新型コロナウイルスにより、行政機関がVPNの代替策を模索、BYODサポートのニーズが増大

 

1年前、いや1カ月前でさえ、米国連邦職員や委託業者の中で在宅勤務者はわずかでした。新型コロナウイルスの感染が広がる中、米国行政管理予算局は、テレワークを最大限に活用し、機関の任務を遂行しつつ、全職員と委託業者に在宅勤務を奨励するよう指示しました(OMB M:2016)。各機関は、これによって生じるセキュリティおよびアクセス上の問題に速やかに対処する必要があります。MobileIronは、以下に紹介する行政グレードのソリューションを提供しており、一部の機関にはすでに導入されています。

 

大きな変化

米国連邦ネットワークに接続する職員数は、ほぼ一夜にして急増しました。職員の一部は、少なくとも予備的にまたは緊急事態に備えてテレワークの準備をしていました。しかし、ほとんどの米国連邦機関は、たとえ悪天候が原因で大規模な閉鎖があっても、リモート接続する職員は最大20%と想定していました。ところが現在、一部の機関では80%以上の職員が自宅から接続を試みており、米国行政管理予算局の指示によってこの数がさらに増えるだけでなく、当面は増えたままだろうと予想されています。多くのユーザーは、正式なテレワークの設備を持っていません。官給資材(GFE)もなければ、米国連邦ネットワーク、アプリケーション、リソースにアクセスするための接続やサインオンの方法についてトレーニングも受けていません。スマートフォン、タブレット、(多くの場合)メンテナンスも十分にしていない古いノートPCやデスクトップなど、自分の機器を使用しています。OSやウイルス対策が古い(またはウイルス対策がまったくない)場合もあります。

ユーザーの個人用デバイスから連邦ネットワークへの接続が急増したせいで、一部のアクセスポリシーやセキュリティポリシーが緩和あるいは回避されています。たとえVPN経由で行政ネットワークにアクセスするとしても、VPNにこれほどのトラフィックを受け入れる容量はなく、BYOD(個人デバイスの業務利用)やモバイルデバイス一般に強いセキュリティ制限をかけるようにも設計されていません。

リモートワーカーとネットワーク接続の増加は、攻撃対象領域を拡大し、米国連邦機関とその職員はかつてないリスクにさらされています。このような想定外の個人デバイスには適切な認証機能を持たないものがあり、多くは多要素認証や派生認証情報も使用しません。ID詐欺、認証情報(特にユーザーIDとパスワード)を不正に取得しようとするフィッシング攻撃、悪質なコード、高度で持続的な脅威は、すべて増加しています。リモートワーカー、特にセキュリティのプロセスや技術に経験の少ない職員の数が増えるにつれて、このような攻撃が成功する確率が高くなります。過去数日間には、米国保健福祉省に対し、偽情報を流布して米国民の恐怖と不安感を煽ろうとする国家攻撃がありました。レベルの高いDoS攻撃、中間者(MitM)攻撃、一般的な認証アクセスポータルに対するブルートフォース攻撃の増加も予想されます。

 

課題

米国連邦機関がネットワークとITリソースを保護する方法として試みているのが、VPNを必須にすることです。VPNには、リモートアクセス、サイト間、L3MPLS(Layer 3 Multiprotocol Label Switching)、DMVPN(Dynamic Multipoint VPN)などさまざまなタイプがありますが、どれもエンドトゥエンドのコミュニケーションを暗号化し、セキュリティを確保するという共通の目的を持ち、共通の機能制約も持っています。ほとんどのVPNは、デバイス全体、常時オン、オンデマンド、アプリごと(Per-App)など、複数のモードで動作します。Per-Appモードは、設定したアプリが起動したときのみ動作し、そのアプリのトラフィックだけが暗号化されたトンネルを通過します。この結果、バッテリーの消費が常時オンVPNより少なくなりますが、保護されるトラフィックは非常に限られます。テレワーカーの場合には、リモートアクセスVPNが適切です。従来の企業ネットワークVPNは、高価で、導入が難しく、時間がかかります。企業ネットワークのエッジで終端するため、許容される同時接続の数に限界があり、ライセンスキーの制約を受けます。VPNの終端点を適切に設定し、実装するには、ネットワーク管理者の多大な労力と時間が必要です。

また、VPNライセンスは高額で、同時接続ユーザー数や1日あたりの接続時間数の大幅な増加には柔軟に対応できないのが普通です。多くの連邦機関は、このような従来の企業ネットワークVPNを使い続けています。米国連邦のIT刷新の取り組みにより、一部の機関はPer-App VPNソリューションを採用しました。Per-App VPNは、VPNトンネルの起点と終点のエンドポイントをより細かく制御でき、強力な暗号化などの機能も備えています。しかし、帯域幅の増加やライセンスコストも大きく、必要なメンテナンスやアップグレード、VPNゲートウェイの設定、暗号や証明書の管理を行うネットワーク管理者の作業も複雑です。

ほとんどの場合、VPNはモバイルデバイスやモバイルデバイストラフィックを想定していませんでした。一般的に企業VPNは、モバイルデバイスにセキュリティポリシーを適用する能力を持たず、モバイルデバイスのコンプライアンスを所定の基本条件に照らして評価することもできません。

 

MobileIronソリューションの違いと有効性

MobileIronのソリューションは、Tunnelと呼ばれる統合型VPNコンポーネントに加え、ネイティブのオペレーティングシステムやMobileIron統合エンドポイント管理を使用して保存データのセキュリティを確保するとともに、サイバーセキュリティポリシーの適用によって、アプリを起動してアクセスを許可する前にデバイスのコンプライアンス状態を確認します。MobileIronは、デバイスがジェイルブレイクされていないか、OSが最新か、デバイスが許可された(または無許可や公共の)Wi-Fiネットワークを使用しているか、アプリが承認されているか、信頼されるアプリストアから入手したものか、さらにはデバイスが悪質な脅威やアプリの検出や修復に対応するモバイル脅威防御ソリューションによって保護されているかなどを判断します。さらに、強力な多要素認証、およびユーザー、デバイス、認証情報のコンテキスト情報を提供し、そのすべてによってゼロ・サインオンのアクセス制御を実現します。 

行政機関はMobileIron Tunnelを使うことで、内部開発やサードパーティのアプリなど、どの業務アプリに対してもセキュアなネットワーク接続でネットワークやイントラネット上のリソースへのアクセスを提供できます。App VPNは、携帯電話回線など、どのネットワークでも利用できるので、連邦データのセキュリティを常に確保します。またTunnelは、MobileIronの高度なクローズドループコンプライアンスエンジンにより、コンプライアンス違反のデバイスが機密データにアクセスすることを阻止します。

Tunnelは、ユーザーの手作業なしにオンデマンドまたは常時オンのPer-App VPN接続を提供し、ユーザー体験を大きく改善します。個人用アプリや悪質なアプリをブロックし、適切なデータだけがTunnelを通るため、行政データとユーザーのプライバシーは強固に保護されます。

2019年10月、米国国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)のBranko Bokan氏は、次のように述べました。「モバイル脅威にできる限り広く対処するため、各組織は、エンタープライズモビリティ管理(EMM)、モバイル脅威防御(MTD)、モバイルアプリ検査(MAV)機能を一連の個別製品ではなく統合ソリューションとして使用する必要がある。」 

MobileIronは、必要な機能をすべて統合したソリューションです。モバイルを中心としたゼロトラスト環境のセキュリティソリューションという形にEMM、MTD、MAV機能をまとめ、iOS、Android、MacOS、Win10ベースのデバイスに対応する革新的なサイバーセキュリティプラットフォームと言えます。これにより行政機関は、デバイス、アプリ、ネットワーク、クラウドサービスを流れる行政データの完全な制御が可能となります。

新型コロナウイルス感染症による外出禁止で、このような機能を導入する必要性が急激に増大しています。詳しい情報をご希望の方は、こちらへどうぞ。追ってMobileIronの営業担当者がご連絡いたします。

 

Bill Harrod

Bill Harrod

Federal CTO, MobileIron

About the author

Bill Harrod is the Federal CTO at MobileIron. He is an accomplished information security executive and cybersecurity professional with experience managing cybersecurity risk and designing and delivering security solutions to federal agencies and Fortune 500 companies. He is an expert on Federal Identity, Credential and Access Management Architecture (FICAM). Previously, he served as a senior manager at Deloitte and senior principal consultant at CA Technologies.