ローカルブレイクアウトを放置していませんか?
皆さんはローカルブレイクアウトをご存知でしょうか。
現代ネットワークの課題である通信遅延を解消できる技術である「ローカルブレイクアウト(インターネットブレイクアウト)」
2020年に感染症が流行り始めると共に働き方のひとつとして、テレワークを導入する会社も増え、それに伴い多くの会社が取り入れていれ始めた技術だと思いますが、ここにもセキュリティの脅威は存在しています。
今回は「ローカルブレイクアウト」のセキュリティリスクについてご紹介したいと思います。
1.ローカルブレイクアウトとは
LBO(Local Break Out)とは、特定のクラウドサービス向けの通信は、自社やデータセンターインターネットアクセスポイント(Gateway)使わず、各拠点(自宅を含む)から直接アクセスするネットワーク構成になります。各拠点に置いたルーターなどで通信内容を識別し、あらかじめ登録されたクラウドサービスであればインターネット回線、そうでなければクローズドVPN回線などとトラフィックを振り分けることで実現します。
一般的な自社やデータセンターにインターネットアクセスポイントを構築し、各拠点からのインターネット向けのトラフィックをすべて集約する構成では、一元的にセキュリティ対策が行えるほか、トラフィックの監視も行いやすいなどのメリットがあります。
ただトラフィックが増大すると、拠点と自社やデータセンターを接続するネットワーク、そしてデータセンターに接続されたインターネット回線の双方で帯域不足に陥る可能性があります。また、これに対処するために帯域幅を拡張すればコスト負担が増大します。
こうした課題に対処するための方法がLBOで、特定のクラウドサービスに限って拠点から直接アクセスさせることにより、安全性を確保しつつネットワークの負担を軽減することができます。
引用:総務省 テレワークセキュリティガイドライン (第5版)(案)
2.ローカルブレイクアウトのセキュリティリスクとは
LBO構成では、先述の通り、予め許可された通信は、直接インターネットにアクセスします。そうでない通信については、VPN(バーチャルプライベートネットワーク)経由となります。 自社やデータセンターなどのインターネットアクセスポイントを経由する場合は、URL/DNSフィルターや、IPS/IDS、サンドボックスや、FireWall、DNSセキュリティ、プロキシなど、セキュリティ機器を通じて、インターネットにアクセスするため、セキュリティが担保できます。 しかし先程話したように、LBOは特定のアプリケーションはVPNを必要とせず、通常のインターネットを経由します。例えば「Googleドライブ」や「AWS」「SaaS」がこのアプリケーションに当てはまります。VPNを必要としないということは、個人のPCからでもアクセスは可能ということにもなります。
ここに「ローカルブレイクアウト」のリスクが存在します。
許可されたクラウドサービスに関しては、セキュリティ対策が講じられていないインターネットアクセスポイント(Gateway)を経由することになります。そのため、自社やデータセンターに設置されているようなセキュリティ機器を通過しないため、不正サイトへのアクセスや、ウィルス等に感染したファイルのアップロードしてしまうなど、セキュリティインシデントが発生する可能性が高くなります。
3.ローカルブレイクアウトのリスクセキュリティ対策
リモートワークという選択肢が増えている現代社会において、「ローカルブレイクアウト」という技術は必要不可欠と言えます。
以下、「総務省 テレワークセキュリティガイドライン(第5版)(案)」から引用。
「インターネット宛の通信のみをローカルブレイクアウトすると、オフィスネットワークで実施しているセキュリティゲートウェイ機能を介さず接続することになるため、マルウェア感染や許可していないクラウドサービスの利用(攻撃者が情報の持ち出しに利用するC&Cサイト等を含む。)について統制が難しいという課題があります。そこで、クラウド環境に置かれたプロキシサービス等を経由して使用する等、オフィスネットワーク内と同等のセキュリティ統制をかけることが望ましいです。」
自社及びデータセンター「同様のセキュリティ統制をかけることが望ましい」とはいえ、具体的に、どのような対策を行えばいいのか、セキュアブレインでは「Cisco Umbrella(シスコ アンブレラ)」というセキュリティサービスを販売しています。
Cisco Umbrellaは、DNS(Domain Name System)が行う「名前解決」の仕組みを利用したクラウドセキュリティサービスです。ハードウェアの導入は不要で、DHCPサーバやルーター、ファイアウォールのDNS設定を変更するたけで導入できます。
本社、拠点などの場所、移動中、VPN の ON/OFF を問わず、あらゆるユーザ、そしてデバイスを保護できる、最も簡単かつ迅速に導入可能なクラウドセキュリティです。対策を検討されている方はご相談ください。