VPNs remain a risky gamble for remote access
2023/08/04 HelpNetSecurity — Zscaler の最新レポートによると、VPN がもたらす リスクとネットワーク・セキュリティについて、ユーザー組織は深い懸念を表明している。このレポートが強調するのは、VPN の脆弱性を悪用する脅威の高まりを受けて、組織におけるセキュリティ態勢の再評価を進め、また、ゼロトラスト・アーキテクチャへと移行すべきだという点だ。
Zscaler の Global CISO and Head of Security Research である Deepen Desai は、「本レポートでは、調査回答者の 92% がゼロトラスト・アーキテクチャの重要性を認識している。しかし、多くの組織が、リモート従業員やサードパーティのアクセスに、依然として VPN を使用しており、脅威アクターたちに対して、格好の攻撃対象領域を提供していることは懸念すべきことだ」と指摘している。
Zscaler の Deepen Desai は、「従来からのファイアウォール/VPN ベンダーは、クラウド上で仮想 VPN を構築し、それがゼロトラストであると主張し、”VPN” という言葉を隠すために余計なことをしている。このような仮想化されたレガシー製品をクラウドで利用することで、誤ったセキュリティ感覚に染まらないよう、ユーザーは適切な質問をすべきである。進化するランサムウェア攻撃から身を守るためには、VPN の使用を排除すべきである。それに換えて、ユーザーからアプリへとつながるセグメンテーションを優先し、TLS の完全な検査を備えたインラインの DLP (data loss prevention) エンジンを実装することが、組織にとって極めて重要である」と付け加えている。
安全ではない VPN がもたらす深刻なセキュリティ・リスク
ユーザー組織の 88% が、VPN の脆弱性による潜在的な侵害に対して、深い懸念を表明している。具体的には、VPN の定期的な悪用によるフィッシング攻撃 (49%) や、ランサムウェア攻撃 (40%) について、最も懸念している。
約 50% の組織が、古いプロトコルやデータ漏えいといった、VPN に起因する脆弱性を悪用する攻撃を受けたと回答しており、この1年間に攻撃を経験したのは、約 20% に達している。
特にランサムウェアは、組織にとって深刻な脅威として浮上しており、この1年間に 33% が、VPN を狙うランサムウェア攻撃の犠牲になっている。
レガシーネットワーキングのリスク
セキュリティ対策を真摯に進めても、90% の組織が強く懸念しているものとして、サードパーティ・ベンダーが攻撃者に悪用され、ネットワーク・バックドアへの間接的なアクセスが挙げられている。
請負業者やベンダーのような外部ユーザーが、組織にとって潜在的なリスクとなり得るのは、さまざまなセキュリティ基準およびネットワーク・セキュリティ可視性の欠如や、外部サードパーティ・アクセスの管理の複雑さなどが要因となる。
レガシー・ネットワーキングとセキュリティ・アーキテクチャがユーザーに提供するのは、ネットワークへのダイレクトなアクセスであり、それにより、内部アプリケーションへのアクセスを管理していり。つまり、アクセス・ポイントで認証情報を確認できるユーザーを本質的に信頼するわけだが、その認証情報が盗まれた場合に大きな問題となる。
ゼロトラスト・アプローチにおけるユーザーは、必要とするアプリケーションやリソースにダイレクトに接続し、ネットワークには接続しない。ユーザーからアプリケーションへの接続や、アプリケーションからアプリケーションへの接続は、横方向の移動のリスクを排除し、侵害されたデバイスから他のリソースへの感染を防止する。さらに、ユーザーとアプリは、インターネットから見えないため、それが発見されて攻撃されることもない。
ゼロ・トラストへの移行
セキュリティ上の懸念に加えて、72% のユーザーが問題として挙げているのは、接続の遅さや信頼性の低さが要因となる、現在の VPN エクスペリエンス体験に対する不満である。特に、25% のユーザーは、アプリケーションの速度が遅いことに不満を感じており、21% は頻繁に接続が切断されることに直面している。
信頼性の低いインターネット接続は、ユーザー・エクスペリエンスの低下を招き、フラストレーションやユーザー・エンゲージメントの低下につながる。
さらに、認証における複雑さなどが生み出すものとして、非効率的な VPN サービスを迂回しようとするユーザーの存在が挙げられる。それによる、生産性の低下/収益の減少/データ損失のリスクの増大などにも注視すべきだ。
時代遅れの VPN が、こうしたセキュリティとユーザー・エクスペリエンスの懸念を生み出すと認識している組織は、ゼロ・トラスト・アーキテクチャへの移行を始めている。
実際のところ、92% の組織が、自社の資産とデータを保護するためにゼロトラスト・アプローチを採用することの重要性を認識し、その値は前年比で 12% 増となっている。また、69% の組織は、現行の VPN ソリューションをゼロトラスト・ネットワーク・アクセスに置き換える計画段階にある。
このレポートが強く推奨しているのは、ゼロトラスト・ベースのアーキテクチャを導入であり、それにより、VPN の脆弱性に関連するリスクを効果的に軽減し、機密データやアプリケーションをサイバー攻撃から保護することである。
もちろん、VPN も有用なソリューションですが、もしものときのダメージが、あまりにも大きいという問題があります。それは、RDP についても言えることであり、2023/07/20 の「RDP は便利だが RCE が怖い:脅威アクターたちが一点突破を狙う脆弱性とは?」でも指摘されていました。よろしければ、VPN で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.