目次:
ビデオ: èæ´¥ããå¿è³é«åéè·¯ã§ä¿¡å·ã¸ (十一月 2024)
ビジネスにプラグインされるすべてのクラウドベースのサービスにはセキュリティが不可欠であり、攻撃ベクトルは日々進化しています。 企業通信のハブとして機能するVoice-over-IP(VoIP)アプリのようなインターネット接続アプリケーションの場合、インサイドアウトセキュリティ対策はさらに不可欠です。特に、どのプラクティスと問題領域を避けるべきかを知っている必要があります。
セキュリティで保護されたユーザー認証とネットワーク構成を確保するか、すべてのVoIP通信とデータストレージでエンドツーエンドの暗号化を有効にするかどうかにかかわらず、組織はIT管理を監督し、セキュリティ要件が確実に満たされるようにビジネスVoIPプロバイダーと緊密に連携する必要があります満たされ、施行されました。
RingCentralの最高セキュリティ責任者(CSO)であるMichael Machadoは、RingCentralのすべてのクラウドおよびVoIPサービスのセキュリティを監督しています。 Machadoは、過去15年間、ITおよびクラウドセキュリティに携わり、最初はWebExのセキュリティアーキテクトおよび運用マネージャーとして、その後、同社がビデオ会議サービスを取得してからシスコで勤務しました。
会社のVoIP通信のセキュリティに関する考慮事項は、VoIPプロバイダーを選択する前の調査と購入の段階から始まり、実装と管理を通じて維持されます。 マチャドは、セキュリティの観点からプロセス全体を歩き回り、途中のあらゆる規模のビジネスで行うべきこととすべきでないことを説明するために立ち止まりました。
VoIPプロバイダーの選択
禁止事項:共有セキュリティモデルを無視する
あなたが中小企業であろうと大企業であろうと、VoIPやサービスとしてのユニファイドコミュニケーション(UCaaS)に関係なく、最初に理解する必要があることは、一般にすべてのクラウドサービスに共有セキュリティが必要であることです型。 マチャド氏は、顧客として、あなたのビジネスは、あなたが採用しているすべてのクラウドサービスの安全な実装において常に責任を共有していると言いました。
「特に企業が小規模でリソースが少ない場合は、顧客が理解することが重要です」とマチャド氏は述べています。 「VoIPは、銅線に接続された機械的なデバイスだと思います。そうではありません。物理的なハンドセット、ソフトウェアを実行しているコンピューター、それを実行するコンピューター、モバイルアプリ、またはソフトフォンアプリケーションであっても、VoIP電話とは異なりますPSTNに差し込まれた機械式電話。通常の電話とは異なります。セキュリティが顧客とベンダーの間で閉ループになるようにする責任があります。」
DO:ベンダーのデューデリジェンス
その共有された責任を理解し、クラウドVoIPサービスを採用したい場合は、ベンダーを選択する際にデューデリジェンスを行うことが理にかなっています。 あなたの規模とスタッフの専門知識に応じて、マチャドは、企業と中小企業(SMB)がさまざまな方法でこれを実現する方法を説明しました。
「デューデリジェンスに時間を割く余裕のある大企業なら、すべてのベンダーに質問し、監査レポートを確認し、セキュリティについて議論するための会議を数回行うための質問のリストを考え出すことができます。」 。 「あなたが中小企業なら、SOC 2監査レポートを分析する専門知識や、重い議論に投資する時間がないかもしれません。
「代わりに、GartnerのMagic Quadrantレポートのようなものを調べて、SOC 1またはSOC 2レポートが利用可能かどうかを確認できます。たとえそれを読んで理解する時間や専門知識がなくてもです」説明した。 「監査レポートは、セキュリティに強い投資を行っている企業とそうでない企業を示す良い指標です。SOC2に加えて、SOC 3レポートを探すこともできます。これは、同じ標準の軽量で認証のようなバージョンです。これらは、セキュリティに関して正しい方向に進み始めるための小規模企業としてあなたが探すことができるものです。」
実施:契約のセキュリティ条項の交渉
VoIPベンダーを選択した時点で、購入を決定する可能性を検討しています。 Machadoは、可能な限り、企業がクラウドベンダーと契約を交渉する際に、明示的なセキュリティ契約と条件を書面で取得するよう試みることを推奨しました。
「小さな会社、大きな会社、それは問題ではありません。会社が小さければ小さいほど、それらの特定の条件について交渉する必要性は少なくなりますが、それは「尋ねないでください」シナリオです」とマチャドは言いました。 「ベンダーからのセキュリティ義務に関して、ベンダー契約で何が得られるかをご覧ください。」
VoIPセキュリティ対策の展開
DO:暗号化されたVoIPサービスを使用する
展開に関しては、最新のVoIPサービスがエンドツーエンドの暗号化を提供しないという言い訳はないと述べました。 Machadoは、組織がTransport Layer Security(TLS)またはSecure Real-Time Transport Protocol(SRTP)暗号化をサポートするサービスを探し、理想的には、コアセキュリティ対策のアップセルなしでそれを行うことを推奨しました。
「常に最も安いサービスに行くのではなく、より安全なVoIPにプレミアムを支払う価値がある場合があります。クラウドサービスのセキュリティにプレミアムを支払う必要がない場合はさらに良いです」とMachado氏は言います。 「顧客としては、暗号化されたVoIPを有効にして、すぐに使用できるようにする必要があります。プロバイダーは、暗号化されたシグナリングだけでなく、安静時の暗号化メディアも使用することが重要です。人々は、インターネットを横断せずにプライベートな会話を望みますプレーンテキストの音声を使用します。ベンダーがそのレベルの暗号化をサポートしていることを確認してください。
禁止事項:LANを混在させる
展開のネットワーク側では、ほとんどの組織にハンドセットとクラウドベースのインターフェイスが混在しています。 多くの従業員はVoIPモバイルアプリまたはソフトフォンを使用しているだけかもしれませんが、多くの場合、VoIPネットワークに接続されているデスクフォンと会議電話も混在しています。 これらすべてのフォームファクターについて、Machadoは、同じネットワーク設計内でフォームファクターと接続デバイスを混在させないことが重要であると述べました。
「別個の音声LANをセットアップしたい。ハードボイス電話がワークステーションやプリンターと同じネットワーク上で混同したくない。それは良いネットワーク設計ではない」とマチャドは言った。 「もしあれば、セキュリティ上の問題が発生する可能性があります。ワークスペースが互いに通信する理由はありません。私のラップトップはあなたと通信する必要はありません。アプリケーションと通信するサーバーファームとは異なります。データベース。」
代わりに、マチャドはお勧めします…
DO:プライベートVLANをセットアップする
Machadoが説明したように、プライベートVLAN(仮想LAN)により、IT管理者はネットワークをより適切にセグメント化および制御できます。 プライベートVLANは、デバイスをルーター、サーバー、またはネットワークに接続するための単一のアクセスおよびアップリンクポイントとして機能します。
「エンドポイントセキュリティアーキテクチャの観点から、プライベートVLANは、「このワークステーションは他のワークステーションと通信できない」というスイッチでこの機能をオンにできるため、優れたネットワーク設計です。 他のすべてと同じネットワーク上にVoIP電話または音声対応デバイスがある場合、それは機能しません」とMachado氏は述べています。 「より特権的なセキュリティ設計の一部として、専用の音声LANをセットアップすることが重要です。」
禁止事項:VoIPをファイアウォールの外側に置きます
VoIP電話は、イーサネットに接続されたコンピューティングデバイスです。 Machadoは、接続されたエンドポイントとして、他のコンピューティングデバイスと同様に、企業のファイアウォールの内側にもある必要があることを顧客が覚えておくことが重要であると述べました。
「VoIP電話には、ユーザーがログインし、管理者が電話でシステム管理を行うためのユーザーインターフェイスがあります。すべてのVoIP電話には、ブルートフォース攻撃から保護するためのファームウェアがあります。」 「あなたのメールアカウントは数回の試行後にロックされますが、すべてのVoIP電話が同じように機能するわけではありません。ファイアウォールの前にファイアウォールを配置しないと、インターネット上でブルートフォース攻撃とログイン。」
VoIPシステム管理
実施:デフォルトのパスワードの変更
VoIPハンドセットの製造元に関係なく、デバイスには、Web UIに付属する他のハードウェアと同様に、デフォルトの資格情報が付属しています。 MiraiボットネットDDoS攻撃につながるような単純な脆弱性を回避するために、Machadoは、最も簡単なことは単にこれらのデフォルトを変更することであると述べました。
「顧客は、電話機を保護するために事前対策を講じる必要があります」とマチャド氏は述べています。 「デフォルトのパスワードをすぐに変更するか、ベンダーが電話のエンドポイントを管理している場合は、代わりにそれらがデフォルトのパスワードを変更していることを確認してください。」
実施:使用状況を追跡する
クラウド電話システム、構内音声システム、構内交換機(PBX)のいずれであっても、すべてのVoIPサービスには攻撃対象があり、最終的にハッキングされる可能性があるとマチャドは言いました。 それが起こったとき、彼は最も典型的な攻撃の1つは、通信詐欺またはトラフィックポンピングとも呼ばれるアカウント乗っ取り(ATO)であると言いました。 つまり、VoIPシステムがハッキングされると、攻撃者はその所有者にお金がかかる電話をかけようとします。 最善の防御策は、使用状況を追跡することです。
「あなたが脅威アクターだとしましょう。あなたは音声サービスにアクセスできて、電話をかけようとしています。組織がその使用を監視している場合、異常に高い請求書があるかどうかを見つけることができます。従業員が電話をかける理由がない場所に45分間電話をかけているユーザーのようなものです。それはすべて注意を払うことです」とマチャドは言います。
「これをクラウド化する場合(従来のPBXやオンプレミスVoIPを使用しないことを意味します)、ベンダーと話し合い、私を守るために何をしているのかを尋ねます」と彼は付け加えました。 「サービスに関してオンとオフを切り替えることができるノブとダイヤルはありますか。バックエンド詐欺の監視や、ユーザーに代わって異常な使用を探すユーザー行動分析を行っていますか?これらは重要な質問です。」
してはいけないこと:広範なセキュリティ権限を持っている
使用に関しては、ATOの潜在的な被害を抑える1つの方法は、万が一に備えて、ビジネスに不要な権限と機能をオフにすることです。 マチャドは国際電話を例として挙げました。
「あなたのビジネスが世界のすべての地域に電話する必要がない場合、世界のすべての地域に電話をかけないでください」と彼は言いました。 「米国、カナダ、メキシコでのみビジネスを行う場合、他の国すべてに電話をかけたいですか、それともATOの場合に停止するのが理にかなっていますか?あらゆるテクノロジーサービスのユーザー、およびビジネスでの使用に必要のないものはすべて、広範であるとみなされます。」
してはいけないこと:パッチ適用を忘れる
更新プログラムを適用して最新の状態に保つことは、あらゆる種類のソフトウェアにとって重要です。 ソフトフォン、VoIPモバイルアプリ、またはファームウェアアップデートを備えたハードウェアのいずれを使用している場合でも、マチャド氏はこれは非常に簡単だと言いました。
「独自のVoIP電話を管理していますか?ベンダーがファームウェアをリリースし、テストと展開を迅速に行う場合、多くの場合、すべての種類のパッチを処理します。セキュリティパッチは、電話を管理するベンダーから提供されることがあります。その場合、誰がパッチ適用を管理し、どのようなサイクルがあるのかを必ず確認してください」とMachado氏は述べています。
DO:強力な認証を有効にする
強力な2要素認証とより重いID管理への投資は、もう1つのスマートなセキュリティ手法です。 マチャド氏は、VoIPだけでなく、認証が常に重要な要素であると述べました。
「常に強力な認証をオンにします。クラウドPBX、電子メール、またはCRMにログインしている場合でも違いはありません。これらの機能を探して使用してください」とMachado氏は述べています。 「私たちはあなたの机の上の電話について話しているだけでなく、ウェブアプリケーションやサービスのすべての異なる部分について話している。ピースがどのように結合し、各ピースを順番に保護するかを理解する。」
