テレワーク環境での端末セキュリティ対策で考えるべきこと

khayakawa — Tue, 17 Jan 2023 04:58:48 GMT

　テレワーク環境のためにVPNやSWG、SASEやIAPなどのソリューションの検討が増加しています。これらの多くの検討ポイントは、CASB機能と内部アクセスであることが多いですが、テレワーク環境＝自宅などでのインターネット環境に端末を接続してネットワークを利用しますので、そもそもCASBだけではなく、端末をマルウェア感染や不正アクセスを受けない状態を維持することが重要です。

　もしテレワーク環境で端末に潜伏型マルウェアが感染した場合、VPN経由での内部への不正アクセスや、その端末を社内や内部ネットワークに接続することで、ラテラルムーブメント(横感染)して、内部にもマルウェア感染が拡大してしまいます。

　従いまして、組織が支給している業務用端末をテレワークで利用する場合、とにかく不要なネットワーク利用をさせないようにする措置が重要だと言えます。もし自宅から業務時間外に私的な目的でインターネットアクセスしてしまうと、そこでマルウェア感染してしまいますし、個人のクラウドのメールサービスでメール受信することで、マルウェア感染してしまうリスクがあります。

　昨今SWGやIAPなどのプロキシ型のソリューションは、端末にエージェントのインストールが不要であり、フルトンネル型のソリューションよりも負荷が軽い(?)などということを言われるケースもありますが、エージェントがなければ、端末のネットワーク利用に関する制御やプロキシ経由以外の通信の可視化や制御が全くできず、テレワーク環境での利用はリスクが高いと言わざるを得ません。

　これらの課題を解決するためには、以下の点や機能が重要ポイントだと考えられます。

自宅などでテレワークをする場合や、利用者にVPN接続操作などをさせず常に自動的にVPN接続(フルトンネル)する
自宅でのVPNし忘れ防止や、意図して私的に直接的なインターネット利用を防止
テレワーク時はVPN接続を必須とし、手動でのVPN切断を不可とし、直接インターネットアクセスやその他ネットワーク利用を禁止する
VPN切断し直接インターネットアクセスは非常に危険ですし、自宅のプリンターでの印刷や自宅にサーバーがある場合、そのサーバーへの大量のデータ転送も容易に行えてしまいます

　また、内部とテレワークの兼用のモバイル端末の場合、さらに以下の要件も有用です。

ノートPCなどのモバイル端末を内部ネットワークに接続した場合には、自動的にVPN接続しない
内部ネットワークではVPN接続は一般的に不要です（※内部ネットワークからもPrisma Access/モバイル接続利用（=VPN接続あり)で導入ケースもあります。その場合には内部ホスト検知機能の利用はありません）

　上述するソリューションを提供するのが、安全なテレワーク環境を実現するGlobalProtectエージェントです。GlobalProtectエージェントは、PAシリーズのGlobalProtectとSASE/Prisma Accessの共通のアプリケーションであり、VPN接続を行うだけではなく、様々な認証機能や端末のネットワーク利用に関する制御、端末の状態の検査に伴うポリシー制御を実現するものです。

　以下にGlobalProtectエージェントが提供する有用な機能をご紹介します。

WindowsログオンとVPN接続時の認証動作
- 利用者にVPN接続操作をさせないAlwaysON
  - 内部ネットワーク以外(=外部ネットワーク)のインターネット環境で自動的にVPN接続
  - 内部ネットワークにて、内部ゲートウェイが存在する場合にはユーザ認証およびHIP/検疫機能
- テレワーク/リモートワーク環境でもActiveDirectoryのドメインログオンを可能とするPre-logon機能
- Windowsログオン情報に基づいたVPN接続を実現するSSO機能

端末のネットワーク利用制御
- 端末の検疫処理
  - Windowsアップデート、アンチウィルスソフトのパターン更新、その他OSやファイアウォールなどの端末の状態を検査し、検査結果をポップアップで利用者に通知
  - 検疫条件を満たさない場合には、アクセス制限を行う（アクセス制限はPAシリーズもしくはPrisma Accessで設定）
- VPN非接続時のネットワーク利用をすべて不可にするEnforcement機能
  - インターネット分離されているネットワーク環境などでのネットワーク利用制限
  - Enforcement機能でも特定のIPもしくはDNSドメインに対する除外(=アクセス許可)設定
- キャプティブポータルへのアクセスが必要なWiFi Hotspot環境でもAlwaysON/Enforcement機能の利用を可能にするCaptivePortal Detection機能
  - 空港などのHot Spot WiFiなどポータル認証もしくは利用承諾が必要な環境での利用

　上記でご紹介した各機能については、以下の資料にGlobalProtectエージェントの機能および動作の説明、PAN-OSおよびPrisma Access/Cloud-managedの管理GUIでの設定方法について解説しております。

　尚、昨今の市場でのよく聞こえてくる端末にエージェントを必要としないSWGやIAPなどでは、単純にプロキシを経由するWeb通信に対してのアクセス制御のみであり、上記のような端末やユーザ認証、さらにWeb通信以外の端末のネットワーク制限ができず、セキュアなテレワーク環境であるとは言いにくいと考えられます。

　GlobalProtectエージェントの豊富な機能で端末自身を保護しつつ、VPN経由でのアクセスはPAN-OSの豊富なトラフィック可視化/制御や脅威検知機能など実績豊富な機能が利用可能です。さらにCortex XDRと組み合わせることで、トラフィックに対しての機械学習と挙動分析にも対応し、より高度なセキュリティ対策も可能となります。
　セキュアなリモートアクセス/テレワーク環境構築の検討および導入のお役に立てば幸いです。

公共市場向け情報の記事テレワーク環境での端末セキュリティ対策で考えるべきこと

テレワーク環境での端末セキュリティ対策で考えるべきこと