緊急指令からわかる VPN を今すぐ交替させるべき理由
原文のブログはこちらからご覧いただけます。
2024年2月1日更新:CISAは政府機関に対し、脆弱性のある製品の接続を速やかに解除するよう求める緊急指令の補足を発表しました。それによると、 「できるだけ早く、遅くとも2024年2月2日(金)午後11時59分までに、政府機関のネットワークからIvanti Connect SecureおよびIvanti Policy Secureソリューション製品の全インスタンスを切断すること」とあります。
2024年1月30日更新:CISA は、脅威ハントに関する追加ガイダンスを発表しました。 それによると、「組織が過去数週間の間に、Ivanti Connect Secure(9.xおよび22.x)、およびPolicy Secureゲートウェイを使用したことがある場合、および(または)引き続きこれらの製品を使用している場合、CISAは、これらのIvantiデバイスに接続されている(または最近接続された)すべてのシステム上での継続的な脅威の監視を推奨する。さらに組織は、暴露される可能性のある認証、アカウント使用、および ID 管理サービスを監視し、それらのシステムをあらゆる企業リソースから可能な限り隔離することが求められる」としています。またCISAは、「パッチが利用可能になった際のパッチ適用後については、パッチ適用前に発生した可能性のある侵害を検出するため、組織がネットワーク調査を継続するよう推奨する」とのことです。
長い間、VPN (仮想プライベートネットワーク)はリモートアクセス保護の主力製品でした。しかし、そのVPN が与える無制限のネットワークアクセスを求める脅威アクターによる攻撃が増えています。昨年は多くの VPN プロバイダが複数の脆弱性による影響を受けました。
最近の例では、VPNの特定の 脆弱性について CISA (米国サイバーセキュリティ・社会基盤安全保障庁)が緊急指令を出し、各連邦政府機関では時間のかかる(しかし一時的でしかない)修正を見つけ出して適用するために週末を費やすということがありました。
この指令は、「CISA は、Ivanti Connect Secure (VPN)と Ivanti Policy Secure ソリューションの複数の脆弱性に対する、広範囲かつ活発な悪用を確認している」と述べています。また、脅威の影響度について、「これらの製品に存在する脆弱性の悪用に成功した場合、悪意ある脅威アクターによる横方向の移動、データの抜き出し、永続的なシステムアクセスの確立が可能になり、標的となった情報システムの完全な侵害を招く」と説明しています。
民間企業における VPN の脆弱性リスク
この緊急指令は米国政府機関に宛てたものでしたが、CISA は民間企業向けの具体的な警告も発しています。
CISA ディレクターの Jen Easterly 氏は、すべての組織が直ちに緩和措置を講じるよう強く求めました。
同氏は次のように述べています。「連邦政府機関がこの指令に対応する緊急措置を講じるとはいえ、このリスクは同じ製品を使用するすべての組織や部門に及ぶことがわかっています。すべての組織に対して、この指令で説明されている対策の採用を強く求めます」
特別なご提案: VPNの置き換えを容易に(そして安全に)。 CylanceEDGE®の無料トライアルをお申し込みください。
VPN のセキュリティリスク
VPN などのリモートアクセスツールは、組織がコロナ禍を乗り越えるのに役立ち、「どこでも仕事ができる」という期待を高めました。しかし、VPN の脆弱性に関する報告数の増加により、サイバー脅威アクターがVPNを用いてネットワークの深部にアクセスするリスクが明らかになっています。脅威アクターは、VPN が従業員や許可されたサードパーティに与えるものと同じアクセスを、これらの脆弱性を利用して得ているのです。
VPN の中心的な機能は、1996 年に発明されて以来、ほぼ変わっていません。VPN は、企業ネットワーク(および、それに伴うセキュリティ境界)を拡大することにより、リモートユーザーにネットワークへのアクセス権を付与しています。
この方法の主なセキュリティ上の問題は、VPN が「信ぜよ、されど確認せよ、というモデル」で運用され、境界内のすべてのユーザーを暗黙的に信頼していることにあります。その最たる例が Colonial Pipeline 社のランサムウェア攻撃です。調査により、この攻撃は同社のレガシーな VPN に直接関係していることが判明しています。その後の FBI の勧告によると、ランサムウェア攻撃は保護されていない VPN サーバーを狙うことが多く、その発生頻度は 2022 年 6 月以降、増加の一途をたどっています。
VPN に代わるもの
VPN が頻繁に悪用される複数の脆弱性を持つ旧式の技術だとして、それに代わるのはどんな技術なのでしょう。VPN に代わる手法として、ZTNA (ゼロトラストネットワークアクセス)を導入する組織が増えています。このアプローチは、リスクが軽減されることから CISO に好まれています。それと同時に、デバイスや場所を問わず、接続が高速になり、認証が合理化され、ユーザーエクスペリエンスが標準化されるというメリットにより、 CIO に高く評価されています。
VPN をゼロトラストネットワークアクセスに置き換える
ゼロトラスト環境のユーザーは、デフォルトでエンティティを信頼したり、VPN を通じた一回限りの認証でアクセス権を確認したりするのではなく、現在のセキュリティ体制を確認することによって、継続的に精査されます。ネットワーク上のどのユーザーも、自動的に「信頼できる」とはみなされず、ユーザーが使用するネットワーク、アプリケーション、デバイスについても同様です。「ゼロトラスト」アプローチは、リクエストが職員によるものか、請負業者や顧客、パートナーなどの外部ユーザーによるものかに関係なく適用されます。
ZTNA により、攻撃対象領域がマイクロセグメンテーションなどで最小化され、組織のセキュリティが強化されると同時に、リソースとアクセスの管理が一元化されてシンプルになり、スケーラビリティと柔軟性が高まります。
調査会社の Gartner Inc. は最近のレポートで、あらゆる規模の組織が VPN の置き換え戦略を策定する際に考慮すべき主な要素として、ゼロトラストネットワークアクセス、およびネットワークのマイクロセグメンテーションの 2 つを挙げています。
また、ESG (Enterprise Strategy Group)との最近のトークイベントでは、VPN に代わるものとして ZTNA が選ばれている理由と、それがどのようにデジタルトランスフォーメーションを推進し、セキュリティを強化しているかについて探っています。
最後に
CISA の最新の緊急指令は、脆弱性の多い VPN をゼロトラストアーキテクチャに置き換えることでセキュリティモデルを現代化する必要があることを強調する、多くの例の一つにすぎません。ZTNA は、高度化するサイバー攻撃に直接対処し、あらゆる規模の組織でコンテキスト認識型、ID 認識型の動的なセキュリティ対策の導入を容易にします。
つまり、ZTNA によって、デジタルインフラストラクチャのセキュリティ強化、効率化、アジリティ向上に向けた変革を進め、サイバーレジリエンスの獲得が可能になるのです。
.png)
