テレワークでのVPN利用にセキュリティリスク--米当局が注意喚起

ZDNET Japan Staff

2020-03-16 13:34

 米国土安全保障省傘下のCybersecurity and Infrastructure Security Agency (CISA)は3月13日、新型コロナウイルス対策に伴うテレワークでのVPN利用について企業などにセキュリティ上の注意喚起を行った。

 CISAは、企業が新型コロナウイルスの感染拡大を防止するために、在宅勤務などのテレワークを実施するにはVPNの利用が必要であり、より堅牢なセキュリティ対策が確保されているべきだと解説する。

 セキュリティのリスクとしては、VPN利用が広がるにつれてサイバー攻撃者は、組織の脆弱性を探る動きを活発化させる恐れがある。在宅勤務者を標的にしたフィッシングメールによってユーザー名やパスワードなどの情報を窃取する攻撃を拡大させ、リモートアクセスで多要素認証を使用しない組織ではフィッシング攻撃を受けやすくなると警鐘を鳴らす。

 また、VPNシステムが24時間稼働することで、システムの脆弱性を修正するパッチの適用などが難しくなるほか、VPNの同時接続数の制約によって従業員の業務の可用性やITセキュリティ担当者の業務の遂行が損なわれることが懸念されるという。

 このためCISAは、VPNやネットワークインフラ機器、リモート接続で使用する機器では最新のセキュリティパッチや構成を適用するとともに、全てのVPN接続で多要素認証を実装し、実装が難しい場合でもテレワーク利用者に強力なパスワードを使用するように求めるべきだとアドバイスする。

 ITセキュリティ担当者には、VPNの利用拡大に備えて制約事項を事前に確認し、可能なら帯域幅を必要とするユーザーに優先順位を付けたり、転送レートの制限を設けたりするほか、フィッシング攻撃の拡大に備えた従業員への注意喚起、テレワークでのサイバーセキュリティ体制を通じてログの確認や攻撃の検出、インシデント対応と復旧などができる準備をしておくべきだと提言している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]