リモート接続にエンタープライズレベルのセキュリティ体制を確立する方法

リモート接続にエン タープライズ レベル のセキュリティ体制 を確立する方法 eBook

本書の目次 安全なリモート接続のためのフレームワーク 04 エンタープライズ全体に安全なリモート接続が重要な理由 06 レイヤー 1 : セキュリティ体制へのコミットメント 06 レイヤー 2 : 期待値の設定 07 レイヤー 3 : 関係者の明確化 08 組み込みのセキュリティ機能 11 セキュリティ基準と認証 12 セキュリティの継続的な改善 14 戦略 : セキュリティを軸にリスクと構成を組み合わせる 15 レイヤー 4 : エンタープライズ アプリケーションに潜む 16 セキュリティ リスクの理解 レイヤー 5 : 主要なセキュリティ構成対象 18 プロセス 21 レイヤー 6: セキュリティの黄金ルール 21 追加資料 27

エンタープライズ全体で確立する セキュリティ体制 今日の企業は IT 運用の大部分を、リモート接続に大き このようなコネクテッドなエンタープライズの労働環境 く依存しています。また、分散した労働力や在宅勤務の は常に進化しています。これらは、人材、技術スタック、 増加により、リモート アクセスやコントロール機能への ワークフローからなる複雑なエコシステムで構成され 依存度が高まっています。その結果、セキュリティの範囲 ています。ほとんどのエコシステムは、多様な ＩＴ シス は多岐にわたるようになりました。 テムとネットワーク機器を通じてリモートで管理されて います。 これまで、ＩＴ インフラは企業のファイアウォール内の 組織がリモート接続プラットフォームを活用して、これら 近接した場所から管理され、少数の運用者やユーザー の複雑なインフラの管理を行おうとするとき、設定ミス が一か所からアクセスしていたため、個別のセキュリテ やその他の人為的なミスに起因するセキュリティの問 ィの要件によって運用されてきました。しかし、従業員、 題がしばしば生じます。 パートナー、業者がボーダーレスでアクセスする ＤＸ へ の移行により、セキュリティはもはや後から付け足して そのため、ネットワークおよびサイバー セキュリティの 対応できないものになりました。 侵害を最小限に抑える、回復力のあるセキュリティ体制 の構築が非常に重要となりました。リモート接続および 今日の労働環境は常に 進化し、変化を遂げて います Today’s work environments are constantly evolving and changing インフラ管理プラットフォーム導入の初期段階にある組 織では、このセキュリティ体制を維持するのに役立つア プローチから開始する必要があります。 3

安全なリモート接続のための フレームワーク TeamViewer は、リモート接続と強固なセキュリティ体制のフレームワーク確立を通じ てビジネスを成功に導く重要性を理解しています。 このフレームワークは 6 つのレイヤーに分割されています : 05 ルール 安全なリモート接続体験を提供するための 黄金ルール 04 構成 セキュリティ全般に関わる構成パラメータ 03 リスク 防御すべき潜在的なリスク 02 アクター セキュリティ侵害に関係するまたは影響を 受ける関係者 01 期待値 より安全な接続体験のための期待値設定 00 コミットメント 組織全体でのセキュリティ体制の確立 TeamViewer のセキュリ ティ フレームワーク 4

堅牢なセキュリティの体制の確 立は、確固としたコミットメン トから始まる 5

エンタープライズ全体に安全な リモート接続が重要な理由 IT アプリケーションは従来のメインフレームやデスクトップ ベースのスタンドアロン システムから進化しています。こ れらのシステムは攻撃に使用する経路が限られていたため、セキュリティ侵害に対する 自然な障壁がありました。しかし、労働環境のクラウド化にともない、攻撃をうける領域は著しく増加しました。企業 はグローバルに分散する従業員をサポートし、今日のビジネス環境における競争力と俊敏性を維持できるよう、常 に利用可能なエンタープライズ ネットワークを持つことを求められています。 増加を続けるアプリケーションや多種多様なデバイス、様々な場所でリモートワークする従業員など、セキュリティへ の懸念はますます高まっています。セキュリティ体制の基礎を築くためには、関係者とともにこれらの懸念に対処す ることが必要です。 レイヤー 1 : セキュリティ体制への コミットメント 堅牢なセキュリティの体制の確立は、確固としたコミットメントから始まります。このコミットメントは、次のようなイ ニシアティブを含む、トップダウンの企業責任として推進される必要があります。 セキュリティ関連のニュースやトレンドの最新情報を定期的に提供することで、従業員やスタ ッフ全体の関心を高めます。 安全なエコシステムを構築し、維持するために外部のパートナーや取引先へ継続的なトレ ーニングと教育を実施します。 定期的なブリーフィング、コミュニティ フォーラムへの貢献、そして政府機関との協力を通じ て、サイバーおよびネットワーク セキュリティのコミュティにおいて ソートリーダーシップ を 確立します。 ご存じ • TeamViewerは、インシデント対応担当者のための主要な団体である Forum of Incident ですか ? Response and Security Teams (FIRST) の監査対象メンバーです。 • TeamViewer は、クラウド ソーシングの代表的なセキュリティ プラットフォームである YesWeHack と協力し、セキュリティ研究者の大規模なコミュニティと連携しています。 • TeamViewer は、サイバーセキュリティ リスクとセキュリティ管理の有効性を評価する独立した第 三者企業の BitSight Security Rating によってテック企業のトップ 1％ に評価されています。 6

レイヤー 2 : 期待値の設定 理想的なセキュリティ体制に到達する前に、セキュリテ ィへの適切な期待値を設定することは重要です。 セキュリティのとらえ方は、人により異なります。しかし、 公表された企業の ＩＴ セキュリティ侵害のほとんどが、 プライバシーやアクセスの問題という形で生じているこ とは想像に難くありません。 クレジットカードのデータの不正入手であれ、悪意のあ るパケットを送信してコンピューターやデバイスを不正 に操作するケースであれです。すべてのセキュリティ対 策は、プライバシーとアクセス制御のいずれかのカテゴ リーに分類されます。これらの対策は、あらゆるセキュ リティ体制の基礎となります。 組織は、好ましいワークライフ バランスの奨励に努めて います。そのような組織で働く個人は、デジタル ワーク スペースに簡単かつ安全にアクセスすることを望んで 人、システム、データ アクセス制御 プライバシー 基礎的なセキュリ ティ対策 います。 組織では、プライバシーにより、従業員データ、ビジネス上の機密データ、ビジネス取引や企業秘密などの情報が保 護されます。同様にアクセスは、設定、機器の管理、施設、システムの設定と管理を許可された担当者のみに与えら れます。 7

レイヤー 3 : 関係者の明確化 セキュリティの期待値の設定は、関係者を明確にすることによってのみ可能になります。例えば、クレジット カードの 詳細が漏洩するプライバシーの侵害は、漏洩したデータに含まれる人すべてに影響します。この場合、クレジット カ ードの保有者が関係者です。組織の観点からは、これらの関係者は直接的または間接的にセキュリティ関連のイン シデントに関与しており、受益者も被害者も含みます。 人 他者と交流し機器を扱う、従業員、パートナー、取引先などの幅広いカテゴリの ユーザーです。これらのユーザーは、会社の機能や部門にもとづき、より詳細な グループや役割に分類されます。 機器 コンピューター、サーバー、ネットワーク デバイス、その他のハードウェア、ソフト ウェア アセットで、組織のさまざまな利害関係者が日々のビジネスや業務、サー ビス ワークフローのために使用します。 ボット 最小限の知能を備えた、ユーザーまたは機器の振る舞いを模倣するプログラム 可能なハードウェアまたはソフトウェアです。タスクを自動化するために、人間の 代わりに働きます。 信頼性のあるリモート接続セキュリティ体制の基礎は、 これら 3 つのレイヤーの内部評価から始まります。この 評価は、各関係者のセキュリティ期待値を明確に示す ものとして機能します。 8

70 %の組織が 複数のクラウドやオンプレミス環境においてデータを保護できません。 92 %の組織が 社内外のパートナーに新しいクラウド ネイティブの機能を安全に有効化し、拡 張することができません。 33 %の増加 2020年から 2021年にかけて、脆弱性の悪用によって生じたインシデントの件数です。 出典： IBM, X-Force Threat Intelligence Index 2022 9

セキュリティ体制の基礎となる前提を主張する 多くの部門や機能にまたがるエンタープライズ全体の ＩＴ イニシアティブの管理に役立つ様々な技術があり ます。同様に、時間や労力を節約し、生産性を高めるの に役立つあらゆる技術が、第三者による悪用やハッキン グに使用される可能性もあります。電子メールは依然と して企業へのハッキングに最も広く使用されている技 術のひとつです。電子メールと同様に、ハッカーは数多 くの方法で脆弱性を悪用し、日常業務の妨害を行って おり、その試みは今後も続くでしょう。これらは通常、損 害を与え、金銭を脅し取り、世間からの評判を棄損する ために使用されます。 リモート接続も例外ではありません。しかし、ビジネス におけるリモート接続の採用は、リスクをはるかに上回 る可能性を理解する必要があります。技術者の疲労を 軽減し、従業員の生産性を向上させ、オフィスでの作業 をスピードアップさせるなどの利点があります。企業は、 最初から安全なプラットフォームやソリューションを選 択する必要があります。 より多くの組織が、リモート接続によって、人、システム、 プロセス、ワークフローにまたがるやりとりや通信を簡 単に管理できることを認識するようになっています。 10

組み込みのセキュリティ機能 組み込みのセキュリティ機能が安全なリモート接続セッ ションを実現します。この保証は、プライバシーとアクセ スにも適用されます。すべてのセッションは暗号化され るため、指定された関係者のみがコンテンツを共有し、 アクセスできます。 さらに、2 つ以上が関与するあらゆるリモート接続はメ カニズムを必要とします。これは、リモートで作業する従 業員や移動中の従業員のデバイスへのアクセスを安全 組み込みのセキュリティ機 に制御し、接続を認証するのに役立ちます。 能は、機密情報を管理する 組み込みのセキュリティ機能は、機密情報を管理する ための特別な対策も備えています。これらには、ランダ ための特別な機能も備えて ムで予測困難なセキュリティキーを生成するための多 様な暗号化技術や、機密セキュリティ情報の交換に使 います。 用されるプロトコル (複数形式の鍵交換プロトコル) が 含まれます。 ご存じ TeamViewer は以下のような組み込みと追加のセキュリティをサポートします。 ですか ? • 各セッション後のパスワードのランダム化 • デバイス認証 (信頼済みデバイス) • ワンタイム パスワード (OTP) • 接続時の多要素認証 (MFA) • スマート カード リダイレクト • 条件付きアクセス • シングル サインオン (SSO) 11

セキュリティ基準と認証 セキュリティ基準と認証は、あらゆるプラットフォームにおけるセキュリティ コ ンプライアンスと期待への基礎を築きます。 リモート接続プラットフォームでは、いくつかの主要な基準と 認証があります。 暗号化基準 情報暗号化のメカニズムを定義します。AES (Advanced Encryption Standard) と RSA (Rivest, Samir, Adleman) は、リモート接続セッションにおいて データの暗号化と情報の交換に使用される一般的な 2 つの標準規格です。 セキュリティ フレームワーク 法的、物理的、技術的な管理を含む組織レベルのポリ シーを定義し、すべての情報システムとそれらによっ て生成されたデータへのアクセスを規制します。ISO 27001 と GDPR はもっとも有名なセキュリティとプライ バシー フレームワークの例です。 コード署名 ファイルやソフトウェア実行ファイルの改ざんや破損を 防ぐことで、そのオリジナル性や完全性を保証する、デ ジタル認証のメソッドです。 12

セキュリティは終わりの ない課題です 13

ご存じ TeamViewer は以下にサポートされています。 ですか ? • エンドツーエンドの 4096 ビット RSA キー暗号化と 256 ビット AES 暗号化セッション • GDPR、HIPAA / HITECH、TISAX、SOC 2、SOC 3、ISO 27000 準拠 • クラス最高のセキュリティ体制 - 独立した第三者サイバー セキュリティ評価企業 BitSight による評価 • IAPP ゴールド メンバーシップ • デジタル リスク プロテクション セキュリティの継続的な改善 セキュリティは終わりのない課題です。歴史的に、素晴らしい技術革新のすべてがビジネスを合理化し、ワークフロー やプロセスを加速させる一方で、電子メールやインスタント メッセージなどの技術は悪用され、企業への攻撃に使 用されることもありました。AI やその他の技術革新も同様に、システムのハッキングやデー タの盗用に使用されています。 その結果、すべてのリモート接続プラットフォームを新たなセキュリティの脅威からの保護する安全対策を施し、定期 的に更新する必要が生じています。しかし、これらの脅威を予測することは困難です。そのため、サイバー セキュリテ ィとネットワーク セキュリティ分野の最新情報を常に把握することが大切です。 脆弱性の公表 セキュリティ上の脆弱性の可能性について透明性を保つことは、セキュリティ ホールの悪用を遅らせる最善の方法です。これにより特定のプラットフォーム を使用しているエンタープライズは、リモート接続かどうかにかかわらず、十 分な情報を得ることができます。 バグ報償金プログラム 脆弱性を認識し、その報告を提出した個人に企業から報償金を支払う、バグ 報償金もひとつの方法です。 14

セキュリティの ソートリーダーシップ 企業は、最先端のセキュリティに対して発言力を発揮するために、テクノロジーに関する ソ ートリーダーシップ に参加する必要があります。それを可能にするいくつかのチャネルがあ ります。セキュリティ領域および関連分野に興味を持つ、さまざまなメディアの出版物、コミ ュニティ、および団体が、このようなイニシアティブを推進するための最適な協力源です。 ご存じ TeamViewer は、シーメンス、SAP、ボッシュなどドイツのわずか 9 社の CNA と、世界 178 社のベンダーが参 加する認定 CVE 番号付与機関 (CNA) です。TeamViewer は、業界をリードするサイバー セキュリティへの取 ですか ? り組みと姿勢に加え、製品とサービスをより良くするために責任ある情報公開を実施しています。 その一環として、バグやセキュリティ エクスプロイトの発見に挑戦するための VDP (脆弱性開示方針) を提供 することで、倫理的なハッカーに明確な指針を提供しています。 さらに詳しく vdp.teamviewer.com/p/Send-a-report セキュリティ体制を強化 エンタープライズ全体でのセキュリティ体制の基礎を確 立したら、セキュリティ強化のための要素に注意を払う ことも重要です。これらは、アプリケーション レベルでカ スタム可能なセキュリティ構成に関係しています。 戦略 : セキュリティを軸にリスクと構成を組み合わせる 構成は、2人以上の通信を保護する追加レイヤーを提供 します。サポート エージェントがリモート ワーカーに接 続するシナリオ、技術者がリモート デバイスにログイン してリモートでサポートを提供するシナリオ、問題を修 正するシナリオなどがあります。構成ミスが招く、企業環 境への潜在的なセキュリティ リスクを理解することが 重要です。 15

レイヤー 4 : エンタープライズ アプリケーションのセキュ リティ リスクの理解 サイバーおよびネットワーク セキュリティの現在のトレンドにもとづき、エンタープライズ アプリケーションに 4 種類 のセキュリティ リスクを挙げることができます。 侵入型リスク 偶発的リスク 内在的リスク 相互依存型リスク 内在的セキュリティ リスク 内在的セキュリティ リスクは、ときに組織の基本的なセキュリティ ポリシーの遵守を怠って いたことにより生じます。一般的な例としては、暗号化または認証メソッドを用いていないた めに、データ転送中にプライバシー リスクが発生したり、安全なサポート体験をリモート ワ ーカーに提供できなかったりすることが挙げられます。 相互依存型セキュリティ リスク 相互依存型のセキュリティ リスクはセキュリティの概念そのものを弱体化する機密情報の 露出から生じます。例えば、ワークステーションへのユーザー ログイン情報が露出してしま うと、そのワークステーションはセキュリティの侵害を受けやすくなります。 ログイン情報は、機密情報の組み合わせの一部で、特定の関係者間でのみ共有されるもの です。この例では、ユーザーとワークステーションがそれにあたります。パスワード、証明書、 暗号化キーなど、さまざまな形式の機密情報がありますが、それらは ２人以上の間で安全 な接続を確立するために交換される必要があります。相互依存はセキュリティを実現するた めの基本的な考え方です。 偶発的セキュリティ リスク 偶発的セキュリティ リスクは、安全な通信に関与する仲介者に関係するものです。例えば、フ ァイアウォールはトラフィックをフィルタリングして特定のアプリケーションに対する特定の パケットのみを許可します。ファイアウォールの設定を誤ると無許可のトラフィックを通過さ せてしまい、セキュリティが損なわれる結果を招きます。同様に、VPN のゲートウェイや認証 16

サーバー、ストレージなど、関係者間の安全な通信の管理に関与する様々な仲介者があり ます。これら仲介者のいずれかの侵害によって、セキュリティは危険にさらされる可能性があ ります。 侵入型セキュリティ リスク セキュリティはアクセス提供機能の一環でもあります。提供されるアクセス メカニズムが多 いほど、複数の攻撃対象領域へより多くの侵入の機会が与えられることになります。いくつ かの場合、このリスクは相互依存型または偶発的セキュリティ リスクとよく似ており、パスワ ードの露出やデバイスの設定ミスによって、攻撃対象領域を増やす結果を招きます。 侵入型リスク 偶発的リスク 内在的リスク エンタープライズ ネット 相互依存型リスク ワーク‍における 4 種 類のセキュリティ リスク 17

レイヤー 5 : 主要なセキュリティ構成対象 セキュリティ体制強化の目的はこれら 4 種類のリスクを軽減することです。 それを達成するためにいくつかの重要なセキュリティ指標があります。それらは、リモート接続プラ ットフォームのセキュリティを強化するための一要素として構成する必要があります。 アイデンティティ (ID) 認証情報 関係者を明確に特定できる一意のシグネチャを確立し これは、2人の間で確立される前に、接続を検証するた ます。 めに使用されます。 安全な通信の多くでは、実際の ID は常に秘匿され、関 これは、相互認証や、両者間で交換される情報をコード 連付けられた一時的な ID が使用されています。 化してメッセージを難読化するために使用することが できます。 TeamViewer は、Active Directory または TeamViewer 会社プロフィールを元にユーザー ID を パスワードと 2 要素認証とは別に、TeamViewer はユ 作成する柔軟なオプションを提供しています。 ーザーのシングル サインオン (SSO) とリモート デバイ スへの無人アクセスをサポートし、侵入型セキュリティ リスクに対する完全な保護を保証します。 ポリシー リクエストに含まれる特定のパラメーターにもとづいて アクセス リクエストを審査するための一連の基本原則 を定義します。例えば、ファイアウォール ポリシーではリ クエスト パケットの IP アドレスとポート番号にもとづい て、パケットの受け入れ許可及び拒否を判断するため のポリシーを構成します。機器やシステムへのアクセス 管理についても、誰が、どこから、いつアクセスするかに もとづいて、同様にポリシーが考案されています。 ユーザーやグループにもとづく一般的なアクセス制御 ポリシーとは別に、TeamViewer はまた、多くの形式の 相互依存型セキュリティ リスクに対処するために柔軟 なポリシー オプションをサポートしています。特定の時 間枠、ホストのプロフィールにもとづいて設定する条件 付きアクセスを提供します。 18

接続性 これには、安全なエンドツーエンドを確立する仮想の接 続コンテキストが含まれます。例えば、HTTPS を使用す るすべての Web サイトは、すべての HTTP トラフィック に対して SSL レイヤーを使用して、Web サーバーとブ ラウザ間の通信を保護しています。同様に、VPN 接続は 接続のコンテキストに IP をカプセル化する IPIP トンネ ル接続を使用しています。 TeamViewer は、ネットワークに依存しないエンドツー エンドの安全なシステムにより、リモート アクセスのユ ースケースに VPN よりも高い信頼性の接続を提供しま す。これは、VPN ネットワークと同等レベルの内在的セ キュリティの軽減を実現します。 導入 アプリケーションの継続的なセキュリティ保護に関わ る、導入関連のパラメーターを管理します。 鍵交換、ソフトウェア更新、パッチ管理、不審なイベント 管理のメカニズムは導入の範囲に含まれます。 TeamViewer は、ネットワ ークに依存しないエンドツ ーエンドの安全なシステム により、リモート アクセスの ユースケースに VPN よりも 高い信頼性の接続を提供し ます。 19

セキュリティ体制の強化