71%がVPNのセキュリティを懸念
本稿は、Voicyで放送中の「今日の10分セキュリティラジオ」の文字起こし書き起こし記事です。
ITもセキュリティも素人の宮本が、気になるセキュリティのニュースについて専門家の松野さんと読み解いていく「今日の10分セキュリティラジオ」。
今回は、ゼットスケーラー株式会社は10月4日、Cybersecurity Insiders が実施した調査結果をまとめた年次レポート「2022年版 VPNリスクレポート(日本語版)」を発表した。コチラの記事を簡単に解説します。
VPNを使用する上でのリスクについて発表されています。今回は、VPNを取り巻くセキュリティの課題と、その対策について説明します。
早速ですが、宮本さんは在宅勤務をされて長いと思いますが、在宅勤務に欠かせない物を3つ挙げるとすると、なんですか?
そうですね、パソコンとインターネット、後はWeb会議で疲れた時に食べるチョコレートは欠かせません!
そんな在宅勤務が板についてきた宮本さんにも知っていただきたい、VPNのセキュリティに関する話題です。
今回のレポートでは、北米の企業に勤務するIT専門家350人以上を対象に調査を実施しました。その中で、リモートアクセス環境の現状や最も多く報告されているVPNの危険性、ゼロトラスト導入の増加に関する分析などをまとめています。
そういえば、私もリモートワークをする際に、ネットワークに接続した後VPNにも接続して業務を進めるという形を取っています。改めて、VPNは何のために使われているのか、ご説明いただけますか。
VPNとは、Virtual Private Networkの略で、仮想専用線とも訳されます。専用線は第三者が使用しない回線ですので、セキュリティレベルが高いと言うことができますが、物理的な回線を独占しますので、維持するためのコストが高く、誰もが使えるものではありません。一方でVPNは、2つの拠点間に暗号化された論理的な回線をインターネット上に構築することで仮想的に専用線を構築します。維持するためのコストも安く、古くからあった技術でもあるため、在宅勤務が急速に進んだここ数年で、自宅からオフィスの環境へ接続する手段として多く使われています。
今回の記事ではVPNの危険性などにも触れられているようですが、具体的にどのようなことが挙げられていますか?
今回のレポートでは、VPNについて、調査対象企業の44%がリモートワークの採用以降にVPNを標的とする攻撃の増加を経験しています。また、VPNのセキュリティについて、71%の組織がIT環境を危険にさらす可能性があると懸念しているということです。
やっぱりVPNには危険もあるんですね、、、うちの会社でも使っていますが、他にも使っているリスナーさんがいるかもしれません。大丈夫でしょうか?
確かに、VPNに頼ったセキュリティには課題がありますが、VPNを使うこと自体が危険というわけではありません。
まず、VPNは論理的な回線をインターネット上に構築すると説明しました。VPNの仮想的な専用線を構築するために必要な要素は、主にIDとパスワードです。このIDとパスワードに推測可能な文字列が使われていたとすると、どうなるでしょうか。構築された仮想的な専用線はオフィスの環境へつながっているため、攻撃者はいとも簡単に機密情報が詰まった社内ネットワークへ接続することができます。リスクの本質はここです。
安全性を保ったうえでリモートワークをしたいのですが、仮にVPNを使うとしたら、どのようなことに気を付けたら良いでしょうか。
うちの会社でもVPNが使われたら、必ず本人に通知が来るようになっていますね。その状況が定期的に監査されているわけですが、万が一、VPNのアカウントが不正に利用されたら気が付くことができるセキュリティ監視が求められます。 また、VPN自体をセキュリティの手段としないことも必要です。VPNで接続することは、あくまでもオフィスのネットワークへ接続する手段であり、そのあとにアクセスできるシステムは個別にセキュリティ対策を考える必要があります。
仮に、VPNで接続したら社内のファイルサーバへ認証なしにアクセスできたり、Webサービスの管理画面へ無条件にアクセスできたりしてしまうのは、十分なセキュリティとは言えません。VPNを使用する上でも、何も信じないというゼロトラストの考え方が必要とされますね。
ありがとうございます。VPNを使っていれば安全というわけではなく、VPNを使うことは、あくまで不正利用に早めに気付けるというところで、セキュリティ対策は個別に必要なんですね。課題となっている部分も理解して、どんなセキュリティ対策が必要か、改めて考える機会にしようと思います!