2022年9月2日
By Guermellou Mohammed - クラウド・セキュリティ・アーキテクト、Skyhigh Security
今日、私たちは仕事とプライベートの両方の目的で、WhatsAppのような多くの合法的な個人向けクラウド・コミュニケーション・サービスにアクセスしている。しかし、時にはそのような合法的なクラウドサービスが悪用され、企業データのリスクにさらされることもあります。このブログでは、プロキシ技術を迂回してデータの流出やマルウェアの注入を行う個人向けウェブアプリケーションの課題と、スカイハイのSecurity Service Edge (SSE)ポートフォリオとRemote Browser Isolation (RBI)がどのように攻撃対象領域を減らし、データの露出を抑えることができるかについて説明します。
昨今、コミュニケーション・プラットフォームは欠かせないものとなっています。これらのプラットフォームは、家族や同僚とのつながりを保つため、そして新しい友人を作るために使われています。COVID-19や現代の新しい職場では、オフィス以外の場所で仕事をすることが多くなり、そこでチームメイトや友人と交流することができるようになりました。在宅勤務や遠隔地勤務が多いため、顔を合わせる時間が減り、その結果、WhatsApp、Signal、Telegramなどの通信技術がプライベートと仕事の両方で使われるようになっています。
現代の職場に持ち込まれた新たなリスク
WhatsAppは、コミュニケーションのためのモバイルアプリケーションとして広く使われています。ユーザーは個人所有のデバイスを使用してサービスにアクセスするため、このアプリケーション自体が組織にセキュリティリスクをもたらすことはありません。しかし、管理下のデバイスからWhatsAppのウェブ版を使用するなど、企業管理下のデバイスと個人デバイスを橋渡しする場合はどうでしょうか。このような使い方は、企業側のデバイスのリスクとみなされるでしょう。WhatsAppサービスの仕組みとリスクの所在を詳しく見ていきましょう。
ユーザーがwhatsapp.comにアクセスすると、モバイル端末とウェブポータルのペアリングが求められ、ウェブサービスはローカルブラウザを通して会話を行います。技術的には、ローカルマシンのブラウザがWhatsAppウェブサービスとの安全な通信を確立します。この通信はウェブソケットと呼ばれる双方向のメッセージです。プロキシ技術の役割は、HTTP通信を検査することでウェブトラフィックを安全にすることですが、図1に示すように、ウェブソケット通信の内容を検査することはできません。
図1.WebSocket セッションを説明する図
WhatsApp ウェブアプリケーションが企業のデバイスにインストールされると、ユーザーは企業の機密データをアップロードして流出させることができます。この場合、データは暗号化され、検査されないため、クラウドプロキシDLPポリシーの実施は不可能となります。図2でわかるように、データはクラウドプロキシ制御をバイパスしています。
図2.双方向メッセージはフォワードプロキシ検査をバイパスする。
WhatsAppを通じて流出したデータ」のデモビデオでは、あるユーザーがクレジットカード情報を含む機密文書を個人メールを使って共有しようとしますが、Cloud ProxyのDLPポリシーに基づき、ファイルに含まれる情報は個人のメールボックスにアップロードするには機密性が高すぎるため、ブロックされます。次に、この制限を回避するために、ユーザーはブラウザ上でファイルのコンテンツを直接コピー&ペーストしようとします。先ほどと同様に、クラウドプロキシDLPポリシーがトリガーされ、コピーの試みは再びブロックされる。最後の試みとして、ユーザーはWhatsApp Webを使用し、デバイスをペアリングする。今度はクラウドウェブプロキシ DLP がコンテンツを検査することなくファイルをアップロードできた。
課題を克服するために
このリスクを理解することは、管理者にとってジレンマとなります。在宅勤務中のユーザーの通信サービス利用を許可するか、WhatsAppをブロックしてこのリスクから保護しつつ、ユーザーの業務遂行を妨げるかを判断する必要があります。理想的な解決策は、企業データの安全性を確保しながら、ユーザーがこのサービス(または他のサービス)を利用できるようにすることです。したがって、分離技術は、管理者に常に必要なレベルのセキュリティをもたらすと同時に、ユーザーがウェブサービスにアクセスする際の制限を少なくすることを可能にするのです。
分離技術は、ウェブサイトコンテンツを安全なリモートロケーションに移動させることで、ユーザーのマシンのローカルブラウザ上で実行されないようにする。その後、ターゲットとなるウェブサイトのコンテンツのイメージのみがローカルマシンのブラウザに表示されます。潜在的に危険なウェブサイトのコンテンツがローカルマシンで実行されることはなく、ブラウザの脆弱性の露出とクッキーハイジャックのリスクが自動的に軽減されます。ガートナーのInnovation Insight forRemote Browser Isolationリサーチ(購読が必要)によると、分離技術を使用する組織は攻撃対象領域を70%削減することができます。図 3 の図はSkyhigh Security Remote Browser Isolation (RBI) テクノロジーを示し、ローカルブラウザと WhatsApp サービスの間にどのように配置されるかを示しています。
図3.WhatsAppを分離し、WebSocket通信に入る前に検査する。
WhatsApp Secured with RBIのデモビデオでは、ユーザーがWhatsAppウェブサービスにアクセスする例をご紹介します。WhatsAppウェブサービスはSkyhigh Security クラウド上の隔離クラウド環境で開かれ、会話の画像のみがローカルブラウザに送信されます。隔離されたクラウド環境とRBIで保護されたWhatsAppサービスとの間にウェブソケットが確立され、管理者は隔離されたセッションから全てのアクティビティをコントロールすることができます。
キーテイクアウェイ
アイソレーション技術は、Webプロキシに許可やブロックだけでなく、アクションを適用する自由度をもたらします。自動車産業で言えば、ブレーキの発明によって車のスピードを安全に上げることができるようになったのと同じことです。ブレーキがあれば、車のスピードが上がりすぎて制御不能になるのを防ぐことができるため、エンジニアはより強力なエンジンを開発し、より安全にスピードをコントロールすることができるようになりました。
同様に、分離技術は、ローカルマシンから安全な分離されたブラウザにすべての実行を削除することで、Webプロキシ制御への扉を開くものです。そうすることで、管理者が膨大な例外リストを管理する必要がなくなり、在宅勤務中のユーザーにより自由を与えることができます。このアプローチは、ゼロトラストセキュリティアーキテクチャの原則もサポートしています。
お役立ちリンク集
ブログへ戻る