ランサムウェアはVPNを狙っている。代替策として注目される「SASE」とは
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「ランサムウェアが狙うVPNの脆弱性。VPNの代替となり得るSASEという選択」を再編集したものです。
近年、VPNはランサムウェア攻撃の侵入経路として悪用される事例が報告されている。自社でVPN機器を運用・管理し続ける場合、セキュリティリスクが高まる可能性があるため、より安全性の高い代替技術の導入が検討されている。加えて、慢性的なIT人材不足を背景に、VPN機器の運用負荷の増大という課題もある。
本記事では、こうした状況を踏まえVPNが起因となる脅威を整理し、VPNの代替となる次世代のネットワークセキュリティモデルであるSASEの活用について解説し、フルマネージドSASE「Verona」の概要や導入事例を紹介する。
サイバー攻撃の標的となるVPN機器の脆弱性
コロナ禍以降、リモートワークの普及を背景にVPN(Virtual Private Network)を利用する企業が急増した。リモートワークにより、自宅や外出先からモバイル端末で社内ネットワークに接続する機会が増え、インターネット回線を介して機密性の高い情報を扱う必要が生じたことが、VPNが急速に普及した理由である。加えて、社外のクラウドサービスを利用して業務に関連したデータを送受信するケースも増えている。
VPNは仮想的な専用線を構築し、ユーザー端末からのインターネット経由の通信を暗号化することで、離れた拠点からでも、あたかも同一ネットワークにいるかのように接続するトンネル技術である。企業システムにおいては、一般的に社内ネットワーク側にVPN機器を設置し、ユーザー側はWebブラウザーなどから認証を行う仕組みを用いる。認証が許可された場合、暗号化された通信が可能になる。
VPN機器はインターネット経由で外部から接続するユーザーのために外部からアクセスできるようになっているため、悪意を持った攻撃者の標的にされやすい。また、ひとたびVPNの認証が突破されてしまうと、社内ネットワークに広くアクセスできる状況になることが多く、被害が拡大しやすい。
実際、警察庁が公開した「令和5年におけるサイバー空間をめぐる脅威の情勢等について」 によると、ランサムウェアの感染経路のうち、VPN機器からの侵入が最多の63%を占めた。
VPN機器が被害に遭うリスクが高い理由の1つとして、システム管理部門のリソース不足によって機器のベンダーから提供されたセキュリティパッチをタイムリーに適用できず、脆弱性を放置してしまいがちな点が挙げられる。また、VPN機器は常時使用するものであるため、機器を停止してパッチを更新する時間を確保できず、対応が遅れるケースもある。このように、VPNに起因した脆弱性は社内システム運用における大きな脅威となっているのが実情だ。
VPN接続で向上する?リモートワーク時のネットワークセキュリティ
https://eset-info.canon-its.jp/malware_info/special/detail/210713.html
VPNに関わる代表的な脅威
先述したように、VPN機器は適切に運用しなければ、セキュリティリスクをもたらす要因となり得る。以下に、VPN機器に関わる主な脅威について解説する。
1)脆弱性を突いた攻撃
VPN機器の提供元は、既知の脆弱性に対応するセキュリティパッチを配布している。しかし、システム管理者が直ちにパッチを適用しなければ、その脆弱性がサイバー攻撃者の標的になり得る。また、VPNベンダーがパッチを公開していない脆弱性を突いたゼロデイ攻撃も報告されており、対策は急務である。
脆弱性を悪用して認証手続きを突破した攻撃者は、内部ネットワークへ不正侵入し、マルウェアやバックドアの設置、機密情報の窃取、システム停止といったさまざまな攻撃を試みる。過去には、VPN機器の脆弱性を突いて認証情報が窃取され、数万社分のIDとパスワードが不正に公開された事例も発生している。
2)設定、運用上の課題
外部から設定作業ができるよう、管理画面をWebインターフェースとして公開しているVPN機器は少なくない。その管理画面のパスワードがデフォルト設定のままであったり、不要なポートが解放されていたりすると、攻撃者の侵入を許してしまいかねず、リスクの高い状態だ。また、VPNの通信暗号化に古いアルゴリズムを利用している場合は、暗号強度が低いため、通信が盗聴されるリスクがある。
さらに、サポートが終了した機器はベンダーからパッチが提供されないため、新たな脆弱性に対応できず、リスクが高まるという問題もある。老朽化したVPN機器を使い続けると社内システムへの侵入リスクが増大するが、故障時のバックアップ機器が古かったため、切り替え後にそこから侵入された事例も確認されている。このため、バックアップ用を含め、すべてのVPN機器に最新のセキュリティパッチを適用するなど、継続的なメンテナンスが不可欠だ。
ユーザー側の運用に起因する不正侵入のリスクもある。例えば、複数のアカウントで使い回していたパスワードが漏えいした場合、その認証情報が悪用され、VPNの認証を突破される。あるいは、セキュリティレベルの高い複雑なパスワードを設定していないと、ブルートフォース攻撃(総当たり攻撃)でパスワードが特定されてしまう恐れがある。加えて、多要素認証を有効化、必須化していない企業では、不正侵入されるリスクが高まる。
3)被害の拡大(DDoS攻撃、マルウェア、ランサムウェア)
攻撃者は外部へ公開されているVPN機器をDDoS攻撃の標的にする場合がある。DDoS攻撃によって社内システムの機能が停止し、ユーザーの業務に支障をきたす恐れがある。また、脆弱性を突いて社内システムに侵入した攻撃者によって、マルウェアが多くのユーザーへ拡散される可能性がある。ランサムウェアによって機密情報が暗号化され、脅迫に利用されるケースもある。
さらに、ユーザーの端末がマルウェアに感染した場合、VPNを経由して社内システムにマルウェアの感染が広がる二次感染のリスクも存在する。
ネットワークセキュリティを高度化するSASEを導入する利点
VPNは、外部から社内システムへ安全に接続するために広く使われてきたトンネリング技術だ。しかし、リモートワークの普及や接続方法の多様化、サイバー攻撃の高度化により、VPNのみへ依存する従来のネットワーク設計では、現代のセキュリティ要件を十分に満たせないケースが増えている。
例えば、VPNでは一度認証が許可されると、社内ネットワーク内の複数のアプリケーションへアクセスできる設定になっていることが多く、攻撃者が認証を突破すると横展開されやすくなる。また、社外のユーザーが外部クラウドサービスにアクセスする場合、VPNで社内ネットワークを経由させるのは非効率であり、通信遅延や帯域幅の制限が発生しやすくなる恐れがある。
これらの課題に対応するために、従来の境界型防御からゼロトラストへの移行が提唱されている。ゼロトラストは、「すべての通信を信用しない」というポリシーのもと、社内外を問わず継続的にアクセスを検証し、最小特権を適用することで、万一侵入されてもほかのアプリケーションへのアクセスやデータ流出のリスクを低減するという新しいセキュリティの考え方である。
このようなゼロトラストの考え方を実現するソリューションとしてSASE(Secure Access Service Edge)が提供されている。SASEは複数のネットワーク機能とセキュリティ機能を統合し、クラウドサービスとして提供される次世代のセキュリティモデルである。SASEでは、従来VPNで実現していたリモートアクセスは、アプリ単位で到達性を制御するゼロトラストネットワークアクセス(ZTNA)などで置き換える構成となる。
SASEには、リモートアクセスにとどまらず、次世代ファイアウォール(NGFW)やZTNAを含め、多様な機能が含まれており、サイバー攻撃や情報漏えいの対策を高度化できる。また、トラフィックの最適化によって通信品質を確保できるのも利点だ。オンプレミスのVPN機器を自社で管理する場合に比べ、クラウド型のSASEはネットワーク構成を簡素化できるため、運用負担を軽減できる。システム管理者は、SASEに含まれる各機能について、それぞれのアクセス制御や各種設定を一元管理することが可能となる。
また、2024年6月には、米国のCISAとFBIが、従来型VPNの利用を見直し、SASEやSSE(Security Service Edge:SASEのサブセット)といったゼロトラストを前提としたソリューションへの移行を推奨するガイダンスを公表している。
SASEの運用管理を代行するマネージドサービスとは?
https://eset-info.canon-its.jp/malware_info/special/detail/241203.html
SASE導入時の課題
SASEを導入する際には、いくつか注意すべき点がある。まず、SASEは包括的なソリューションであることが利点である一方、各機能についての詳細な理解も要求される。つまり、ネットワークとセキュリティの双方に精通した人材を確保しなければならない。中小・中堅企業では特に、専門性を持った人材を確保するのが困難になることも少なくない。
導入する際には、SASEに含まれる機能と、役割が重複する既存の製品が競合しないか十分に精査する必要がある。レガシーシステムでは対応できない恐れがあるため、適切な設計が求められる。また、ユーザー数、拠点数、外部クラウドサービスの利用有無、守るべき情報資産など、各社によってSASEに対する要件は異なるため、自社のセキュリティポリシーを明確にし、SASEの設定に反映させる必要がある。
これらの課題に対しては、SASEの運用をアウトソースできるフルマネージドSASEというソリューションが有効だ。利用状況に合わせてエンジニアが設定変更を行うため、自社システム部門の業務負荷を最小化できる。障害発生時にはサポートセンターが対応してくれるため、ユーザーは本来の業務に集中できるという利点もある。
中堅企業で導入が広がる、セキュリティのフルマネージドサービス
https://eset-info.canon-its.jp/malware_info/special/detail/241119.html
次世代ネットワークセキュリティを実現するVerona
「Verona」はフルマネージドSASEの1つであり、安全にリモートワーク環境を整備し、クラウドサービスを利用したい企業に向いたサービスである。専門的な要員が不足している中小・中堅企業においても、低コストでSASEを導入、運用できることが利点だ。Veronaの特長は以下のとお通りだ。
1)カンタン導入
一般的なSASE導入では、要件定義から設定、導入、受け入れテストに至るまでに半年以上の期間を要する場合がある。Veronaでは最短2週間で導入が可能であり、ヒアリングシートの記入だけであとは利用開始を待つだけだ。設定作業は専門のエンジニアが担当するため、導入の負担が大きく軽減される。
2)運用負荷ゼロ
SASEには多くの機能が統合されているため、各機能の運用や管理が煩雑になり、効果を十分に発揮できない恐れがある。Veronaでは、障害対応や設定変更といった日々の運用・管理を委託できる。アカウント管理、接続ログの記録、ファームウェアのアップデートもすべて代行してもらえるため、運用負荷を軽減しつつネットワークセキュリティを維持できる。
3)オールインクルーシブ
一般的なSASEソリューションでは、高額な導入費用に加え、利用状況に合わせて帯域コストや拠点コストなどが加算されるものが少なくない。そのため、中小・中堅企業では予算に合わないケースもあるだろう。Veronaの場合、サービス費用にすべての内容が含まれており、追加予算を必要としないため、当初の想定よりも費用が膨らむ心配はない。
4)高セキュリティ
Veronaでは、自宅や外出先から接続する際のインターネットアクセス機能やクラウドアクセス機能、プライベートアクセス機能が提供される。これらはVPNの代わりとなるもので、端末の安全な通信を確保するクライアントソフト(Verona Client)と、拠点間通信を管理するゲートウェイ(Verona Edge)、そして、各種設定や監視を行うクラウドコントローラー(Verona Cloud)によって構成される。
パスワードのみでは不十分だった認証処理のセキュリティを強化するため、Veronaにはクライアント証明書による認証機能が標準搭載されている。認証手続きでは、まず、プライベートアクセス時にクライアントからクラウドコントローラーへ承認要求が送られる。クラウドコントローラーから許可端末の情報を受け取ったゲートウェイがクライアントの証明書を確認する。その後、認証が成立し、暗号化通信が開始される、といった仕組みだ。
フルマネージドSASEの導入事例
フルマネージドSASE「Verona」によって、ネットワークセキュリティの課題を解決した事例を3つ紹介する。各事例では、Veronaの特長がどのように活かされたかも示す。
1)サプライチェーン攻撃対策と運用負荷を両立
あるソフトウェア開発企業では、多くの関係会社や取引先を抱えており、セキュリティ対策の不十分な企業を標的にするサプライチェーン攻撃への危機感を高めていた。VPNおよびFW(ファイアウォール)製品の更改にあたり、脆弱性を突くサイバー攻撃への対策を希望していた。
情報システム要員が少ない同社では、日々の運用を委託し、運用負荷を軽減できるVeronaを採用するに至った。セキュリティ機能を強化するとともに、ログの監視など、人員不足で対応できなかった部分もアウトソースによって異常を早期検知できるようになった。Verona の特長である「運用負荷ゼロ」と「高セキュリティ」により、限られた人員でも強固なセキュリティを維持することができた。
また、同社は当初、大企業向けのSASE製品では社員数が最低アカウント数に満たず、予算に合わなかった。Veronaでは、料金体系が「オールインクルーシブ」であるため、予算の範囲で高い効果を得ることができた。
2)二重管理と運用工数を大幅削減
電気機器保安管理サービスを提供する企業では、作業効率化のため、保安担当者が外部からスマートフォンで点検データを入力する取り組みを進めていた。しかし、従来のVPNサービスでは、IDとクライアント証明書を別々の管理画面を使って管理する必要があり、運用が煩雑であった。
フルマネージドSASEであるVeronaの導入により、1つの管理画面で証明書の発行や変更が可能となり、運用管理の負担が軽減された。設定変更や障害対応を委託できるため、運用サポートも高く評価されている。ユーザー側からもクライアント証明書機能によって簡単にVPN接続ができるようになり、また、接続が安定していることでユーザー体験が向上した。
さらに、接続クライアント数が当初の想定を超える数まで増加しても、通信遅延が発生しないように負荷分散の提案が行われ、問題発見から運用開始まで一1カ月もかからず、迅速に問題を解決することができた。Veronaの特長である「カンタン導入」「高セキュリティ」により、二重管理の解消とユーザー体験の向上を同時に実現した。
3)ハードウェアレスで快適な通信を実現
Webサービス運営企業では、ユーザー数の増加とともに通信が遅延するという課題を抱えていた。従来のVPN機器は設置に労力がかかり、社内にハードウェアを極力設置しないという同社の方針にも合致していなかった。
そこでVeronaを導入し、オンプレミスの機器を設置せず、ネットワークセキュリティのサービスをクラウド経由で利用できるようになった。リモートワークのユーザーも通信速度が落ちることなく、快適な通信が実現された。Verona の特長である「高セキュリティ」は、通信の最適化も実現するため、ハードウェアレスで快適な環境を支える要因となっている。
より高いセキュリティを実現するフルマネージドSASEのすすめ
VPNは、コロナ禍によるリモートワークの需要増加に伴い広く使われるようになったが、VPNの脆弱性を突く攻撃が増加している現状では、自社でVPN機器の運用、管理を続けることは大きなリスクとなり得る。
ネットワーク機能とセキュリティ機能をクラウド上で統合するSASEは、その解決策の1つである。特に、専門的な運用・管理業務を包括的に委託できるフルマネージドSASEは、多くの企業にとって高い費用対効果を期待できる。SASEはベンダーごとに機能やライセンス体系が異なるが、予算や人員に制約のある中小・中堅企業にとっては、短期間で導入でき、コストを抑えられるVeronaのようなサービスが有力な選択肢となる。
自社でVPN機器を運用管理している場合は、まず脆弱性診断を実施して現状を把握しつつ、セキュリティの強化と運用負荷の軽減を両立するフルマネージドSASEの導入について検討してみてほしい。