ログイン
無料会員登録
ログアウト
マイページ
容易に不正アクセスが可能となってしまう「VPN」の弱点
現在、遠隔地から社内ネットワークにアクセスできる手段として、VPN(Virtual Private Network=仮想専用通信網)が多くの企業で採用されている。物理的な回線設備が必要でコストもかかる専用線に比べて、VPNはインターネット上に仮想で専用線を構築できるため低コストかつ短期間で通信網を確立できるからだ。
ところが、このVPNの脆弱性がランサムウェアの格好の標的となっているというのだ。手軽に安全な環境下でデータをやりとりできると考えられていたが、実際には“過信”だったようだ。
おそらく、これまでシステム管理者のもとへ従業員から寄せられた苦情の大半は、VPNがなかなかつながらない、遅すぎて仕事にならないといった類のものだろう。そこで、VPNサーバーやVPN対応ルーターなどの機器を増設するなどの対策を打ったが、セキュリティ面ではむしろそれが災いしている側面もある。
「機器の設定が適切であったとしても、容易に不正アクセスが可能となってしまうのがVPNの急所です。悪意のある第三者がそこを狙って従業員が使用する端末に侵入してもVPN上では異常を検知せず、社内のネットワークにもランサムウェアの感染が一気に広がってしまう恐れがあります」
こう指摘するのは、クラウドセキュリティ業界をリードするゼットスケーラーのエバンジェリスト&アーキテクトの高岡隆佳氏だ。ランサムウェアに感染すると、情報端末や社内のデータベースなどに保存されている記録が勝手に暗号化されて使用できない状態になる。侵入者はデータを復元する対価として、巨額の金銭(身代金)を要求するわけだ。
続々と新種のランサムウェアが登場しているが、侵入の手口自体に大きな変化は見られないと高岡氏。言い換えれば、VPNの脆弱性が改善されていないケースが多く、侵入者側にとっては笑いが止まらない状況になっているのだ。
にもかかわらず、多くの日本企業の間では抜本的な対策が打たれていないのが現実。依然として、従来型のセキュリティ対策に終始しがちだからだ。
最先端の防御アプローチ「デセプション」が脅威を次々と検出
従来型のセキュリティ対策は、社内LANやVPN接続環境下といった「内部」は信頼できるエリア、「外部」の通信環境は信頼できないエリアとして区別することが前提となっている。そして、「外部」と「内部」との境界線における守りを固めて、外敵(ランサムウェア)の侵入を食い止めようとしている。
「言わば、正面玄関の施錠だけが厳重で他の防犯は手薄な家のようなもの。いったん侵入されると、あらゆる部屋が荒らされ放題になります。しかも、91%の攻撃はセキュリティアラートが発せられない状態で秘密裏に仕掛けられている一方、侵入から水平展開(社内LANなどへの広域攻撃)までの時間は短くなっており、被害が拡大しがちです」(高岡氏)
では、ランサムウェアの攻撃を封じ込めるためには、どのようなセキュリティ対策が求められているのか。世界的に提唱されているのは、バズワードではない、アーキテクチャとしてのセキュリティ対策である「ゼロトラスト」に加え、最小権限を悪用されないように敵を欺く「デセプション」(詐称技術)だと高岡氏は指摘する。
デセプションは、侵入がありうることを想定して端末やネットワーク、あるいはAD(Active Directory)やクラウド上の仮想環境などセグメント別に「内部」の守りを強固にしているため、一点突破で水平展開されてしまうような被害を未然に防ぐことが可能なのだ。
これは、実際のエンドポイント(ネットワーク端末)やファイル、サービス、データベース、ユーザー、コンピュータ、その他のリソースなどを模倣した偽物を、ネットワーク内にデコイ(おとり)として仕掛けておくという手法。高岡氏はこう補足する。
「あえてランサムウェアの攻撃を受け入れ、おとりに誘い込むことによって、高度な攻撃を効率的に検知・対応するというソリューションです。攻撃者を混乱させて詮索活動の検知につなげることを目的としています」
ランサムウェアによる被害を最小限に抑えるには、セキュリティ侵害がすでに起きていると見なすゼロトラスト戦略も有効だ。ゼットスケーラーが提供するゼロトラストアーキテクチャベースのソリューション、Zscaler Zero Trust Exchangeは、攻撃者の侵入、水平移動、データ損失というさまざまな段階で防護の機能を発揮する。その内容は、期間限定で公開中のホワイトペーパー『ゼロトラストアーキテクチャでランサムウェアを阻止する10の方法』に詳しい。深刻化するランサムウェア被害に対抗するため、ぜひ一読をお勧めしたい。
-- ホワイトペーパーの配布は終了しました --
