報資産にアクセスする場合はVPNを使用する必要があります。

VPNによるリモートアクセス

ネットワークへのアクセスを許可された人のみがログインできるようにしたい。これは、人々がリモートでログインしている状況では特に重要です。数年前までは、VPNアクセスの標準はユーザー名とパスワードでしたが、ハッカーにとってこれはあまりにも簡単な攻撃対象でした。今日では、VPNアクセスを安全に保つために、多要素認証または強力な認証が必要になります。PKI( 公開鍵基盤 )を、パスワードに加えるというのは、強力なセキュリティ、制御された管理、ユーザーが簡単に利用できる点で適切な選択肢です。

デジタル証明書による多要素認証が有利であることを証明する私のお気に入りの例は、「飛行機テスト」と呼んでいるものです。旅客機に搭乗してから企業のVPNにアクセスしようとすると、モバイルデバイスに送信される応答が必要ですが、私のモバイルデバイスは上空9,000メートルで接続できません。そのため、ネットワークに接続することはかないません。このシナリオは、飛行機外でも他の方法で実行可能で、ネットワークへの多要素アクセスのユーザビリティの大きな課題です。対照的に、同じシナリオでも、デジタル証明書を使用した暗号学的に強力な2要素認証は、飛行機からでも機能します。

PKIソリューション

PKIのデジタル証明書は、推測しうるパスワードとは異なります。暗号で保護され、ユーザーを認証して、その提示した証明書が組織(または発行元の信頼できるリソース)からのものであることを確認できます。さらに、 PKI証明書はより詳細な制御を提供します。アクセス権はいつでも取り消すことができ、有効期限を設定できます。これにより、従業員が退職した場合、すぐに従業員のアクセスを制御できます。PKIソリューションは、MDMのような証明書配布ソリューションと組み合わせることで、強力なセキュリティを維持しつつ、使い易さもエンドユーザーに提供します。

VPNに関するベストプラクティス

組織にとって、VPNは共有された限りのあるリソースです。そのため、VPNを常にログオンしたままにしないでください。VPNを利用し続けるセキュリティの問題が発生することはありませんが、一度に多くの人がVPNを使用すると、ネットワークの速度が低下する可能性があります。VPNは帯域を大量に消費します。使用するほど、他のユーザーの帯域幅は減少し、使用量の増加に合わせて拡張するために企業が用意する必要のあるインフラも増加します。これは、スケーラビリティを確保するためでも、リソース利用と支出増加の悪循環の例と言えます。

DigiCertの場合、VPNを常に監視して、効率的に機能するようにしています。ただ、全ての組織でそのように常に監視するためのリソースや必要性がないかもしれませんが、少なくともVPNを保護するために企業ポリシーを実装する必要があります。たとえば、VPNを必要な業務活動にのみ使用するように従業員に奨励する必要があります。

VPN利用マナー

次の目的で企業VPNを使用しないでください。

  • ストリーミングサービス(Netflix、Spotify、YouTube、Twitchなど)
  • 仕事外のWebの閲覧
  • VPN経由のアプリケーションへのアクセスを必要としないズーム会議
  • 大きなファイルのダウンロード/アップロード
  • ソフトウェア更新

組織のVPNの使用例をリストアップし、従業員にそれを正式なルールとして指示します。帯域が足りなくなっていることに気付いた場合、ネットワークへアクセスできるものを制御できます。たとえば、帯域の90%がNetflixに使用されている場合、それをブロックできます。

結局のところ、VPNは組織にとって便利なツールですが、ネットワークにアクセスしようと狙っている攻撃者に対して脆弱にならないように、保護・制御する必要があります。安全に保つための最良の方法は、PKI証明書とパスワードといった多要素認証を使用することです。また、従業員を教育し、正常に稼働し続けるためのポリシーを実装することで、その使用を保護する必要があります。

Posted in ネットワークセキュリティ, ベストプラクティス, 安全なリモートワーク