海外コメンタリー

VPN利用に伴うセキュリティリスクに対処するために--NSAとCISAが公開したガイダンス

Jonathan Greig (Special to ZDNet.com) 翻訳校正: 石橋啓一郎

2021-10-06 06:30

 米国の国家安全保障局(NSA)とサイバーセキュリティ・インフラセキュリティ庁(CISA)は、国民や組織が仮想プライベートネットワーク(VPN)をどう選ぶべきかを説明した詳細なガイドを共同で発表している。これは、世界的にリモートワークや遠隔教育への移行が進む中、他国やサイバー犯罪グループによるVPNの悪用が増えているためだ。

 この9ページの文書には、VPNを安全に導入するための方法に関する詳しい説明が含まれている。NSAは声明の中で、このガイドは、国防総省や、国家安全保障システム、防衛産業基盤のリーダーにとっても、「VPNに関連するリスクに対する理解を深める」ために役に立つだろうと述べている。

 NSAによれば、国家の支援を受けている複数のAPT攻撃グループが、よく見られる脆弱性を兵器化して、脆弱性を持つVPNデバイスへのアクセスを獲得し、認証情報を盗んだり、リモートからコードを実行したり、暗号化されたトラフィックの暗号を弱めたり、暗号化されたトラフィックのセッションを乗っ取ったり、デバイスから機密情報を読み取ったりしているという。

 NSAのディレクターRob Joyce氏はAspen Cyber Summitで、「複数の国家が既知の脆弱性を悪用して脆弱な仮想プライベートネットワークデバイスを侵害している」と語った

 Joyce氏はTwitterで、VPNサーバーは保護されているネットワークへの入り口であるため、攻撃者にとって魅力的な標的だと述べている

 同氏はまた、「APT攻撃グループはこれまでVPNを攻撃してきたし、今後も攻撃するだろう。NSAと@CISAgovが発表した最新のガイダンスは、攻撃対象領域を縮小する上で役立つ。自分たちの守りに投資してほしい」と付け加えた。

 CISAのディレクターであるJen Easterly氏も、Joyce氏と同じように、国家によるVPNに対する攻撃についてのメッセージを発信している

 今回のガイドは、国家情報保証パートナーシップ(National Information Assurance Partnership)の製品準拠リスト(PCL)に掲載されている検証済みのVPN製品のリストに言及している。その多くは、多要素認証を使用しており、パッチやアップデートを迅速に提供している製品だ。

 専門家は、このリストを作成したCISAとNSAを称賛している。Sophosの主席リサーチサイエンティストChester Wisniewski氏は米ZDNetに対し、これまでVPNに関しては、何かを売ろうとする意図が絡んでいない、信頼できる情報が存在しなかったと話す。

 Wisniewski氏は、「NSAの知識と経験と、米国の民間企業を保護するというCISAの任務を組み合わせは、犯罪者から身を守るための信頼できるアドバイスを提供する立場として適切だ」と述べた。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. セキュリティ

    企業のDX推進を支えるセキュリティ・ゼロトラスト移行への現実解「ゼロトラスト・エッジ」戦略とは

  3. 経営

    2023年データとテクノロジーはどう変わるか 分析プラットフォームベンダーが明かす予測と企業戦略

  4. セキュリティ

    リモートワークで浮き彫りとなった「従来型VPN」、課題解決とゼロトラスト移行を実現する最適解

  5. セキュリティ

    第2世代EDRはココが違う 「自動化」でエンドポイントセキュリティの運用負荷・コストを削減

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]