CISAのエンタープライズVPNセキュリティ(AA20-073A)を読んで

ネットワーク
この記事は約3分で読めます。

新型コロナウィルスの感染リスクを低減するために在宅勤務が急速に進んでいます。
IT系の記事に特化したZDNet Japanにて”テレワークでのVPN利用にセキュリティリスク–米当局が注意喚起”という記事を見ました。アメリカの米国土安全保障省傘下の組織であるCISAが、VPNの利用について運用管理者向けに注意喚起をしたという内容です。

ZDNet Japanではこの注意喚起の内容を日本語に翻訳して紹介しているのですが、個人的な感想ではありますが、要点が分かりにくかったので元のページを見てきました。

元のページ(英語):https://www.us-cert.gov/ncas/alerts/aa20-073a

Alert (AA20-073A)

Enterprise VPN Security(企業向けVPNのセキュリティーについて)

概要

新型コロナウイルスの影響に伴い、職員が出勤しなくてもいいようにするために、組織では代替の在宅勤務やテレワークといったオプションの準備をする可能性があります。
在宅勤務やテレワークでは、社外から社内のネットワークに接続するためのVPNが必要になります。CISAは高いセキュリティを維持するために次のことを奨励しています。

詳細

  • VPNの使用に伴い脆弱性をついた攻撃が活発になる
  • VPNサーバーは年中稼働しているため、セキュリティパッチや更新作業が滞る可能性がある
  • 悪意のある攻撃者から在宅勤務やテレワーク利用者を標的にしたフィッシングメールが増加する
  • 社外から社内ネットワークへのアクセス時にMFA(多要素認証)を使用していないと、フィッシング攻撃を受けやすくなる
  • 組織で利用できるVPNによるリモートアクセスのアカウント数は有限の場合があり、VPNが利用できない従業員が出てきます。VPNの可用性の低下によって、IT管理者や従業員の業務に支障が出る可能性がある

緩和策

  • VPN等のネットワーク機器やリモートアクセスをする端末のセキュリティを最新の状態に更新する。
  • 従業員にフィッシングの増加が予想されることを警告する。
  • IT管理者がインシデントに対応するための準備を行う。
    ⇒ログのレビュー
    ⇒攻撃の検出
    ⇒インシデント対応と復旧
  • すべてのVPNにMFAを実装する。難しい場合は、複雑なパスワードの使用を従業員に使用させる。
  • リモートアクセスをするユーザーの増加に備えるために、ユーザーごとに帯域幅の制限や優先順位をする。

まとめ

VPNによるリモートアクセスは、社外から社内ネットワークへのアクセスが可能になるので、在宅勤務やテレワークには適した技術ではあります。しかし、セキュリティ対策や運用準備ができていないいけません。私の所属する会社はリモートアクセスできるユーザーのアカウント数に上限があります。VPN以外のオプションを準備し、ユーザーの業務が滞ることがないようにする必要があります。実験的な利用ではありますが、現在無償利用が可能なDesktop VPNも併用して準備をすすめています。
一方、Googleでは「社内/社外に関わらずすべてのネットワークの安全性を信用しない。すべてのデバイスとトラフィックのログを取得する」というゼロトラストの考えに基づいて、VPNを使用せずに従業員が BeyondCorpを使用しているようです。

新型コロナウイルスの影響がどのくらい続くのかはわかりませんが、業務を止めないためには可能な限り多くの選択肢を持つことが大切です。そのための情報収集と検証が必要です。

加えて、英語が読めると得られる情報がとてつもなく増えますので、英語の勉強を頑張ります。

コメント

タイトルとURLをコピーしました