コロナ禍でリモートワークが広がり、企業のリソースに安全にアクセスする手段として利用機会が急増したVPN。今もVPN装置を求めるユーザーは増え続けている。
しかし、VPNにはセキュリティ上のリスクがあることは意外と知られていない。
実はVPNの脆弱性に関わるCVE(共通脆弱性識別子)は過去3年間で、200件以上報告されており、その脆弱性を利用した攻撃手法も広く知れ渡っている。
リモートワークの導入が進んだ結果、VPN機器を狙った攻撃は増えており、国内企業も多数被害を受けている。警察庁によれば、2021年度の上半期に寄せられたランサムウエア被害相談のうち、半数以上はVPN機器からの侵入だった。
「ほとんどのVPNベンダーは脆弱性を公開しているものの、脆弱性を確認・管理し、自社内のVPN機器にパッチをあてられている企業は限られているのが実情です」とエイチ・シー・ネットワークス(以下、HCNET)の早坂誠人氏は指摘する。
(左から)Appgate 畠山昌録氏、HCNET 藤澤秀氏、HCNET 早坂誠人氏
VPNのリスクは、一度でも侵入を許すと被害が拡大しやすい点にもある。多くのVPN製品は、ユーザーの所属や役職、アクセス時の場所などの要素に応じたアクセス制御ができないため、社内ネットワークの広い範囲へアクセスできてしまう。例えば、セキュリティのリテラシーが低い新入社員などの認証情報から、バックドアなどを仕掛けられ最終的には重要な資産を奪われる「ラテラルムーブメント(脅威の横移動)」を許してしまうのだ。
こうしたVPNの課題を解決するソリューションとして最近導入が増えているのが、ZTNA(ゼロトラストネットワークアクセス)である。
ZTNAは、従来型VPNと何が違うのか。次ページで詳しく解説しよう。