SSL VPNの9割がセキュリティ対策が不十分な状況

後藤大地  [2016/03/01]

Softpedia

Softpediaに2月26日(米国時間)に掲載された記事「90 Percent of All SSL VPNs Use Insecure or Outdated Encryption」が、SSL VPNの9割ほどが古い暗号化技術や安全ではない暗号化技術を使っているために適切なセキュリティレベルを提供していないと伝えた。セキュリティファーム「High-Tech Bridge」の調査結果を引用する形で紹介されている。

SSL VPNは従来のIPsecベースのVPNと異なり、Webブラウザからサーバに接続して利用するタイプのVPN。WebブラウザはSSL VPNサーバのインストールされたホストにアクセスし、ブラウザを経由してVPNの機能を利用することになる。この方式はクライアント側に専用のソフトウェアをインストールする必要がなく簡単に利用できるという特徴がある。通信経路やSSLやTLSを使って暗号化されることになる。

High-Tech Bridgeの調査によれば、ランダムに選択した10,436のSSL VPNサーバを調べたところ、それらのうち77%がすでに利用の停止が推奨されているSSLv2またはSSLv3が使われていたと指摘。また、使われているSSLのバージョンに関係なくSSL VPNサーバの76%が検証できないSSL証明書を使用しており、中間者攻撃に利用されるおそれがあることも指摘されている(証明書の期限が切れているにもかかわらず更新されていないことが主な原因だとされている)。

さらに証明書の74%がSHA-1シグネチャでサインされているほか、5%に関してはMD5ハッシュでサインされているとも指摘されている。どちらもすでに安全とは言えないとして利用の停止が呼びかけられている方式だ。さらに悪いことに、SSL VPNの1割ほどはOpenSSLの脆弱性「Heartbleed」を抱えたままだと指摘されており、深刻な状況にあることが指摘されている。

調査したSSL VPNのうち、PCI DSSの要求に準拠していたものは3%、NISTガイドラインに沿っていたものは1つも存在しなかったとしている。SSL VPNは簡単に使い始めることができるため人気があるが、運用状況がセキュリティ面で好ましい状態とは言えないことが示されたことになる。SSL VPNのサービスを利用している場合はセキュリティの状況をチェックするとともに、必要に応じてよりセキュリティレベルの高いサービスへの移行を検討することが望まれる。

<お知らせ>
ITソリューション検討Information

マイナビニュースのIT Search+では、ITソリューションの検討に役立つ情報を掲載しています。
ここでは、IT Search+の人気記事ベスト3をご紹介。ぜひ、ビジネスにお役立てください。



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

特別企画 PR

人気記事

一覧

イチオシ記事

新着記事

ジョイゾー、kintone拡張「レコード一括更新プラグイン」を提供開始
[03:10 5/28] 企業IT
【レポート】GeForce GTX 1080が深夜販売 - 価格は税込10万円前後で初回入荷分はあっという間に完売
[01:19 5/28] パソコン
V6森田剛&三宅健の絆伝わるエピソードに感動の声「剛健尊い」「涙出た」
[00:40 5/28] エンタメ
TVアニメ『テラフォーマーズ リベンジ』、第9話のあらすじ&場面カット紹介
[00:14 5/28] ホビー
『ジョジョ』第4部、第9話の先行場面カット&あらすじを公開ッ!
[00:01 5/28] ホビー

特別企画 PR

求人情報