テレワーク対応のシンクライアント並みセキュア化

　シンクライアントは高過ぎる、使えても遅い、その上一部アプリが動かない等々、結局は使えない。ということで、リスキーなことはわかってはいるけれど、市販のウイルス対策ソフトを入れただけのWindowsパソコンをVPN接続で使い続けていませんか。しかし、これはちょっとあきらめるのが早過ぎるのではないでしょうか。というのは、Windows 10でもエディションがPro以上ならばそのセキュリティ機能を使いこなすことで、テレワークに耐えるセキュアな環境が実現可能だからです。今からでも遅くはありません。費用はわずかで済みますので、WindowsのエディションをPro以上に上げてセキュア化にチャレンジください。 

　ここでは始めにセキュア環境実現上の要である統合書き込みフィルタUWFによりパソコン環境を固定する方法とBitLockerによりディスクドライブを暗号化する方法の有効性をそれぞれ示し、それらの弱点を明らかにします。次いで、両者とCOMODO FirewallあるいはSimple Software-Replication Policyを組み合わせることでそれらを解消するテレワーク対応の低コストセキュア化法を提案します。

 １．統合書き込みフィルUWFによるセキュア化法 　

　UWFによりシステム変更や書き込みがシャットダウン後にすべて破棄されるようにしてデータがパソコン内部に残らないようにするセキュア化法です。このセキュア化した環境を従来からの実現手段である環境復元ツールの側では、疑似シンクライアントと呼んでいます。というのは、パソコン内部にデータが残らない上に、喩え不適切な設定変更が行われたりウイルスに感染したりしても、シャットダウンするだけで、感染前のセキュアな状態に戻りクラッキング状態の永続を防止できるからです。また、シンクライアントのように、サーバやネットワークがネックとなり十分な応答速度が得られず生産性が低下することも起こらないからです。 とはいえ、データがシャットダウン後にパソコン内に残らないことは、ログイン毎にデータをネットワーク経由でサーバから持ってこなければならなくなることを意味し、シンクライアント同様、オフラインでは何もできなくなる欠点があります。加えて、データの容量が大きいと、クライアント側にデータを持ってくるのに時間がかかり、それが作業上のネックになりえる弱点もあります。 

　なお、ファイルサーバへのアクセスは、Teamfile、CarotDAV 等のWebDAVクライアントを用いるHTTPS接続限定のWebDAV経由とするのが便利です。また、ファイルサーバは、WebDAV対応のTeraCloud、Box等のオンラインストレージを利用すれば、自前で設置しなくとも済みます。

 ２．BitLockerによるセキュア化法

 　BitLockerによりドライブ全体を暗号化することで、盗難・紛失等での内部データへの不正なアクセスを防ぐ方法です。このドライブ暗号化によってパソコンの機能上の見え方が変わるわけではありませんので、使い勝手は暗号化前と変わりません。オフラインでも、インストールされているアプリについては、問題なく使えます。同期型のオンラインストレージ等でデータをサーバ側と共有していれば、オンライン、オフラインを意識することなく使うことができます。また、Windowsの自動アップデートも管理者権限無しで行われますので、テレワークのために持ち帰りっぱなしとしても問題は起こりません。このように通常のパソコンのファットクライアントとしての機能を損なわない点は大変優れています。しかし、複数のクライアントを一元管理する機能が乏しくそのままでは管理が煩雑で、不用意に用いると、パスワードや回復キーを喪失しデータが全く読めなくなる最悪の事態も起こりえます。従って、別途、一元管理ツールを導入するなど使用環境の十分な整備が必須です。さらに、暗号化解除等の設定変更が管理者権限無しでできてしまうので、システム管理者の提供するセキュアな環境の維持が保証できない欠点もあります。  

３．テレワーク対応のセキュア化法の提案 

（１）UWFとBitLocker併用によりそれぞれの弱点を解消 　

　OSドライブはUWFにより変更／書き換えがシャットダウンで破棄されるようにする一方、データドライブはBitLockerで暗号化するようにします。これにより、OSやプログラムに対する変更が効くのはシャットダウンまでとなり、システム管理者提供のセキュアな状態での起動とデータのPC内保持の両立が可能になります。OSドライブと暗号化ドライブ以外に対する書き込みを禁止しておけば、盗難、紛失等での情報漏洩を実効的に防止できます。また、暗号化ドライブのフォルダをファイルサーバ（あるいはオンラインストレージ）上のフォルダと同期させれば、パソコンにデータを取り込む時間も無くなります。加えて、同期フォルダをCryptomatorで2重に暗号化することとすれば、そのパスワードを知る関係者（例えばワーキンググループのメンバー）しかアクセスできなくなり、オンラインストレージが盗み見される情報漏洩リスクもなくなります。さらに、OSドライブの暗号化が不要になるため、クローニングによるマスターイメージの展開が容易になる利点もあります。 ただし、この方法ではBitLockerのグループポリシーで、コンピューターの構成 \ 管理用テンプレート \Windows コンポーネント Components\BitLocker ドライブ暗号化 \固定データドライブ\BitLocker で保護されていない固定ドライブへの書き込みアクセスを拒否する　を有効化し、暗号化無しではデータドライブが利用できないよう設定して、一般のユーザに対するデータドライブ暗号化が実効的に強制されるようにしておくことが必要です。これは、盗難・紛失時の情報漏洩防止に必須なクライアント側のデータドライブ暗号化が、外部からの監視無しで、換言すれば高額なBitLockerの一元管理ツールの導入無しで実現されるようになるからです。 

　残念ながら、この方法にも弱点はあります。それは、ログイン時のパスワード入力に加え、BitLockerのパスワード入力、Cryptomatorのパスワード入力と、合計3回もパスワード入力が必要になることです。BitLockerまでは強制ですので入力せざるを得ず、あきらめてもらうしかありませんが、Cryptomatorについては面倒がって、使ってくれなくなる可能性があります。パスワードの自動入力ツールを提供し、手間を少しでも省けるようにする必要があります。  

（２）従来型マルウェア対策 　

　UWFによりOSドライブが書き変えられなくなることで、喩えマルウェアに感染しても、再起動するだけでクリーンな環境に戻るようになります。しかし、感染時点からシャットダウンまでの情報漏洩やランサムウェアによる暗号化まで阻止できるわけではありませんので、感染防止対策が不要になるわけではありません。当然ながら、ウイルス対策ソフトも必要ですが、従来型のマルウェアであっても、新種には非力なので、それだけでテレワークに耐える十分なセキュリティは確保できません。セキュリティ向上には、実行可能なアプリケーションを業務に必要なもののみに限定するホワイトリスト型のアプリケーションコントロールが有効ですが、その機能を提供するWindowsのApplockerはEnterprise版でないと利用できません。そこで、ここではフリーソフトであるCOMODO Firewallのアプリケーションコントロール相当機能を利用します。 　

　COMODO Firewallでアプリケーションコントロールに相当するのは、設定をクリックすることで開く高度の設定の中のコンテナ仮想化の下の自動コンテナ仮想化です。これを利用するとシステム管理者があらかじめインストールあるいは組み込んだ実行可能ファイル以外は全てブロックされるように設定できます。その設定は次の通りです。

　始めにタスクトレイのComodo Firewallアイコンを右クリックして表示されるメニューの自動コンテナ仮想化にカーソルを移動し表示される設定をクリックします。次いで、自動コンテナ仮想化を左クリックして開くウインドーのメニュー左端の追加をクリックします。新たに開くウインドーの最上段のアクションを右端の▼をクリックして開くプルダウンメニューでブロックを選びます。続いて、その下の編集をクリックし、新たに開くウインドーの最上段のファイルの場所を、右端の参照をクリックしファイルグループに行き、最上段の実行可能ファイルを選びます。さらに、数段下のファイルの入手先の右端の追加をクリックし、インターネットを選択します。この追加を繰り返し、リムーバブルメディア、イントラネットも選択します。終わったら、最下段のOKをクリックして、このウインドーを抜けます。これで戻ったウインドーも、やはりOKをクリックして抜けます。戻った自動コンテナ仮想化のウインドーのリストの最上段に追加したアクションが登録されていればプリケーションコントロールの設定完了です。

　この設定により、メール経由も含め、ユーザが外部から取り込む実行可能ファイルはすべて実行できなくなります（ただし、このブロックアクションに穴ががないかどうかまでは試せていないので、従来型のマルウェア対策をこのブロック機能に全面的に頼る場合には十分な調査あるいはテストを行うことをお勧めします。）。 なお、アプリケーションコントロールのアクションとして、ブロックではなく仮想化して実行を選ぶこともできますが、これは推奨できません。というのは、実行可能ファイルがウイルスだった場合、ランサムウェアによるデータドライブの暗号化は防止できても、情報漏洩までは防げないからです。  

（３）ファイルレスマルウェア対策 

　残念ながら、COMODO Firewallのアプリケーションコントロールでは、最近猛威を振るっているEmotet、IcedID等のファイルレス攻撃まで防ぐことはできません。この厄介なファイルレス攻撃を食い止めるには、ファイアーウォールでそれに悪用されているOS操作ツールのPowerShellによるダウンロードをブロックするのが有効ですが、回避手段もなくはないようです。このような回避をできなくする簡単で確実な方法は、のPowerShell自体を止めてしまうことです。PowerShellが利用できなくなっても、ブラウザ、Word、Excel、PowerPoint程度であれば問題なく動きますので、大半の人はテレワークに支障を来すようなことにはならないでしょう。

　しかし、PowerShellを作業の省力化に常時活用している場合や一部のアプリやクライアント管理ツールが機能しなくなってしまう場合は許容できないでしょう。このような場合には、Comodo Firewallにデフォルトのコンテナ仮想化ルールに組み込まれている疑似ファイルダウンローダのブロック機能で良しとするか、有償のウイルス対策ソフトを導入するしかありません。ただし、有償のウイルス対策ソフトはAV-TESTで2019年9月に最上位であったKasperskyでも、防御率94.12%と完全な防御を保証できるわけではありません。ユニークな動作原理から完全な防御が期待できるAppGuardのようなウイルス対策ソフトもありますが、残念ながら第三者機関の評価データはないので真の実力は不明です。 

　Powershellの停止は、次の通り、PowerShell 2.0 と最新版の両方について行います。 ① 「Win」+「R」キーを押して「ファイル名を指定して実行」を起動し、テキストボックスに「OptionalFeatures.exe」と入力してから「OK」ボタンをクリックすることで、Windows の機能の有効化または無効化ウィザードを開き、Windows PowerShell 2.0のチェックをはずしてから、「OK」ボタンをクリックします。 ② 以下のファイルをSimple Software-Replication Policy（SSRP）でロックするか、ローカルグループポリシーエディタのWindowsの設定＞セキュリティの設定＞ソフトウェア制限のポリシー＞追加の規則＞新しいパスの規則のパスで指定するソフトウェア制限ポリシーでセキュリティレベルを許可しないとするか、あるいは対象ファイル自体をリネームするかして呼び出せなくします。ただし、リネームについてはpowershell.exe、powershell_ise.exeについては、あらかじめ権限を取得してから行う必要があります。権限の取得は、次のア、イの順で行います。ア．右クリックでプロパティを開き、右下の詳細設定をクリックし、開く詳細設定で変更をクリックし、開くウィンドーで例えば自身のユーザIDを選択するオブジェクト名として入力します。イ．確認、OKボタンを順にクリックし、所有者を自身に変更してから、編集ボタンをクリックして、自信にフルコントロールのアクセス許可を設定する。 C:\Windows\WinSxS\*\System.Management.Automation.dll

C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Management.Automation\*\System.Management.Automation.dll

C:\Windows\assembly\*\*\*\System.Management.Automation.ni.dll

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe 　　C:\Windows\System32\WindowsPowerShell\v1.0\powershell_ise.exe 　　C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe 　　C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell_ise.exe 　

ここで、*はワイルドカードです。リネームは、異なるディレクトリが存在しうるので、検索で確認の上、行う必要があります。ここで、リネームによるPowershellの停止は、SSRPと同様にHOME版でも実現できる上に、tempフォルダ等にコピー後、リネームして悪用する回避手段が取れなくなる利点があります。しかし、Windowsのアップデートごとにリネームが維持されているかどうか確認しなければならない弱点があります。なお、SSRPによるロックついてはデフォルトでtempフォルダへのコピーができなくなる設定がなされていますので、簡単に回避されることはありません。

（４）ウイルス定義ファイルの自動更新とセキュリティ更新への対応 

　UWFによりOSドライブを書き変えられなくすると、当然ながら、ウイルス定義ファイル更新、セキュリティ更新のいずれもできなくなってしまいます。これに対しては、逃げ手をマイクロソフトが以下の通り示しています。

 ・Unified Write Filter (UWF) 環境での運用を考慮した設定についての中のAntimalware (Windows Defender / System Center Endpoint Protection) での除外設定 

・UWF で保護されているデバイスに Windows 更新プログラムを適用します。 ここで、更新プログラムの適用には、管理者権限が必要ですので、一般ユーザに定期的に実行してもらうにはrunas等を利用する管理者権限無しで実行可能な仕掛けを用意して提供する必要があります。