編集部からのお知らせ
新着記事まとめPDF「データサイエンティスト」
ZDNet Summit 2021開催のご案内
海外コメンタリー

VPN利用に伴うセキュリティリスクに対処するために--NSAとCISAが公開したガイダンス

Jonathan Greig (Special to ZDNet.com) 翻訳校正: 石橋啓一郎

2021-10-06 06:30

 米国の国家安全保障局(NSA)とサイバーセキュリティ・インフラセキュリティ庁(CISA)は、国民や組織が仮想プライベートネットワーク(VPN)をどう選ぶべきかを説明した詳細なガイドを共同で発表している。これは、世界的にリモートワークや遠隔教育への移行が進む中、他国やサイバー犯罪グループによるVPNの悪用が増えているためだ。

 この9ページの文書には、VPNを安全に導入するための方法に関する詳しい説明が含まれている。NSAは声明の中で、このガイドは、国防総省や、国家安全保障システム、防衛産業基盤のリーダーにとっても、「VPNに関連するリスクに対する理解を深める」ために役に立つだろうと述べている。

 NSAによれば、国家の支援を受けている複数のAPT攻撃グループが、よく見られる脆弱性を兵器化して、脆弱性を持つVPNデバイスへのアクセスを獲得し、認証情報を盗んだり、リモートからコードを実行したり、暗号化されたトラフィックの暗号を弱めたり、暗号化されたトラフィックのセッションを乗っ取ったり、デバイスから機密情報を読み取ったりしているという。

 NSAのディレクターRob Joyce氏はAspen Cyber Summitで、「複数の国家が既知の脆弱性を悪用して脆弱な仮想プライベートネットワークデバイスを侵害している」と語った

 Joyce氏はTwitterで、VPNサーバーは保護されているネットワークへの入り口であるため、攻撃者にとって魅力的な標的だと述べている

 同氏はまた、「APT攻撃グループはこれまでVPNを攻撃してきたし、今後も攻撃するだろう。NSAと@CISAgovが発表した最新のガイダンスは、攻撃対象領域を縮小する上で役立つ。自分たちの守りに投資してほしい」と付け加えた。

 CISAのディレクターであるJen Easterly氏も、Joyce氏と同じように、国家によるVPNに対する攻撃についてのメッセージを発信している

 今回のガイドは、国家情報保証パートナーシップ(National Information Assurance Partnership)の製品準拠リスト(PCL)に掲載されている検証済みのVPN製品のリストに言及している。その多くは、多要素認証を使用しており、パッチやアップデートを迅速に提供している製品だ。

 専門家は、このリストを作成したCISAとNSAを称賛している。Sophosの主席リサーチサイエンティストChester Wisniewski氏は米ZDNetに対し、これまでVPNに関しては、何かを売ろうとする意図が絡んでいない、信頼できる情報が存在しなかったと話す。

 Wisniewski氏は、「NSAの知識と経験と、米国の民間企業を保護するというCISAの任務を組み合わせは、犯罪者から身を守るための信頼できるアドバイスを提供する立場として適切だ」と述べた。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]