どのVPNを選び、どうやってセキュリティを強化するか、米NSAとCISAがガイダンスを公開:VPNはサイバー攻撃の入り口
米国の国家安全保障局(NSA)と国土安全保障省サイバーセキュリティインフラセキュリティ庁(CISA)が発表したリモートアクセスVPN製品に関するガイダンスについて、ESETが重要なポイントを解説した。
セキュリティ企業ESETは2021年9月29日(スロバキア時間)、リモートアクセスVPN製品の選択とセキュリティ強化のためのガイダンスを公式ブログで紹介した。このガイダンスは、米国の国家安全保障局(NSA)と国土安全保障省サイバーセキュリティインフラセキュリティ庁(CISA)が2021年9月28日に発表したものだ。
脆弱なVPNサーバが攻撃の足掛かりに
脆弱(ぜいじゃく)なVPNサーバは攻撃者にとって魅力的な標的になる。ユーザーのシステムやネットワークに侵入する格好の機会を提供するからだ。
NSAはプレスリリースで次のように述べている。「国家主導のさまざまなAPT(Advanced Persistent Threat)攻撃グループは、脆弱なVPNデバイスにアクセスするためにCVE(Common Vulnerabilities and Exposures)を悪用する。認証情報の窃盗やリモートコード実行、暗号化トラフィックの暗号の脆弱化、暗号化トラフィックセッションのハイジャック、デバイスからの機密データの読み取りを可能にするのは、こうしたCVEの悪用だ」
NSAが指摘するように、システムへの足掛かりを得た攻撃者は、組織のネットワークにあらゆる大混乱を引き起こす恐れがある。
VPNをどのような基準で選ぶべきか
「Selecting and Hardening Remote Access VPN Solutions」と題されたNSAとCISAによるガイダンスは、組織や企業が、システムへの入り口となるリモートアクセスVPNを選ぶ際に従うべき推奨事項を提示している。
その中には、業界標準に準拠し、製品コンプライアンスリストに含まれる実証済みの製品を選ぶことや、VPN接続の確立に使用する標準や技術を明示しているVPNサービスを必ず選ぶことなどが含まれている。
さらに脆弱性の迅速な修正や、サイバーセキュリティのベストプラクティスの実践、強力な認証資格情報の使用に関する実績がある評判の良いベンダーを利用することも推奨されている。
VPNをどうやって強化すべきか
VPNの強化に関して、ガイダンスの推奨事項はこうだ。
・強力な暗号化と認証を構成する
・必要性の高い機能だけを実行し、攻撃対象領域を縮小する
・VPN接続へのインバウンドとアウトバウンドアクセスを保護、モニタリングする
さらに、ガイダンスでは、以前からサイバーセキュリティ専門家が繰り返し述べてきた定番のアドバイスも取り上げられている。例えば、「多要素認証を使用する」「既知の脆弱性を軽減するために、パッチやセキュリティ更新プログラムが公開されたら、直ちに適用する」といったものだ。
今回のガイダンスは、米国の国防総省や国家安全保障システム、防衛産業基盤のセキュリティの向上を目的としている。だが、このガイダンスに示された推奨事項に従うことは、VPN製品を使用するどんな組織や企業にとっても有益だろう。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
コロナ禍のセキュリティ侵害、20%がテレワーク経由 2021年に警戒すべき3つの脅威とは
BlackBerry Japanは2020年のセキュリティ侵害の特徴や傾向などを分析した「脅威レポート2021」を発表。身代金を要求する二重脅迫型ランサムウェアが増加していると指摘した。ゼロトラストセキュリティの始め方
セキュリティとリスク管理のリーダーは、ゼロトラストのハイプ(誇大宣伝)を超えて、2つの重要なリスク軽減プロジェクトを実行する必要がある。フローチャートで分かる、貴社のテレワークに最適なVDI代替の選定ガイド
VDI代替ソリューションの分類や、それぞれの仕組み、検討ポイントなどを解説する連載。最終回は、VDI代替ソリューションの方式選定における4つのポイントを解説して、各方式を比較します。