2019年4月に、以下の記事を書きました。

クラウドサービスなのに、IPアドレス制限は必要なの？

この記事では、以下のような考え方を示しました。

1. クラウドサービスへの希望- 多くの高機能なビジネス向けクラウドサービスが提供されている。-クラウドサービスを活用すれば、オフィスだけでなく、どこからでも仕事ができる。-「働き方改革」に最適。
2. クラウドサービスに感じる不安- どこからでも仕事が出来るのは良いが、大事な情報が、意図しない場所から、アクセスできるのは、不安。-認証情報が漏れたことに気づかないと、情報漏えいがあったとしても、分からない。
3. 不安に対する解決策-どこからでもアクセスさせるのではなく、身元が明確なオフィスのIPアドレスからのアクセスに限定したい。-オフィスの外から使いたい場合は、VPNを使って、オフィスからのアクセスとして使う。-クラウドサービスの認証機能を、別の認証サービスに移譲して、そちらで、アクセス元のIPアドレスを制限する。

このような構成をとれば、これまで通り、オフィス内外の境界でセキュリティを確保しつつ、クラウドサービスの利便性を活かすことができます。

では、7割以上のテレワークが求められる現在の状況で、前述のセキュリティ対策のままで十分と言えるでしょうか。昨年(2020年)、最初の緊急事態宣言が発令された後、十分な準備できないまま、テレワークに移行した会社も多かったと思います。この時、従来の少数の外出者のため、既にVPNを整備している企業は多くありました。VPNを使えば、自宅にいても、オフィスにいるかのような、ネットワーク境界でのセキュリティ対策をとることができます。インターネット上にあるクラウドサービスに対しても、前述の通り、認証でIPアドレス制限することができれば、境界で大事な情報を守ることができます。しかし、十分な準備期間もないまま、いきなり、テレワーク環境を利用する社員が増えたことで、さまざまなほころびが明らかになりました。

まず、VPNや、オフィスのネットワークのキャパシティ問題です。VPN環境を構築した時の要件は、「大多数の社員」が常時ではなく、「一部の社員が一部の時間使う」というものであったはずです。そのために構築された環境では、コネクション数や帯域等のリソースが足りず、キャパシティオーバーの状態になりました。加えて、テレワークに必須と言える「ビデオ会議」はネットワーク帯域を多く専有します。これらは、インターネットだけ経由したものであれば、比較的余裕がありますが、想定する数倍の社員が、VPNを通って、会社のネットワークを通るということになると、その帯域が逼迫することは容易に想像できるでしょう。

加えて、VPN装置の脆弱性をついたサイバー攻撃が急増しました。想定外な状態で重要な通信の多くを担うことになったVPN装置が狙われました。十分な運用コストがかけられていない組織では、脆弱性を含むファームウェアが更新されていなかったり、管理権限の設定が不適切であったりすることで、攻撃者の標的になりました。

そもそも、VPN環境は、境界内だけで完結する情報のやりとりについて、境界外の利用者が擬似的に境界内からとしてアクセスするための仕組みです。その前提として、「多数は境界内で、境界外からの利用は例外」と考えられています。しかし、クラウドサービスの台頭に伴い、重要なデータもクラウド上に配置されることも多くなっています。社内の特定フロアや、専用線でつながったデータセンタに情報を保存するよりも、クラウドに置く方が全体的なコストを低く抑えられる場合も多くなっています。データの重要度を見極め、そのレベルによって、適切なロケーションに配置した結果、多くは、クラウドに置かれることになるかも知れません。VPNは、「境界型セキュリティ」を補完するものですが、壁の中に大事なものを入れておくという単純で限定的なセキュリティモデルを出るものではありません。

もう一度、クラウドサービスの大きな利点である「どこからでも使える」という特徴を最大限に活かすことを考えるべきです。クラウドサービスはインターネットにつながれば、いつでも、どこからでも利用でき、かつ、用途に応じてPCやタブレット、スマートフォンなど様々なデバイスで利用することができます。IPアドレス制限をして、VPNを併用する方法は、分かりやすく安心出来るモデルですが、前述したように、VPNがセキュリティリスクになりやすい構造です。障害や攻撃等によわい構造ということができます。さらに、実際に高い頻度でアクセスする情報はクラウドにあるのに、一旦、ボトルネックになる部分を通る必要が本当にあるのでしょうか。単純で分かりやすい「境界型」にこだわらず、今の使い方に適応した「セキュリティモデル」への移行を検討するべきです。

ここまでに述べてきた「境界型セキュリティモデル」に対するモデルとして、「ゼロトラスト」という考え方が広く知られるようになってきました。このブログでも何度か取り上げています。以下の記事が短くてよいかも知れません。

【5分で分かる】ゼロトラストとは何か

ゼロトラスト自体は、ごく最近のものではなく、クラウドサービスやデバイスの多様化に対応するために考案された考え方です。ただ、コロナ禍による社会の変化により、その重要性が注目され、多くの組織がそのセキュリティモデルへの対応を急いでいます。今回注目している「クラウドサービス利用におけるIPアドレス制限」は、ゼロトラストによって、見直される構成の典型的な例と言えるでしょう。ゼロトラストに注目する企業は、新型コロナへの対応としてだけでなく、これをきっかけとして、よりセキュアで、柔軟な構成に移行し、より効率よくビジネスを加速させるステップとしようとしています。

ここで大事なのは、「どの情報が大事なのかを明確にすること」です。これについても、記事を書いています。

【ゼロトラスト】最重要なのは、守るべき資産が何かを理解し、フォーカスし続けること

情報についての理解が深まれば、それへのアクセス方法は決まってきます。境界型セキュリティモデルは、「とりあえず壁の中にいれておけ」という運用にもなりがちです。どの情報が重要でどのように管理されなければ行けないのかを常に意識し続けることができれば、「毎回壁の中に見に行く」という必要がないかも知れません。

2019年時点の記事では、多くの企業で採用されている「境界型セキュリティモデル」で、クラウドサービスを活用する方法として、もっとも簡便な構成を提案しています。この方式が全く駄目かというとそういうわけではありません。組織の規模や、利用者のロケーション、利用するデバイス、情報の保存場所、VPN設備の有無や、そのキャパシティなど、さまざまな要素を検討した上で、IPアドレスで制限するという方法を取るのは、現実的な選択の場合もあります。ただ、様々な要素を考えずに、「今がこうだから」あるいは、「考えることが面倒だから」という理由で、最もシンプルなIPアドレス制限を取ると、思わぬ形で問題がおこる可能性があります。

では、IPアドレス制限でなければ、具体的にはどのような方法を取るのでしょうか。これも状況によって様々な解決策がありますが、もっとも広く効果を見込めるのは「デバイス」による認証を通常の認証と合わせる方法です。利用者はIDとパスワードで通常の認証をし、利用者がアクセスに使うデバイスが特定のものであることを確認する方法です。デバイスが特定のものであることを確認する方法は、証明書を使う形が一般的です。こちらについては、以下の記事に詳しく書いてあります。

多要素認証時代到来！その鍵はクライアント証明書

結局、「クラウドサービスなのに、IPアドレス制限は必要なの？」という問いに、今答えるとするとどうなるのでしょうか。この記事では、(少しだけ過剰ですが)以下のような答えとしておきたいと思います。

「状況による。IPアドレスで制限することが、単純で最適な場合もある。ただし、テレワーク全盛の時代には、セキュリティ面や、可用性で不十分な場合も多いので注意が必要。守るべき情報について意識的になり、重要性や利用の頻度等を再検討することが最も重要。それを明確に定義して、利用者のアクセス制限の方法が多種多様に検討されるべき。それを実現するゼロトラストの考え方を取り入れることは価値がある。」