【第十一回】リモートアクセスVPNの有効性

皆様久々の更新失礼いたします。

キューブ・エス中村です。

 

さて、最近、弊社にも以前と比較してリモートアクセスVPNの接続に関して

様々ご相談が舞い込んでくる様になりました。

 

昨今の台風や地震発生に伴う出社停止、又は時短勤務

年末年始等の長期休み中の業務上の問題発生時の対応可用性向上等

他にも現在世界で猛威を振るっている新型コロナウイルスや

インフルエンザのパンデミックが発生した場合などでも

通勤による罹患の危険性を避けて自宅から業務ができますし、

世界・日本各地を飛び回るお仕事をされている場合でも

通信自体が暗号化される事で、いつでもどこからでも

安全に社内情報に外部からアクセスできた場合、それだけで

比較的簡単に解決する問題が大量にあり、業務効率が上がる為

弊社としても非常にお勧めのソリューションの一つです。

 

また、最近では業務改善の一環として有効なだけではなく

遠隔業務者、在宅勤務等にも有効であり、

USBメモリ等の対策を施したPCだけが使用できるなど

接続可能なPC自体に制限をかける事でより安全に

より効果的に利用する会社が増えてきています。

 

ただ一方、管理者の立場からすれば、リモートアクセスVPNが

利用できるという事は、広く開けたインターネット側からの

第三者を含めたアクセスを受け入れる事が出来る様に

すると言う事に他ならず、ご希望をお伺いに行ったその場で

不安を同時に漏らされるケースも少なくありません。

便利なツールも使い方を間違うと、時に脅威となり、

情報漏洩等、日常を脅かす可能性すらあるのは

皆さまご存知の通りです。

 

そこで、弊社としてはいくつかのソリューションを準備し、

比較的管理簡単に、そして安全に運用をして頂く術をご提案させて

頂いております。

 

例えば、単なるパスワード認証にて接続するよりも

事前に準備した証明書を鍵として利用する事で

より強固なソリューションを提供する事も可能ですし

比較的安価なものでも専用機器を導入すれば

認証ユーザー別にACLを設定し、利用可能リソースを

限定する事も可能です。

これ等の設定は初回設定時のみ社内でしかできないという様な

設定も可能な為、非常に安全に運用して頂く事は可能です。

 

災害、大雨、そして人口密集地による爆発的感染等

日本は地理学的にも非常にリスクが高い割に対策が遅れている日本ですが

事前に導入をしておけば何が起こったとしても憂いなしです。

もし、リモートアクセスVPNにご興味があります場合は、

一度お気軽にご相談下さいませ。

【第十回】公衆無線LANとの付き合い方

こんにちは

キューブ・エス 中村です。

 

さて、突然ですが、スマホの台頭により

昔は一部でしか存在しなかった公衆無線LANですが

最近はあちらこちらに出回っています。

コンビニエンスストアや携帯ショップでは

無料で使用できるのは当たり前、

ジャンクフード、コーヒーショップ、ファミレスでさえ

使用できるところは最近多くなってきています。

 

皆さんはこの公衆無線LANを

どの様にお使いでしょうか?

 

少し前に流行ったノマドワーカーの皆様などは

非常に使い勝手は良く、また無いと困ると仰る方もいるでしょう。

一方、自宅外のWi-fiに安易な気持ちで接続して

安全かどうかわからない。。。と言う声もちらほら聞こえてきます。

 

では、これらのWi-fiに接続して本当に問題は無いのでしょうか?

 

私が良くお客様に言われて返答している内容は

「通信の暗号化がしっかりされていれば大丈夫。

暗号化がされていない場合は自分で暗号化すればまだマシ。

総じて、自分が設置したWi-Fi SSID以外は基本的に信じてはいけない」

と言う内容です。

 

これはWi-Fiは暗号化されてなければ簡単に接続出来るのですが

暗号化されていないという事は無線でもれなく空中に放出している電波に

貴方のPC、スマホ等で使用したサイトの自動・手動認証情報を

まき散らしている状態であるとも言えるからです。

要は公衆無線LANの電波を全てパソコンでキャプチャすれば、

これらのデータの内、暗号化されていないデータを解析する事で

情報は容易に取得できてしまう恐れがあるという事です。

 

では使わない方が良いのか?

。。。私はそうは思っていません。

せっかく解放してくれているWi-Fi、有難く使用したいものです。

 

ただ、その為には一つ注意点があります。

タダで使用できるWi-Fiは、

昔流行ったタダで使用できるプロキシに類する

「サーバ(AP)側で通信を抜かれる危険性」について

重々検討しておく必要があります。

 

要は、APとゲートウェイの間に

パケットキャプチャ等を仕込まれていれば

平文通信は筒抜けで判ってしまう事、

その環境において、そのWi-Fiサービスを使用する為の

アカウント登録におけるパスワード等は

完全に知られてしまう恐れがあるという事です。

 

例えば、メールアドレスとパスワードを登録させて、

それらをキーに認証すれば使用できるフリーWi-Fiがあった場合

勿論登録サーバを管理する業者側には

あなたのメールアドレスとパスワードはわかります。

旅先で見つけたフリーWi-FiっぽいSSIDに繋げてみたところ

登録すれば使えるよ!って出てきたとして、この管理業者が

貴方のメールアドレス、パスワードを悪用しないとは限りません。

また、その後、httpsで暗号化された通信であったとしても

どこのサーバとやり取りをしたかは記録する事が可能です。

 

そこで、オススメしたいのはリモートアクセスVPN環境です。

低スペックで構いませんので、クラウド環境化にLinux等のサーバを準備し、

そのサーバと社内、及びクライアントからVPNを接続します。

VPNの場合、通信は暗号化され、カプセル化された暗号通信のみが

本回線を通っていきますので、フリーWi-Fiの管理者側で

これをキャプチャしていたとしても、PCとVPNサーバ間に

大量の通信が発生している事しかわかりません。

また、接続時に証明書を使用するL2TP等を選択した場合

発行された証明書を持ち得ていなければVPNの

リクエストも出せませんのでより安全と言えると考えます。

 

もし、御社がリモートワーク等を許可するのであれば

是非ともVPNサーバをもっておく事をお勧めします。

弊社であればSOPHOSしかり、Ciscoしかり、YAMAHAしかり

あらゆる構成でVPNの接続をお客様と検討させて頂きますよ!

【第九回】パスワードの堅牢制について

こんにちは。キューブ・エスの中村です。

今回はパスワードの安全性についてお話をさせて頂きます。

 

さて、先日も別の投稿で記載をしましたが

パスワードについては話をする機会が多いです。

 

とあるお客様曰く、

「パスワードは大文字・小文字・数字・記号で3カ月に一度必ず変更させたい」とのこと。

また別のお客様曰く、

「パスワードはパソコン内に例え暗号化されていたとしても保存はしてはいけない」とのこと。

こういう仕事をしていると、

ああ、会社によって様々なポリシーがあるものだな。。と驚かされます。

 

では、何が正しいのでしょうか?

 

はい、答えは、「わかりません」

ふざけるな!とお怒りの方もいらっしゃるでしょうが

いや、本当に判らないのです。

 

例えば、会社のセキュリティルールとして3カ月に1度変更する事

なんてルールがある会社もあります。

この会社において、「なぜ3カ月に1度更新する必要があるのか」ではなく

「そう言うルールでの運用が義務付けられている事が大切」だからです。

 

例えばPマークの運用、例えばISMSにおいて、PCIDSSにおいて

パスワード運用の規定がある事が多いです。

この為、規定通りに運用する事が大切である事を理解しなければなりません。

 

では実際のところ、運用で気を付けるべき点はどのような箇所なのでしょうか?

弊社では以下の点をお勧めはしております。

・セキュリティ規定で決まっている場合を除き、パスワード変更はしない

・パスワード管理はAD等の認証サーバを導入し、個々で行なう様にする

・管理者IDと個人IDは別に分け、個人IDは本人のみパスワードを知っている状態にする

・ディスプレイ前に付箋が張ってある等は言語道断

・パスワードは最低でも記号入り10文字で設定する

・パスワードは意味の無い文字の羅列にする

・認証サーバが無い場合は各システム別にパスワードを準備する(全て異なる事)

 

尚、昨年5月に発表された米国立標準技術研究所による昨年のガイドラインの内容から、

実際には定期的なパスワード変更をする事により、

極めて適当なパスワードを設定する事が多く、流用されたパスワードの

一部変更がされたパスワードを生成する傾向が強くある事から

パスワードの定期変更はしてはいけない、と勧告するとしました。

スペースも使用できる、最低64文字以上のパスフレーズを使用した認証を推奨するとの話です。

 

ちなみにパスワードの長さは記号+小文字大文字+数字のランダムな羅列の場合

8文字、9文字、10文字の違いだけでもそれぞれ1桁増えるごとに

全件検索での解読までの期間が約60倍になるとの事です。

10文字の場合で400年~500年かかる様になるとの事で

事実上不可能になりますので、是非とも記号を含めた物で

10文字以上で運用する事をお勧め致します。