)
)
紹介
リモートおよびハイブリッドワークにより、ビジネスアクセスは企業ネットワークを超えて拡大しました。従業員は現在、管理されたデバイスや個人のデバイスを通じて、自宅、顧客のサイト、公共ネットワークから接続しています。ITチームは、従業員が安全でないショートカットやサポートされていないツールに頼ることなく、承認されたアクセスを難しくしないように、この広範な環境を保護しなければなりません。
リモートワークフォースセキュリティとは何ですか?
リモートワークフォースのセキュリティは、中央管理されたオフィスネットワークの外部で組織のリソースにアクセスする人々を保護するために使用されるポリシー、プロセス、および技術的コントロールの組み合わせです。
その人々は、従業員、契約者、管理者、マネージドサービスプロバイダー、またはその他の認可された第三者である可能性があります。彼らは、ある日は自宅オフィスから、次の日は顧客のサイトから接続することがあり、時には会社のコンピュータを使用し、時には個人のデバイスを使用することがあります。
その活動を確保することは、ネットワーク接続の暗号化以上のことを含みます。実際には、ITチームは完全なアクセスチェーンを保護しています。
ユーザーの識別 → エンドポイントデバイス → ネットワーク接続 → リモートアクセスプラットフォーム → アプリケーション → データ
リモートワークフォースのセキュリティに層が必要な理由
どの段階での弱点も、それに関するコントロールを損なう可能性があります。多要素認証はパスワードの盗難リスクを減少させることができますが、パッチが適用されていないコンピュータからマルウェアを除去することはできません。暗号化はトラフィックの傍受から保護することができますが、過剰な権限を持つアカウントがユーザーが必要としないファイルを開くのを防ぐことはできません。
リモートワークフォースのセキュリティは、したがって層状システムとして最も効果的です。アイデンティティ保護、エンドポイント管理、制御されたアクセス、制限された権限、監視および回復はすべて相互にサポートする必要があります。
リモートワークフォースセキュリティは何をカバーしていますか?
リモートワークフォースのセキュリティの範囲は、従業員が使用するラップトップや接続を受け入れるゲートウェイよりも広いです。それは、ビジネスリソースにアクセスし、使用し、管理するために関与するすべてのコンポーネントを含みます。
システム、アプリケーション、データ
リモートユーザーは次のアクセスが必要な場合があります:
- 内部ビジネスアプリケーション
- Windowsデスクトップとサーバー
- ファイル共有とデータベース
- クラウドおよびサービスとしてのソフトウェアプラットフォーム
- メールおよびコラボレーションツール
- 開発および生産環境
- 管理インターフェース
- バックアップと復旧インフラストラクチャ
これらのリソースは同じレベルのリスクを伴うわけではありません。一般的な会社ポータルを開くことは、プロダクションサーバーを管理したり、顧客記録をダウンロードしたりすることとは大きく異なります。リモートワークフォースのセキュリティは、すべてのシステムに同じポリシーを適用するのではなく、これらの違いを反映するべきです。
デバイスとリモートセッション
リモートワークに使用されるデバイスもセキュリティ境界の一部です。企業管理のコンピュータは、パッチ適用、暗号化、エンドポイント保護のために中央で強制されるポリシーに従うことができます。個人のデバイスは制御が難しいため、ブラウザベースのアクセス、アプリケーションの隔離、またはより厳しい制限が必要になる場合があります。
リモートセッションも注意が必要です。クリップボードアクセス、ファイル転送、ローカルドライブのマッピング、プリンタのリダイレクト、USB接続は正当な作業をサポートできます。同時に、各機能はデータ漏洩やマルウェア転送のルートを提供する可能性があります。ITチームは、各ユーザーグループが本当に必要とする機能を決定すべきです。
運用プロセス
リモートセキュリティは、定期的な管理にも依存しています。アカウントのプロビジョニング、権限のレビュー、契約者のオフボーディング、パッチ管理、バックアップテストは、環境の安全性に直接影響を与えます。
忘れられた契約者アカウントやパッチが適用されていないゲートウェイは、その他の適切に設計されたアーキテクチャを弱体化させる可能性があります。リモートワークフォースのセキュリティは、したがって、時間の経過とともに技術的コントロールを正確に保つプロセスを含む必要があります。
リモートワークはなぜセキュリティモデルを変えるのか?
従来の企業セキュリティは、ユーザーが会社の敷地内で働き、組織が管理するデバイスを使用し、保護された内部ネットワークを介して接続することを前提としていました。ファイアウォールやその他の周辺制御は、信頼できるリソースを公共のインターネットから分離していました。
リモートワークはその境界をあいまいにします。従業員はITが検査できない消費者ルーターを通じて接続することができ、契約者は中央集権的なエンドポイント保護なしで個人用コンピューターを使用することがあります。管理者はまた、未知のユーザーと共有されたネットワークから重要なシステムにアクセスする必要があるかもしれません。
リモートアクセスサービスやビジネスアプリケーションは、インターネットからもアクセス可能です。これにより、攻撃者はサービスをスキャンし、認証情報をテストし、パッチが適用されていないインフラストラクチャを標的にする機会が増えます。
セキュリティチームは、アクセスを許可する前により多くのコンテキストが必要です。アイデンティティ、認証の強度、デバイスの状態、場所、ユーザーの役割、接続時間、要求されたリソースはすべて重要です。ユーザーが正しいパスワードを入力したり、馴染みのあるネットワークから接続したからといって、接続を単純に信頼すべきではありません。
リモートワークフォースの主なセキュリティリスクは何ですか?
リモートワークは、いくつかの馴染みのある脅威への露出を増加させます。これらのリスクは孤立して残ることはほとんどなく、1つの侵害されたパスワードやエンドポイントが迅速により広範なアクセスにつながる可能性があります。
侵害された資格情報と認証攻撃
フィッシング、パスワードの使い回し、インフォステーラー型マルウェア、そして資格情報の詰め込みは、攻撃者に有効なユーザー名とパスワードを与える可能性があります。一度認証されると、攻撃者はアプリケーションを開いたり、リモートセッションを確立したり、より高い権限を探したりすることができます。
インターネット向けのログインサービスも引き付けます ブルートフォース攻撃とパスワードスプレー攻撃 リモートデスクトッププロトコルサービス、ウェブポータル、仮想プライベートネットワークゲートウェイおよび管理インターフェースは一般的な標的です。
多要素認証、パスワードマネージャー、レート制限、異常ログイン検出により、これらの攻撃を完了させることが難しくなります。目的は、パスワードを保護するだけでなく、有効な認証情報が異常に使用されているときに認識することです。
公開されたリモートデスクトップサービス
リモートデスクトッププロトコルは、Windowsシステムにアクセスするための標準的な方法ですが RDPホストを直接パブリックインターネットに公開すること 回避可能なリスクを生み出します。攻撃者は到達可能なシステムを見つけ、資格情報をテストし、周囲のインフラストラクチャの弱点を標的にすることができます。
リモートデスクトップ接続は通常、安全なゲートウェイ、ブローカー、またはアプリケーション公開レイヤーを通過する必要があります。これにより、セッションホストが直接インターネットにさらされることを防ぎ、管理者に認証、アクセスポリシー、およびログ記録を強制するための中央の場所を提供します。
管理されていないデバイスとマルウェア
従業員に柔軟性を与えるBYODポリシーですが、組織のエンドポイント設定に対する制御を低下させます。個人のデバイスは、最新のアップデート、フルディスク暗号化、エンドポイント検出、または安全なブラウザ設定が欠けている可能性があります。
リモートエンドポイントは、悪意のある添付ファイル、偽の更新、不安全な拡張機能、または無許可のソフトウェアを通じても侵害される可能性があります。マルウェアがデバイスやセッションに到達すると、資格情報、共有フォルダー、マッピングされたドライブ、接続されたサーバーを標的にする可能性があります。
組織は、管理されていないデバイスがアクセスできるリソースを決定する必要があります。機密の管理システムや生産システムは、デバイスが定義されたセキュリティ要件を満たせない場合は利用できない状態にしておくべきです。
過剰な権限と横移動
リモートアクセスは必要以上に広範囲であることがよくあります。契約者はプロジェクト終了後も権限を保持する場合があります。標準ユーザーはローカル管理者権限を保持することがあり、サポートチームは共有された特権アカウントに依存することがあります。
アカウントが1つ侵害されると、過剰な権限により攻撃者は探索するシステムが増え、アクセスできるデータも増えます。アクセスはユーザーの実際の役割を反映するべきです。
1つの公開アプリケーションが必要な人は、自動的に完全なデスクトップや広範なネットワーク接続を受け取るべきではありません。セグメンテーションは、侵害されたセッションがバックアップシステム、ドメインコントローラー、または無関係な生産リソースに到達するのを防ぐべきです。
シャドウITとデータ漏洩
従業員は、承認されたプロセスが遅すぎるか制限が厳しすぎるため、安全でないツールを採用することがあります。彼らは個人のメール、消費者向けストレージサービス、または承認されていないリモートアクセスアプリケーションを使用することがあります。
これらのツールをブロックすることは答えの一部に過ぎません。ITチームは、従業員がそれらを使用している理由を理解する必要があります。信頼できるブラウザポータルやアプリケーション配信サービスは、別のポリシー警告よりもワークフローの問題をより効果的に解決するかもしれません。
許可されたクリップボードアクセス、ドライブマッピングおよびファイル転送設定は、同様の懸念を引き起こす可能性があります。これらの機能は作業を容易にするかもしれませんが、管理されたシステムの外に機密データを移動させる可能性もあります。
セッションの露出と制限された可視性
認証はリモートセッションの始まりに過ぎません。ユーザーはデバイスのロックを解除したままにしたり、ブラウザトークンをアクティブに保ったり、機密システムからの切断を忘れたりすることがあります。
アイドルタイムアウト、自動ロック、再認証は、このリスクを軽減できます。管理者、契約者、機密情報を扱うユーザーには、より厳格なポリシーが適切かもしれません。
ITチームは、何が起こっているのかを把握できる必要があります。リモートアクティビティは、しばしばアイデンティティプラットフォーム、エンドポイント、ゲートウェイ、アプリケーション、サーバーに分散しています。ログが断片化したままだと、疑わしいイベントを関連付けるのが難しく、インシデントの調査に時間がかかります。
リモートワークフォース保護の7つの層とは何ですか?
個々の製品だけでは分散した労働力を保護することはできません。効果的な保護は、妥協の可能性を減らし、その影響を制限し、回復をサポートするいくつかの層から得られます。
アイデンティティと認証を強化する
アイデンティティはリモート環境における主要なセキュリティ境界の一つです。多要素認証はリモートデスクトップ、VPN接続、クラウドアプリケーション、管理アカウントおよびその他の機密操作を保護する必要があります。
可能な限り、組織はフィッシング耐性のある方法を採用すべきです。アプリケーションベースの認証は、SMSコードのみに依存するよりも一般的に好ましいですが、選択は既存のシステムに依存します。
サウンドアイデンティティのベースラインには以下が含まれます:
- 各ユーザーのためのユニークなアカウント
- 標準管理者と特権管理者のアイデンティティを分離する
- 契約者アクセスの定義された有効期限
- 休眠アカウントの自動無効化
- 定期的な権限およびグループメンバーシップのレビュー
認証監視はもう一つの層を追加します。繰り返しの失敗、予期しないデバイスの登録、または異常な場所からのアクセスは、正しいパスワードが使用されている場合でも攻撃を明らかにする可能性があります。
最小特権アクセスを適用
リモートユーザーは、作業に必要なシステムとアプリケーションのみを受け取るべきです。広範なネットワークアクセスは構成が簡単かもしれませんが、侵害されたアカウントを攻撃者にとってはるかに有用にします。
役割ベースのアクセス制御は、権限を職務責任に合わせるのに役立ちます。時間制限のある管理および承認ワークフローは、恒久的な特権アカウントの数をさらに減らすことができます。
Windows環境は、管理者に完全なデスクトップを提供するか、特定のアプリケーションを公開するかの選択肢を与えます。ユーザーがビジネスツールを1つまたは2つだけ必要とする場合、アプリケーションの公開は不要な露出を減らし、体験を親しみやすく保つことができます。
最小特権は実用的であるべきです。過度に制限された権限はサポートの問題を引き起こし、回避策を促す可能性があります。目的は、役割に対して十分なアクセスを提供することですが、それ以上は必要ありません。
エンドポイントを強化し管理する
すべてのリモートデバイスは潜在的な侵入ポイントであるため、企業が管理するエンドポイントには一貫したセキュリティのベースラインが必要です。最低限、これには以下が含まれるべきです:
- 自動化されたオペレーティングシステムとアプリケーションの更新
- エンドポイント検出とマルウェア対策
- フルディスク暗号化とホストベースのファイアウォールルール
- 画面ロックと制限されたローカル管理者権限
- ブラウザ、拡張機能およびアプリケーションの制御
- デバイス在庫と中央テレメトリー
報告を停止したコンピュータ、重要な更新を見逃したコンピュータ、またはセキュリティエージェントを無効にしたコンピュータは、準拠したデバイスと同じアクセスを受け続けるべきではありません。
個人デバイスには異なるアプローチが必要です。モバイルデバイス管理、ブラウザベースのアクセス、アプリケーションコンテナ、および公開アプリケーションは、ITがデバイスのすべての側面を管理することなく、ローカルに保存されるビジネスデータの量を減らすことができます。
リモートアクセスパスを保護する
リモート接続には最新の暗号化、強力な認証、および厳密に定義されたアクセスルールが必要です。 セッションホストと管理インターフェースは、明確な運用上の理由がない限り、公共のインターネットに公開されるべきではありません。
ゲートウェイまたはブローカーは、リモートデスクトップやアプリケーションへのアクセスを集中管理できます。これにより、管理者は権限を強制し、接続を監視し、内部セッションホストを直接露出から守るための一元的な場所を持つことができます。
公開向けコンポーネントは引き続き慎重なメンテナンスが必要です。未使用のポートは閉じるべきであり、サポートされていないプロトコルは無効にし、ゲートウェイは迅速にパッチを適用する必要があります。デフォルトアカウントや古くなったサービスは、便利さのためにそのままにするのではなく、削除すべきです。
地理的およびIPベースの制限は不要なトラフィックを減少させることができますが、それは認証を置き換えるのではなく、補完するべきです。攻撃者は許可された地域のプロキシ、クラウドサービス、または侵害されたシステムを通じて活動をルーティングすることができます。
セグメントシステムとデータ保護
成功したリモートログインは、内部ネットワーク全体を開かないようにするべきです。セグメンテーションは、一般的なリモートユーザーを管理者、契約者、製造システム、バックアップインフラストラクチャ、およびその他の機密環境から分離する必要があります。
その領域間のルールは、実際のビジネス要件を反映するべきです。財務アプリケーションが必要なユーザーは、自動的に開発サーバーや管理インターフェースへのネットワーク可視性を得るべきではありません。
アプリケーションは、役割ベースの認証、セッションタイムアウト、監査ログ、およびデータエクスポートの制限も必要です。暗号化は、移動中および静止中の情報を保護しますが、権限は依然として誰がそれを使用できるかを決定します。
リモートセッションの設定は役割によって異なるべきです。クリップボードの共有やローカルドライブへのアクセスは、あるチームには必要ですが、別のチームには不適切かもしれません。すべてのユーザーに対して一つの寛容なポリシーを適用する方が管理は容易ですが、実際のリスクを反映することはほとんどありません。
スタック全体をパッチ適用および監視する
エンドポイントのパッチ適用は重要ですが、リモートアクセスはより広範な技術スタックに依存しています。ゲートウェイ、ブローカー、リモートデスクトップホスト、VPNインフラストラクチャ、ファイアウォール、アイデンティティサービス、ウェブポータル、ブラウザ、セキュリティエージェントはすべて更新が必要です。
インターネットに面した認証関連の脆弱性は、攻撃者が内部ネットワークに入ることなくターゲットにできるため、優先的に対処する必要があります。サポートされていない製品は、アップグレード、隔離、または交換する必要があります。
監視は、管理者が行動を起こすのに役立つイベントに焦点を当てるべきです。
- 認証の失敗が繰り返される
- 新しい管理者アカウントまたは特権の変更
- 通常の勤務時間外のアクセス
- 無効なエンドポイントまたはセキュリティサービス
- 異常なファイルの変更またはデータ転送
- 不明なデバイスや場所からの接続
アラートの質も重要です。管理者は、アカウント、ソースデバイス、IPアドレス、時間、場所、および要求されたリソースが必要であり、単にログインが疑わしいというメッセージだけでは不十分です。
回復の準備とユーザーのトレーニング
予防的な対策はリスクを軽減しますが、事件が決して発生しないことを保証することはできません。 バックアップは、別の管理者資格情報を使用し、標準ユーザーアカウントから隔離されている必要があります。 それらはまた、暗号化され、監視され、定期的にテストされるべきです。
リカバリーテストは、サンプルファイルの復元を超える必要があります。ITチームは、組織のリカバリー目標内でアイデンティティサービス、リモートアクセスインフラストラクチャ、および重要なアプリケーションサーバーを再構築できることを確認する必要があります。
従業員はセキュリティにおいても実践的な役割を果たしています。彼らはフィッシングの試みを認識し、認証デバイスを保護し、予期しないプロンプトを報告し、確認されたチャネルを通じてITに連絡する方法を知っている必要があります。
トレーニングは短く、日常的に使用するツールに関連していると最も効果的です。従業員は、承認されたリモートアクセスが明確で信頼でき、適度に使いやすい場合、セキュリティポリシーに従う可能性が高くなります。
リモートワークフォースのセキュリティ戦略を構築する方法は?
リモートワークフォースのセキュリティプログラムは、制御された順序で開発されるべきです。ユーザー、システム、リスクを最初に理解せずに無関係な製品を追加すると、一貫した保護を生み出すことなく、しばしばより多くの複雑さを生み出します。
環境の在庫
リモートで接続する人を特定し、使用するデバイスと必要なリソースを確認します。従業員、管理者、契約者、サービスプロバイダー、およびその他の第三者を含めます。
在庫は、対外サービス、特権アカウント、機密データストア、およびサポートされていないシステムも記録する必要があります。未知の資産や忘れられたアカウントは、信頼性を持って管理することはできません。
リスクによるアクセスの分類
すべてのリモート接続が同じ保護を必要とするわけではありません。運用サーバーへの管理アクセスは、一般的な内部ポータルへのアクセスとは異なる影響を持ちます。
リスク分類は、ユーザーの権限、デバイスの所有権、データの機密性、インターネットへの露出、およびリソースのビジネス的重要性を考慮する必要があります。これらの要因は、どの接続に対してより強力な認証、管理されたデバイス、またはより詳細な監視が必要かを判断するのに役立ちます。
強制可能なポリシーを定義する
The リモートアクセスポリシー 接続方法が承認されていること、デバイスが満たすべき基準、そして多要素認証が必要な場合について説明する必要があります。また、個人デバイス、データ処理、ログ記録、契約者のオフボーディング、および例外承認についてもカバーする必要があります。
技術がポリシーを強制する際、より信頼性が高まります。文書化されたルールは、ユーザーに個人デバイスから本番システムにアクセスしないように指示するかもしれませんが、接続をブロックするアクセス制御は、より強力な保護を提供します。
最も高いリスクを最初に対処する
最初の実装は、集中したシーケンスに従うことができます。
- 不要なインターネット向けサービスを削除してください。
- リモートアクセスを多要素認証で保護します。
- ゲートウェイとサーバーのパッチを適用します。
- 共有されている、休眠中の、過剰な権限を持つアカウントを排除します。
- エンドポイント保護とデバイスコンプライアンス管理を展開します。
- 敏感なシステムからリモートユーザーを分離します。
- ログを集中管理し、バックアップの復元をテストします。
このシーケンスは、より詳細な改善に向かう前に、環境への一般的なパスを扱います。
テストと改善コントロール
新しいコントロールは、代表的なユーザー、デバイス、場所、アプリケーションでテストされるべきです。高遅延接続、アクセシビリティ要件、緊急アクセスシナリオは、ラボテストでは見逃される問題を明らかにする可能性があります。
組織は、その後、マルチファクター認証のカバレッジ、パッチの遵守、公開露出、特権アカウント番号、アラート調査時間、バックアップ復元の成功など、役立つ指標の小さなセットを追跡できます。
これらの測定値は、リスクが低下しているかどうかを示すべきであり、単にセキュリティチームがより多くのタスクを実行しているかどうかを示すべきではありません。
TSplus Advanced Securityはリモートアクセス保護をどのようにサポートしますか?
TSplus Advanced Security Windows Serverおよびリモートデスクトップ環境に集中した保護層を追加します。これは、管理者が集中管理インターフェースを通じて一般的なリモートアクセスの脅威に対処するのを助けることによって、アイデンティティ管理、エンドポイント保護、バックアップを補完することができます。
主な機能には以下が含まれます:
- ブルートフォース保護と悪意のあるIPアドレスのブロック
- 地理的制限と信頼できるデバイスの制御
- 異なるユーザーとグループのためのセキュアセッションポリシー
- Ransomware protection
- 中央集権的なセキュリティイベントとアラート
これらの機能は、管理者が露出を減らし、一貫したアクセス制限を適用し、疑わしい行動を早期に特定するのに役立ちます。特に、Windowsサーバーとリモートデスクトップサービスが分散した従業員や外部ユーザーをサポートする場合に関連性があります。
TSplus Advanced Security より広範なアーキテクチャの一部として残ります。組織は依然として多要素認証、タイムリーなパッチ適用、最小特権の権限、エンドポイント保護、セグメンテーション、テスト済みの回復が必要です。
結論
リモートワークフォースのセキュリティは、いくつかのコントロールが連携して機能することに依存しています。強力なアイデンティティ、管理されたエンドポイント、制限されたアクセス、露出の軽減、有用な監視、テストされた回復が同じ環境の異なる部分を保護します。最も持続可能な戦略は、承認されたリモートアクセスを従業員、管理者、外部ユーザーにとって明確で実用的に保つことでもあります。
)
)
)
