Zscalerのブログ
Zscalerの最新ブログ情報を受信
購読するセキュリティ専門家が唱える「VPNの危険性」
セキュリティ専門家の多くが頭を悩ませている問題 ー 実は意外なものだということをご存じですか?
本日、Zscalerの委託によりCybersecurity Insidersが実施した新しい調査「第2回目」で、サイバーセキュリティ専門家の多くが「VPNは組織を攻撃のリスクにさらしている」と認識していることがわかりました。
そして、このような懸念の声が上がるのには明確な理由があります。
インターネットと時を同じくして登場したVPNですが、この初期のリモート アクセス技術は近年では重大な脆弱性にさらされています。国土安全保障省傘下のサイバーセキュリティ インフラストラクチャー セキュリティ庁(CISA)は、2021年には悪意のあるサイバー アクターがパッチ未適用のVPNを日常的かつ積極的に悪用したと言及しています。
VPNは本質的に格好の攻撃対象であり、犯罪者自身もそれを理解したうえで悪用しているのです。
根強く残る古くからの習慣
これまで30年近くにわたり、組織はリモート アクセスVPNを重用し、いわゆる城と堀のセキュリティ モデルで構築されたVPNは、アプリケーションがデータ センター内に存在する環境では十分に役割を果たしていました。しかし、ユーザーとアプリケーションが境界の外に移動したクラウド ファースト、モバイル ファーストの環境が急速に普及しているにもかかわらず、リモート アクセスのセキュリティは企業ネットワークにつながれたままとなっています。
従来のネットワークとセキュリティのアーキテクチャーが原因で生じる課題は、特にVPNのように企業のデータ センターや業務プロセスに深く根ざしている場合、広範囲かつ長期にわたる影響を及ぼします。VPNはサイバー犯罪者に悪用されやすいことを認識しながらも、95%の企業が使い続けている理由は、ここにあるのかもしれません。
インターネットから企業ネットワークへの玄関口となるVPN
VPNを利用することで、企業ネットワークへの初期アクセスを取得し、水平方向に拡散してリソースを侵害したり、2021年のColonial Pipelineへの攻撃のように業務を中断させたりできるため、攻撃者にとっては魅力的な侵入経路となっています。VPNは、その設計特性としてユーザーに完全なネットワークIPプロトコル アクセスを提供します。悪意のあるアクターは、このプロトコルを悪用したり偵察行為に利用したりするほか、ネットワークやデータ センターの調査に使用し、ランサムウェア、マルウェア、Webアプリケーション攻撃、DDoS攻撃などの脅威を価値の高いターゲットに誘導します。
セキュリティ専門家は、ハイブリッド ワーカーやリモート ワーカーを狙ったエクスプロイトの増加を認識しており、専門家の71%がネットワークのセキュリティを危険にさらす原因がVPNである可能性を指摘しています。
過剰な信頼を与え、コストもかさむVPN
調査の結果、組織は現在のVPNに関して2つの主な課題に直面していることがわかっています。
1. ユーザーをネットワークに配置する:VPNでは、従業員とサードパーティーが企業ネットワークに直接アクセスできるようにする必要があります。ユーザーがVPN経由でネットワークにトンネリングした時点で「信頼できる」と見なされ、水平方向のアクセスが許可されます。ユーザーが十分な信頼を得ているかどうかは確認されません。
2. コストが高く非常に複雑である:完全なVPNゲートウェイ アプライアンス スタックはレイテンシーや容量の制限により、各データ センターでスタックを複製する必要があるため、コストはより高くなります。実際に、過半数の企業(61%)はVPNゲートウェイを3つ以上導入しているため、管理と拡張の問題はさらに深刻化しています。
既存のアプローチから脱却し、ゼロトラストで変革を
セキュリティ専門家の大半(71%)は、VPNがもたらすリスクは組織にとって看過できないレベルとなると考えており、より安全なゼロトラスト ベースの代替手段を求めるようになっています。Cybersecurity Insidersによると、今年は組織の80%がゼロトラストをすでに導入済みまたは導入予定としており、この数字は昨年から12%増加しています。
企業がVPNからZTNAに移行し始めた理由とは
Gartnerは、2025年までに、新たに導入されるリモート アクセスの少なくとも70%が、VPNサービスではなくゼロトラスト ネットワーク アクセス(ZTNA)が主体となって提供されるようになると予測しています。これは、2021年末の10%未満から大幅に増加しています。
Zscalerは、National Oilwell & Varco、Sanmina、West Fraserなどの数多くの組織に対して、従来型のVPNからZscaler Private Accessと呼ばれる次世代のゼロトラスト ネットワーク アクセス サービスへの移行をサポートしてきました。
オンプレミスまたはクラウドホスト型のVPNの段階的な拡張や移行を検討している場合は、こちらのページや、以下の資料をご確認ください。実際に変革を開始するまでの間は、VPNの脆弱性に常にパッチを適用することが重要です。