リモートワーク環境を構築するために、VPN(仮想プライベートネットワーク)機器は多くの企業で利用されてきた。一方でVPNの脆弱性報告はあとを絶たず、脆弱性を突いた攻撃は激化しており、グローバルで被害が拡大。日本国内においてもVPNの脆弱性を突いたセキュリティインシデントは増え続けている。米国での例となるが、2024年2月1日にCISA(アメリカ合衆国サイバーセキュリティ・インフラストラクチャセキュリティ庁)が連邦政府関係機関に対し、脆弱性への対策が遅れている特定のVPN製品を遮断するよう命令するなど、VPN機器を起点としたリスクの解消はまさに喫緊の課題といえる。
VPN機器に潜むゼロディ脆弱性のリスクが、企業のビジネスを脅かす
コロナ禍を機にリモートワークの導入に踏み切った企業は多いだろう。当時は非常に短い期間での環境構築を強いられたため、十分なセキュリティ対策を講じないまま運用を開始したケースもめずらしくない。ルール整備が後手に回り、特定業務向けに導入していた既存のVPN機器を追加するなど場当たり的な対処で導入を進めたという企業も多いはずだ。特にVPNは攻撃者によって格好のターゲットとなっており、操作や設定ミスなどの人的要因はもちろん、機器の脆弱性を悪用した攻撃により、社内ネットワークに侵入されたという事例はあとを絶たない。
こうした状況に対処するため、米国では2021年9月にCISA及びNSA(アメリカ国家安全保証局)がVPN製品の選定および堅牢化のガイドラインを公開。日本においてもIPA(独立行政法人情報処理推進機構)をはじめ、総務省やデジタル庁など多くの機関がVPNの脆弱性についての情報や対策方法のガイドラインを公表して警鐘を鳴らしているが、それでもVPN機器を介したセキュリティインシデントは増加の一途を辿っている。
VPNの脆弱性を悪用して社内ネットワークに侵入された場合、ネットワーク内の管理サーバーやファイルサーバー、バックアップ用サーバーなどに横展開(ラテラルムーブメント)され、被害が拡大するケースが多い。
直近で報告された事例では、複数のゼロディ(0-day)脆弱性、すなわち公表されておらず、修正プログラムもリリースされていない脆弱性が存在しており、攻撃者はその脆弱性を悪用することでターゲット企業のネットワークに侵入。そこからネットワーク内にあるシステムにラテラルムーブメントして感染を拡大していった。
こうしたリスクは以前から警告されてきたもので、新たに顕在化してきた脅威というわけではない。サイバー攻撃者は、インターネットと企業ネットワークを接続するVPNを極めて魅力的な攻撃対象として認識し、常に注視を続けているということを、企業はまず理解する必要がある。
日本国内でも、VPN機器の脆弱性を突いたサイバー攻撃によるセキュリティインシデントが数多く公表されている。たとえば、ある医療機関では、委託業者のデータセンターにある脆弱性を持ったVPN機器が狙われ、同データセンター内のサーバーが感染。そこから専用ネットワークを介して医療機関内の各システムにマルウェア感染が拡大し、通常診療の停止を余儀なくされたというセキュリティインシデントが発生している。
こうした例からもわかるように、ミッションクリティカルな業務を止めかねないセキュリティインシデントは、企業・団体に甚大な損害をもたらすことになる。ビジネスが停止することによる金銭的損害はもちろん、情報漏えいにより顧客や社会からの信用を失うリスクや、取引先のシステムに被害を拡大してしまうリスクなどにより、企業の存続に関わる損害を被る事態も十分に考えられる。
VPNと置き換わるリモートアクセス手法として注目が高まる「ZTNA」とは
VPN機器のゼロディ脆弱性への対処は、あらゆる企業にとって最優先で取り組むべきミッションといえる。そこで昨今、VPNに代わるリモートアクセスの手法として注目を集めているのが、「ZTNA(ゼロトラストネットワークアクセス)」となる。
“すべてを信頼しない”ことを前提としたセキュリティモデルである「ゼロトラストセキュリティ」は、ユーザー・デバイス・アプリケーション・ネットワークを常に検証する。動的なアクセス制御によりハイブリッドワーク環境の安全性を担保するリモートアクセス手法がZTNAであり、VPNに置き換わるものとして導入を検討する企業は増えてきている。
VPNを伴わないリモートアクセス手法として多くの企業に採用されているのが、Zscalerが提供する「ZPA(Zscaler Private Access)」となる。ユーザーをネットワークではなくアプリケーションに接続するというアプローチを採用し、サイバー攻撃者のターゲットとなるアタックサーフェスを大幅に削減。Zero Trust Exchange の仕組みで、アプリケーションはインターネットから不可視化され、さらにAI技術を用いることで、ユーザーとアプリケーションの組み合わせできめ細かにセグメント化。これによりラテラルムーブメントを防ぎ、ゼロディ脆弱性のリスクを排除する。クラウドネイティブのサービスとして提供されるためスピーディに導入できるのもポイントで、できるだけ早く既存VPN機器の脆弱性問題に対処したいといったニーズにも対応する。
Zscalerが提供する「ZPA」が、セキュアで快適なハイブリッドワークを実現
VPNからZPAに置き換えることによるメリットは、セキュリティリスクの軽減だけにとどまらない。社内・社外を問わず、どこからでも一貫したポリシーでのアクセスが可能となり、ビジネスの柔軟性と俊敏性を大幅に向上させる。ハイブリッドワーク環境全体をカバーできるため、複雑さの解消やコスト削減効果も期待でき、スケーラビリティや可用性といった観点でも多くのメリットを享受できる。
また、社内アプリケーションへの高速かつ安定したアクセスを実現することで、ハイブリッドワークにおけるユーザーエクスペリエンスの向上にも寄与。リモートワーカーはもちろん、各拠点やパートナー企業の業務効率化も期待できる。実際、ZPAをはじめとしたZscalerのソリューションをデジタルワークの基盤として採用し、強固なネットワークセキュリティと利便性の高いリモートアクセス環境を実現したという国内事例も出てきており、ZPAの導入によるビジネス上の価値は高い。
VPN製品が内包するゼロディ脆弱性のリスクに対処したい企業はもちろん、セキュアで快適なハイブリットワーク環境を構築したい企業にとっても、成熟されたZTNAソリューションであるZPAは極めて有効な選択肢となる。Zscalerでは60日間の無料トライアルも提供しているので、これを機にZPAの実力を確認してみてはいかがだろうか。
[PR]提供:ゼットスケーラー
