『より安全な通信方法について考える』
コロナ禍におけるリモートワークの急拡大など、働き方の変化に伴い、VPNを利用するシーンは爆発的に増加しました。 現在では、無意識のうちにVPNを利用している方も非常に多いのではないでしょうか。
一方で近年、VPN製品の脆弱性を狙った攻撃が急増しています。設定の不備を突いた攻撃に加え、製品メーカーが脆弱性を発見してからパッチプログラムを提供するまでの期間を狙うゼロデイ攻撃(Zero-day Attack)、さらに配信されたパッチプログラムがユーザーに適用されるまでの期間を狙うNデイ攻撃など、VPN製品の利用にはさまざまなリスクが存在します。
本稿では、より安全なVPNの利用方法と、それに代わる安全性の高い通信手段について考えていきます。
そもそもVPNとは
VPNとは Virtual Private Network の略称で、インターネット上に仮想の専用回線を構築する技術です。
事業所間や外出先、自宅などから社内ネットワークや特定のサーバーへ、安全に接続するための仕組みとして広く利用されています。
通信内容を暗号化することで、第三者による盗聴や改ざんを防止し、通信の安全性を高める技術として採用されています。
なぜ今『脱VPN』と言われているのか?
最近では『脱VPN』というキーワードを耳にする機会が増えてきました。
では、本来、より安全に通信するための仕組みであるVPNがなぜ近年リスクとして指摘されるようになったのでしょうか。
ここでは、VPNが悪用された実際の事例をもとに、その背景について考えていきます。
VPNを悪用された主な事例
-
事例① VPN製品の脆弱性を突かれ、不正侵入
VPN機器の未修正の脆弱性を悪用され、社内ネットワークへ侵入。内部サーバーや業務システムに不正アクセスされた。
-
事例② ゼロデイ脆弱性を狙った攻撃により情報漏えい
VPN製品のベンダーが脆弱性を公表・修正パッチを提供する前に攻撃を受け、認証情報や機密データが窃取された。
-
事例③ Nデイ攻撃によりランサムウェアに感染
パッチが公開されていたにもかかわらず適用が遅れ、その隙を突かれてVPN経由で侵入。社内端末がランサムウェアに感染し、業務停止に追い込まれた。
-
事例④ 使い回しされたID・パスワードの漏洩による不正操作
他サービスから流出した認証情報を使われ、正規ユーザーとしてVPN接続され内部システムを不正操作された。
-
事例⑤ 多要素認証未導入のVPNが突破され、不正ログイン
パスワード認証のみのVPNがブルートフォース攻撃(総当たり攻撃)を受け、不正ログインを許した。
※上記は代表的な事例となり、全てではありません。
事例から見えてくる課題
これらの事例からわかるのは、利用者(ユーザー)で防げるものと、防ぐのが難しいものが存在するという点です。
事例①②
|
利用者側の運用だけでは回避が困難なケース
|
事例③~⑤
|
|
利用者側の運用徹底やリテラシー向上により回避可能なケース |
より安全にVPNを活用するには
ここからは、利用者側で実施可能な対策について順に整理していきます。
事例③への対応策
対策方法Ⅰ
| パッチプログラムが提供され次第、アップデートできる体制を整える |
対策方法Ⅱ
対策方法Ⅰに関しては「ひとり情シス」の企業などでは運用が難しいケースも多く、繁忙期にパッチプログラムが提唱された際など、後回しになり、結果的に未対応となるリスクがあります。
マンパワーに依存する以上、ヒューマンエラーと隣り合わせの対策と言えます。
一方、対応方法Ⅱは非常に有効ですが、VPN機器の更新時期と合わない場合、コスト面での負担が課題となることがあります。
事例④⑤への対応策
対策方法Ⅰ
対策方法Ⅱ
| 多要素認証(MFA)やSSO(シングルサインオン)を導入する |
対策方法Ⅲ
いずれの対策においても、より確実に実施するためには専用ツールの導入が有効です。
VPNをご利用の場合は、上記の対策ができているか、今一度ご確認いただくことをお勧めします。