ゼロトラスト博士のブログ

  • ゼロトラスト
  • セキュリティニュース
2021.08.17

VPNやめますか?それともランサム払いますか?

VPNやめますか?それともランサム払いますか?

米国だけでもインターネットに公開されたVPNサーバは73,400台

テレワークが広がり、クラウドの活用が進み、ネットワークの境界が曖昧になった現在のネットワークインフラにおいて、ネットワークの運用はとても複雑になっています。VPNの導入にアクセスコントロールリストやファイアウォールのルールを変更など、ビジネスを止めずにタイトなアクセスポリシーを維持するのは至難の業です。

ゼロトラストのコンセプトである、Never Trust, Always Verifyを既存のネットワークにオーバーレイすることができるネットワークのソリューション「ゼロトラスト・オーバーレイ・ネットワーク」といったソリューションも登場しています。
基本的にはSDP(ソフトウェア・ディファインド・ペリメタ)の考え方の実装方式の一つで、各リソースはファイアウォールの後ろに隠れ、管理サーバーに対してアウトバウンド接続し、正当なアクセス要求があった場合にのみアクセス元のデバイスとリソースを結線するイメージです。インターネット側からの接続だけでなく、内部ネットワークのデバイス同士の接続もゼロトラスト化でき、既存のネットワークインフラを大きく変える必要がないということが特徴です。

VPNの利用はコロナ禍によって急増しました。
Shodan(https://www.shodan.io/ ※英語サイト)によると、米国だけでもVPNサーバが734,000台インターネットに露出しています。これが格好のサイバー攻撃の対象になっています。VPNの脆弱性や漏洩したクレデンシャルを利用してVPNサーバから内部ネットワークに侵入され、その組織だけでなく、サプライチェーンを構成する他の組織にも侵害が伝播していきます。インターネットに露出されたVPNをなくすことはサイバー防御力を大きく引き上げるため、優先度を上げて取り組むべきでしょう。


余命宣告されないと人は行動を変えない

世の中ではこれだけランサムウェアの被害が出て、その被害は経営リスクだと認識されている一方で、VPNサーバを未だに使い続けているのは、まだ「自分ごと」として捉えられていないのでしょう。

健康診断を受診した際に、「あなたはメタボ気味なので、生活習慣を改善しましょう」と控えめな警告を受けても、「まあそのうち改善しよう」と考えるだけで、結局何もせずに終わります。しかし、「このまま対策をしなければあなたの余命は3ヶ月です」と言われれば、すぐに酒とタバコを辞め、食事も栄養士が作った献立を食べるでしょう。リスクを正しく把握することで、初めて適切な対策が可能になるのです。セキュリティリーダーは、リスク管理の責任を持つ経営者に対してサイバーリスクを正しくコミュニケーションする必要があります。

ゼロトラスト・オーバーレイ・ネットワークのようなソリューションは、既存のネットワークインフラをすっかり入れ替えるのではなく、追加することで利用できるソリューションです。ゼロトラストネットワークアクセスの原則を実践するには、実にたくさんのソリューションがあります。
SASEのサブカテゴリとして、SDP、SD-WAN、CASB、ID認識型プロキシなど多くのソリューションがあり、それぞれがゼロトラストネットワークアクセスの原則を実現できるものです。自社のIT環境と利用形態に沿ったものを選択すればよいでしょう。


泥棒のテクニックに合わせたリアクション型のセキュリティ対策では状況は大きく変わらない

インターネットは「公道」のようなもので、誰でも車に乗ってあなたの組織のネットワークである「家」に行くことができます。玄関が空いていなくても、家の周りをうろうろして家の状況を観察し、空いている窓や壊して侵入できそう場所がないか調べることができます。侵入できる隙がない家はスルーして、守りの弱い家を狙います。境界防御モデルは、泥棒の新しい侵入テクニックに合わせて家の守りを強化するリアクション型のアプローチでした。しかしこれではセキュリティ対策は複雑怪奇なものになり、いずれ管理不能になり、時間もお金も尽きてしまうでしょう。


ゼロトラストネットワークアクセスはゲーテッドコミュニティ

攻撃側が低いコストで高い利益を得られるのは、このように誰もがあなたのネットワークの入り口にアクセスできてしまうというインターネットの前提があります。
ゼロトラストネットワークアクセスは権利を持った人しか入れないゲーテッドコミュニティ(コミュニティの住民以外の敷地内への出入りを制限することで犯罪を防ぐ仕組み)のようなものです。泥棒はあなたのコミュニティのゲート内に入ることはできず、家に近づくことはできなくなり、誰の家があるのか、どういう家なのかも見えなくなります。
組織のネットワークの入り口をインターネットにさらさないというパラダイムシフトは、攻撃者有利のサイバーゲームを防御側有利に状況を一転させるインパクトを持っています。


ブログ編集者のプロフィール

入社以来一貫して外資のITベンダーを担当。
アシストに技術者として新卒入社したが、5年目で
プロダクトマーケティングにジョブチェンジして以来18年以上従事。
Ericom社製品を2011年の立ち上げから一貫して担当。
難解なテクノロジーをわかりやすい言葉で伝えるのが得意。
サイバーセキュリティの啓蒙と普及に情熱を持って取り組む。

著者 青木裕明

関連している記事

  • ゼロトラスト
  • セキュリティニュース
2021.08.05

博士の月間サイバートピック総まとめ 2021年7月版

カニンガム博士が7月中に発表したサイバートピックの週ごとのサマリーをご紹介します

  • ゼロトラスト
  • セキュリティニュース
2021.07.28

国家機関からの世界200以上の組織に対する大規模攻撃

国レベルで行われる高度なサイバー攻撃に対しても効果を発揮する、ゼロトラストの有効性についてご説明します。

  • ゼロトラスト
  • セキュリティニュース
2021.07.20

経営者にゼロトラストを理解してもらうには

経営者層に、サイバー攻撃被害のリスクとゼロトラストの必要性を理解してもらうには、どのような進め方が良いのか?企業が意識すべき重要なポイントと合わせてご紹介します。

ページの先頭へ戻る