叡智の三猿

~情報セキュリティで森羅万象を捉える~

いきなり!テレワーク

テレワークの強制化

総務省は2020年の東京オリンピック開催に先駆けて、2017年からテレワークの普及を推進していました。開会式が予定される7月24日を「テレワーク・デイ」と位置付け、国民に対してテレワークの啓蒙活動をしていました。

「大会期間中の通勤者数を減らし、交通混雑の緩和に寄与する」ことを狙っていました。

しかし、予期せぬ新型コロナが発生しました。東京オリンピックを開催せずとも、会社は半ば強制的に、早急なテレワークを推奨することになりました。コロナは多数の災いをもたらしましたが、テレワークが普及したことは、パンデミックによる数少ない「好ましい結果」かもしれません。

多くの会社にとって、普段、事務所で使っているノートパソコンをテレワーク端末として、持ち帰り、仕事を行うことがてっとり早い方法でした。

自宅からネットワーク経由でオフィスにアクセスするには、情報漏洩を防ぐためにVPN接続が必要です。もちろん、情報漏洩のリスクは通信だけではありません。パソコンにローカルに保存された業務データは、社員が自ら厳格に保護する必要があります。

インターネットVPN

インターネットVPNは、インターネット回線を活用したVPNです。インターネットに接続できればVPNを利用できることから、コストを抑えて構築できます。

ただし、既存のインターネット回線を使っているので、通信速度や通信品質は利用しているインターネット環境に左右されます。

安定した通信速度や品質を重視する場合は、インターネットVPNでなく、IP-VPNの選択を検討します。IP-VPNは閉鎖網を使うので、通信が安定し、速度も速くなります。閉鎖網を使っているので、不正アクセスの心配もありません。

コスト面と安全や安定面のどちらを優先するかは、ソリューションを選択する際、難しいテーマですが、感覚的にはインターネットVPNの人気がテレワークでは高いと思います。

インターネットVPNは、SSL-VPNIPsec-VPNに分かれます。テレワークでインターネットVPNを使う場合は、運用コストが安く、パソコンに専用ソフトをインストールする必要のないSSL-VPNを採用する会社が多いと思います。

SSL-VPN IPsec-VPN
PCに対して ブラウザのみ 専用ソフト
運用コスト
処理速度
セキュリティ

SSL-VPNは導入のし易さが魅力的です。しかし、ブラウザがあればVPN通信が出来てしまうことから、セキュリティレベルの低さが課題です。

12月11日の朝日新聞の記事によると、闇サイトに欠陥機器のIPアドレスが暴露され、その数は約5万台にのぼるとのことです。そのうち、日本に割り当てされていた機器は5,600台で、アメリカについで多く機器が、脆弱性を露呈していることが分りました。
www.asahi.com
社内ネットワークのサービスにアクセスする為のID・パスワードによる認証の強化や端末を制限した認証を検討する必要があります。

IPsec-VPNは相互認証が必須です。このことからテレワークよりも拠点間のVPN装置間や、ホスト間(ホストツーホスト)でのセキュアな通信を実現するのに優れています。

f:id:slowtrain2013:20201108131548p:plain:w600
VPN利用イメージ

IPsecプロトコル

IPsecにはESPとAHというプロトコルがあります。ESPもAHもHMAC若しくはCMACによるメッセージ認証による完全性を担保しています。ただ、ESPは暗号化を行うのに対して、AHは暗号化をしません。AHは暗号化を禁止する国に対しての配慮です。基本的にはESPのプロトコルが採用されます。ESPのポート番号は50です。

(代表的なポート番号についてはこちらに書いてます)
www.three-wise-monkeys.com

ESPプロトコルにはトランスポートモードとトンネルモードがあります(AHプロトコルも同様です)。

  • ESPトランスポートモード:元のIPパケットのTCPヘッダーとデータを暗号化します。元のIPヘッダーをパケット転送用ヘッダーとして使用します。
  • ESPトンネルモード:元のIPパケット全体を暗号化します。トンネル用のIPヘッダーを新たに付与します。
f:id:slowtrain2013:20201108150433p:plain
IPsecの通信モード