コロナで見えたセキュリティ問題から次期ネットワーク構想へ
テレワークで問題となるのはセキュリティと通信速度です。
※ここでいうテレワークとは,在宅勤務を指します。
セキュリティに関しては,各企業ごとにポリシーやガイドラインが策定されていると思います。
テレワークの多くは,自宅や公衆回線から社内ネットワークへVPN接続する方式だと思います。
中には,フルクラウドでテレワークでもインターネット接続だけで運用できる企業もあるかと思いますが,本記事では割愛します。
例にもれずウチもVPN接続利用をしています。
VPN接続をした上でPCを使用する場合は,社内ネットワーク経由でインターネットへ出るのでセキュリティはポリシー通りとなり,セキュリティレベルは保たれます。
(ちなみにFortiClientでローカルブレイクアウト利用はしていません)
問題はVPN接続をしないでインターネットなどを利用してしまった場合です。
悪意あるサイトへの接続は「URLフィルタリング」で制御しており,会社が許可したサイトにしか接続できません。
ですが,VPN接続をしないまま使用した場合,社内ネットワーク経由とならず,好きなサイトへ接続する事が出来てしまいます。
この問題を防ぐために,テレワークのガイドラインで「VPN接続を行ってからインターネットを使用する事」としています。
運用でカバーする方法は,必ず「漏れ」が発生します。
システム屋として,「運用でカバー」という言葉は「暫定対策」もしくは「逃げ」です。
運用ではなくシステムで対策する方法がなければ,見た目(正常な運用をした場合を前提)のセキュリティレベルは担保しても,根本的なセキュリティレベルをシステム的に担保したことにはなりません。
セキュリティ製品のクラウド移行
セキュリティレベルをシステム的に担保するために検討し始めたことは,
①クラウド型FW,クラウド型プロキシ
②クラウド型WAF
③EDR+NGAV
です。
①クラウド型FW,クラウド型プロキシ
→社内外問わず全てのインターネット通信をクラウドにあるFW,プロキシを通すことによって同じセキュリティレベルにすることが出来る
②クラウド型WAF
→IPS/IDSの置換候補&公開サーバの脆弱性対策を一挙に解決するため
③EDR+NGAV
→混在するセキュリティ対策ソフトを整理し,マルウェア対策,ウィルス対策を統合管理できるようにする
③は+αですが,この際,導入しているセキュリティ製品の整理も含めて見直しをすることにしました。
(次回:第4話)
ネットワーク構成の大幅な更改