VPN(Virtual private network)は公衆網であるインターネット上で安全な通信を実現するための技術の一つです。その特性から、セキュリティを確保する手段の一つとして、広く使われています。例えば、テレワークの実現のために、インターネットから社内ネットワークにアクセスできるようにする。本社と拠点間・店舗間をプライベートネットワークで繋げるなどです。
一方で、VPNを導入している・利用しているから、セキュリティは問題なし、安全であるという思い込みを多く見かけます。残念ながら、VPN、またはVPNを実現するVPN機器もあくまで一つの技術・製品であることには変わりありません。そのため、他のIT資産と同様に、日々の継続的かつ適切な運用や管理が必要になります。
むしろVPNの安全が侵害された場合、不正なユーザーや悪意を持つユーザーが内部ネットワークに接続できてしまい、大変危険な状況になります。実際に近年はこのVPNが原因でセキュリティ被害にあってしまった事例が多くあります。
VPNが原因のセキュリティ被害としては以下のような例が発生しています。
そしてこれらの多くは、VPN機能を提供するルーターなどのネットワーク機器・VPN機器に存在する脆弱性を悪用されてしまったことが原因です。脆弱性が悪用されるまで放置されてしまった理由としては以下のような例があります。
とある事例では、社内ネットワークの急激な負荷増加の対応のために、臨時的措置として既に利用を辞めていたVPN機器を利用したところ、被害に繋がってしまったものもあります。
また、自社や国内拠点においては適切な運用や脆弱性管理が行われていたが、海外拠点や取引先経由で内部ネットワークへの侵入を許してしまったというサプライチェーン攻撃の問題も関係するのも特徴です。その他にもダークウェブで取引された認証情報や、公共アクセスポイントの利用により窃取された認証情報を用いられることもあります。
今まで述べてきたようなセキュリティ被害に遭わないためには、次のような対策が有効であると考えられています。
リモートワークの普及した現代のビジネス活動において、VPNは非常に重要な技術です。そしてVPNから内部ネットワークにアクセスできるということは、悪意を持つユーザーにとってVPNは魅力的な侵入経路になりうるということです。残念ながら、近年実際にVPNを侵入経路としてセキュリティ被害にあってしまう例が多く発生しています。
そのことを念頭に、VPNを利用する側は、「VPNを利用すれば安全である」という思い込みを辞め、継続的に適切かつ迅速な対策ができるよう検討する必要があります。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
