米国土安全保障省傘下のCybersecurity and Infrastructure Security Agency (CISA)は3月13日、新型コロナウイルス対策に伴うテレワークでのVPN利用について企業などにセキュリティ上の注意喚起を行った。
CISAは、企業が新型コロナウイルスの感染拡大を防止するために、在宅勤務などのテレワークを実施するにはVPNの利用が必要であり、より堅牢なセキュリティ対策が確保されているべきだと解説する。
セキュリティのリスクとしては、VPN利用が広がるにつれてサイバー攻撃者は、組織の脆弱性を探る動きを活発化させる恐れがある。在宅勤務者を標的にしたフィッシングメールによってユーザー名やパスワードなどの情報を窃取する攻撃を拡大させ、リモートアクセスで多要素認証を使用しない組織ではフィッシング攻撃を受けやすくなると警鐘を鳴らす。
また、VPNシステムが24時間稼働することで、システムの脆弱性を修正するパッチの適用などが難しくなるほか、VPNの同時接続数の制約によって従業員の業務の可用性やITセキュリティ担当者の業務の遂行が損なわれることが懸念されるという。
このためCISAは、VPNやネットワークインフラ機器、リモート接続で使用する機器では最新のセキュリティパッチや構成を適用するとともに、全てのVPN接続で多要素認証を実装し、実装が難しい場合でもテレワーク利用者に強力なパスワードを使用するように求めるべきだとアドバイスする。
ITセキュリティ担当者には、VPNの利用拡大に備えて制約事項を事前に確認し、可能なら帯域幅を必要とするユーザーに優先順位を付けたり、転送レートの制限を設けたりするほか、フィッシング攻撃の拡大に備えた従業員への注意喚起、テレワークでのサイバーセキュリティ体制を通じてログの確認や攻撃の検出、インシデント対応と復旧などができる準備をしておくべきだと提言している。