米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は9月28日(現地時間)、「CISA and NSA Release Guidance on Selecting and Hardening VPNs」において、サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)と国家安全保障局(NSA)が共同で、VPN(仮想プライベートネットワーク)に関連する潜在的なセキュリティリスクに対処するためのサイバーセキュリティ情報シート「Selecting and Hardening Remote Access VPN Solutions」をリリースしたと伝えた。この情報シートでは、VPNを選択する際に考慮すべき要素や、それを安全に展開するため構成などについて詳しく解説されている。

「Selecting and Hardening Remote Access VPN Solutions」の全文は次のページ(PDF)で見ることができる。

VPNを利用すると、ユーザーはリモートからセキュアなトンネルを介して企業のネットワークに接続し、通常は企業内でしかアクセスすることのできないサービスやアプリケーションを利用したり、ファイルサーバから社外秘の機密文書などを閲覧したりできるようになる。その一方で、VPNは悪意を持ったサイバー攻撃者にとっては魅力的なターゲットでもあるという。VPNのセキュリティ対策を突破できてしまえば、企業のシステムに自由自在にアクセスできるようになるからだ。

CISAとNSAは、実際に複数のAPT(持続的標的型攻撃)アクターが、脆弱なVPNデバイスを標的にするためにCVEの脆弱性情報を悪用していることを確認しているという。すでに情報が公開され、修正パッチがリリースされているVPN機器に対策を施さないでいることは、企業にとって重大なセキュリティリスクとなる。

CISAとNSAによる情報シートでは、VPNを選択する際に考慮するべき項目や、VPNを攻撃から守るための具体的なアクションが詳しく解説されている。VPN製品を選ぶ際は、既知の問題に対して迅速に対処してきた実績のあるベンダーから、標準ベースのVPNを選択することを強く推奨している。その上で、具体的にテストおよび検証済みのVPN製品のリストも提示されている。

この情報シートはおもに米国の政府機関や国家の重要なインフラを担う企業をサイバー攻撃から保護する目的で作成されたものだが、一般企業でも参考になる内容なので、企業の情報システム担当者にはぜひ一読をお勧めしたい。