Blog
私たちは、ユーザーが自分だけが見ることのできるプライベートネットワークをインターネットの中に構築できるようにすることで、すべてを安全につなぐことができると信じています。ゼロトラストIT/OTネットワーキングをサービスとして提供します。
言語
English
そんなに危険なら、なぜ多くの組織がいまだにポートフォワーディングに頼っているのだろうか?その理由は単純な惰性にとどまらない:
多くのITチームがポートフォワーディングに固執するのは、それが運用のDNAに組み込まれているからだ。それは、スタッフの再教育や文書の書き換えを必要としない、馴染みのあるアプローチだからです。このような組織的な知識は、セキュリティ・リスクを理解していても、変更に対する抵抗を生みます。
古いアプリケーションやシステムは、最新のセキュリティアーキテクチャを念頭に置いて設計されていないことが多い。レガシーソフトウェアの中には、機能するために特定のオープンポートを明示的に要求しているものもあり、重要なシステムを大幅に作り直したり交換したりしなければ解消することが難しい技術的負債を生み出しています。
例えば、10年前のソフトウェアで制御された特殊な機器を稼動させている製造工場では、ベンダーの文書にポート転送だけがサポートされているリモート・アクセス方法だと書かれているかもしれない。
ポートフォワーディングからの 移行には、新しいツールだけでなく、時間と専門知識への投資が必要です。多くの組織は、ライセンス費用や追加インフラを必要とする可能性のある、より安全な代替手段の導入に比べて、ポートフォワーディングを「無料」だと誤解しています。
このような短期的な財務的思考は、最新のアプローチで防ぐことができたかもしれないセキュリティ侵害の壊滅的なコストを無視している。
ポートフォワーディングは、セキュリティ計画よりも即効性のある解決策が優先される「とりあえずやってみる」環境において繁栄する。週末だけこのポートを開けておこう」という一時的な解決策として始めたことが、その後誰もポートを閉じることを忘れなければ、恒久的なセキュリティ上の責任となる。
このクイック・フィックス・アプローチは、時間とともに蓄積される技術的負債を生み出し、新しいポートの例外が攻撃対象に加わるたびに、ネットワークの安全性を徐々に低下させる。
おそらく最も危険なのは、多くの組織が、他のセキュリティ対策がポート転送固有のリスクを補っていると考えていることだ。なぜなら、彼らは次のように考えているからだ:
......転送されたポートが重要な脆弱性を示すことはない。このような誤った安心感は、ほとんどの巧妙な攻撃が、単一の致命的な欠陥ではなく、複数の小さな弱点を突いているという現実を無視している。
ポートが開いていることは、攻撃者にとって新たなチャンスです。露出したポートは、サイバー犯罪者にとって明るいネオンサインのように機能し、潜在的な脆弱性を宣伝する。
リモート・デスクトップ・プロトコル(RDP)ポートを悪用したランサムウェア・キャンペーンのような現実世界の事件は、攻撃者がいかに積極的に開かれた扉を求めてインターネットをスキャンしているかを示している。サービス自体に脆弱性があれば、強力なパスワードやファイアウォールでも十分ではない。
厳然たる事実:もしオープンポートが存在するなら、誰かがそれを見つけようとしている。
理想的な世界では、ポート転送は注意深く設定され、維持され、定期的に監査されるだろう。
現実には?急がされ、一時的で、忘れ去られることが多い。
プロジェクトやテスト、リモート・トラブルシューティングのために一時的に開いたポートが 、文書化も監視もされないまま置き去りにされることがよくある。時間が経つにつれて、このような忘れ去られた設定が積み重なり、悪用されるのを待っている脆弱性の広大なネットワークを作り出してしまう。
何十台、何百台ものデバイスにまたがってポート転送ルールを管理するのは、ロジスティクス上の悪夢だ。
例えば、急成長するIoTの展開では、手動で転送ポートを割り当てたり追跡したりするのは面倒なだけでなく、規模に応じて安全に行うことは不可能です。
さらに悪いことに、ポート割り当ての衝突、設定ミス、NATトラバーサルの問題などが頭痛の種となり、貴重なITリソースを他に費やした方がよいという事態に陥っている。
ネットワークの規模が大きくなればなるほど、手作業によるポート転送は管理しきれないほどの負担となる。
そんなにリスクが高いなら、なぜ多くの人がまだやっているのか?
答えは簡単だ。
多くのチームがポートフォワーディングに固執するのは、それが馴染み深いものだからだ。それは短期的な修正であり、うまくいっているように見える。
この「これで十分」という考え方は、ファイアウォールや強力な認証情報だけでアーキテクチャの根本的な弱点を補うことができると誤信し、組織を無防備な状態にする。
良いニュースは?最新のネットワーキング・アプローチはポート転送を不要にした。
ZTNAは、デフォルトであらゆる接続を信頼する代わりに、ユーザーとデバイスに毎回明示的な認証を要求する。オープンポートはありません。広く開かれたネットワークはない。
ZTNAは、サービスが権限のないユーザーからは見えないことを意味し、攻撃対象が大幅に減少する。
プライベートプロキシは、サービスをインターネット全体に公開するのではなく、許可されたユーザーと特定のデバイスの間に安全で暗号化されたトンネルをオンデマンドで作成する。
永続的なパブリック・エンドポイントが存在しないため、攻撃者がスキャンしたり悪用したりできるものは何もない。
この方法は、ネットワークを不必要なリスクにさらすことなく、正確で一時的な接続を可能にする。
Remote.Itのような最新のソリューションにより、開発者、ITチーム、企業は、ポート転送にまったく触れることなく、あらゆるネットワーク上のデバイスやサービスに接続することができる。
これらのサービスは、今日のハイブリッド、マルチクラウド、IoT環境向けに設計され、暗号化、ID管理、アクセス制御を組み込んだ摩擦のないセキュアなアクセスを提供します。
現在もポートフォワーディングに頼っているのであれば、最新化しても遅くはない。
まずはここから始めよう:
目標は、セキュアなリモート・アクセスを例外ではなく、当たり前のものにすることだ。
ポート転送は、別の時代には便利なツールだった。しかし今日では、ITチームがもはや無視することのできない負債となっている。
現在では、より優れた代替手段が広く利用できるため、オープンポートに固執することは、不必要にセキュリティリスクや運用上の頭痛の種、将来のスケーラビリティの課題に組織をさらすことになる。
ゼロ・トラスト原則、プライベート・プロキシ、そして#Remote.Itのような最新の接続サービスを採用することで、将来に向けてネットワーク・インフラを保護することができます。
振り返ることなく前進する準備はできているか?
今すぐリモートアクセス戦略を近代化する方法をご覧ください。
.png){kind=logo}
