リモートアクセス時のVPN利用には多要素認証などセキュリティ強化を

VPN(Virtual Private Network、仮想専用線)は、インターネット上に仮想の専用線を設け、安全なルートを確保した上で重要な情報をやり取りすることにより、「盗み見」や「改竄」といったセキュリティ上の脅威から機密情報を守る技術です。新型コロナウイルスの感染拡大を防止するために、在宅勤務などのテレワークを実施する企業が急速に拡大しています。在宅勤務者を標的にしたフィッシング攻撃も増えているので、リモートアクセス時のVPN利用の際、多要素認証などセキュリティ対策の強化が求められています。

Cybersecurity and Infrastructure Security Agency (CISA)の注意喚起

アメリカの国土安全保障省傘下で、プロアクティブなサイバー保護や重要インフラの強靭化などを担当するサイバーセキュリティ・インフラストラクチャセキュリティ庁(Cybersecurity and Infrastructure Security Agency=CISA)は、企業がテレワークを実施する際のVPN利用について注意喚起を行いました。

企業が新型コロナウイルスの感染拡大を防止するために、オフィスに人が集まるのを避け、多くの企業でテレワークの実施が推奨されています。CISAは、アメリカに新型コロナウイルスの拡大防止の必要性が指摘された3月中旬に注意喚起を行い、「テレワークを実施する時には、VPNの利用が必要であり、より堅牢なセキュリティ対策が確保されているべきである」と呼び掛けています。

テレワークの際のセキュリティリスクとして、VPN利用が広がるに従って、サイバー攻撃を仕掛ける側は、組織の脆弱性を探る動きを活発化させる恐れがあります。例えば、在宅勤務を標的にしたフィッシングメールを使って、ユーザー名やパスワードなどの情報を窃取する攻撃を拡大する恐れが指摘されています。CISAは、「リモートアクセスで多要素認証を使用しない組織ではフィッシング攻撃を受けやすくなる」と注意を呼び掛けています。

リモートアクセスで使用する機器のセキュリティパッチ適用

さらに、テレワークなどを実施する際の課題として、VPNシステムが24時間稼働することで、システムの脆弱性を修正するパッチの適用などが難しくなることが指摘されています。このほか、VPNの同時接続数の制約によって、従業員の業務が継続して稼働できる能力やITセキュリティ担当者の業務の遂行が損なわれるリスクもあります。

このため、ネットワークインフラ機器、リモートアクセスで使用する機器に関しては、最新のセキュリティパッチや構成を適用することが重要、またVPNの利用拡大に備えたセキュリティ対策も重要で、担当者は、制約事項の事前確認を徹底することが求められています。具体的には、ユーザーの優先順位を付け、転送レートの制限の設定を行うほか、フィッシングメールに対するユーザーへの意識の喚起や、対応と復旧などの準備の徹底などを提言しています。

テレワーク・リモートワーク・VPN・認証強化

VPN接続においては多要素認証を実装する理由

AndroidやiOSといったオペレーティングシステム(OS)を搭載した端末には、VPNが標準で搭載されています。そもそも、インターネットの脅威から企業情報を守り、安全なリモートアクセスを実現するために利用されるようになったのがVPNなのです。

VPNには、物理的、論理的に離れた2点間を仮想の回線(トンネル)によりあたかも同一点であるかのように扱えるようにする「トンネリング」や「IPsec-VPN」や「SSL-VPN」、「L2TP」などの暗号化を使用することで、テレワーキングなどの際、遠隔地からでも安全な通信を確保する仕組みです。

最近は、多くの企業が、こうしたVPNのセキュリティ技術に加え、2つかそれ以上の認証を組み合わせた「多要素認証」を活用するケースが増えています。CISAはテレワークなどに伴うVPN接続で、セキュリティをより堅牢にするためには、多要素認証を実装することが最も効果的であると指摘しています。

IDとパスワードだけの認証方式の場合、パスワードリスト攻撃やフィッシング攻撃などによって、ID、パスワードをハッキングされてしまうと、会社のネットワークへの不正アクセスを許し、機密情報が漏洩するリスクが高くなります。「なりすまし」や不正アクセスなどの攻撃から守るためにはID、パスワードだけでは限界があるからです。

多要素認証は、認証の3要素である「記憶」(パスワードやPINコード、秘密の質問など)と「所持」(スマートフォン、ハードウェアトークン、ICカードなど)、それに「生体情報」(指紋、顔、静脈など)のうち、2つ以上を組み合わせて認証する方法です。「記憶」「所持」「生体情報」の各認証方法だけでは万能ではありませんので、「記憶」「所持」「生体認証」のいずれかを2つ以上の方法を組み合わせることで、セキュリティのレベルをあげることができるわけです。

クラウド認証サービス「らく認」でVPN接続時の認証強化

関連記事

多要素認証(MFA)にはクラウドで

Microsoft Office 365の多要素認証(MFA)について

Authenticatorアプリの代替機を使った多要素認証(MFA)

Salesforceの多要素認証(MFA)の設定方法

Google/Microsoft/Salesforceなど、各種MFAのAuthenticatorについて

Amazon Web Services(AWS)MFAを必須化

コピープロテクトに最適なUSBドングル

PCI DSS v4.0への更新で重要性増す多要素認証(MFA)

Microsoft Entra ID – Azure ADから名称変更

情報セキュリティが脆弱に!BYODのデメリットとは