VPN(仮想プライベートネットワーク)セキュリティに関するNSA(米国国家安全保障局)のアドバイザリが浮き彫りにするゼロトラストの必要性
トピック: リモートワーク、SD-WAN(Software Defined Wide Area Network)
2020年7月6日、Mike Vizard
NSAは適切に保護されていないVPNが攻撃を受けやすいことを企業に警告するアドバイザリを発表しています。このアドバイザリでは、特に、VPNがネットワークスキャン、ブルートフォース、およびゼロデイ攻撃を受けやすいことが指摘されています。
このアドバイザリでは、VPNの交換は要求されておらず、VPNデバイスへのネットワークトラフィックのポート、プロトコル、およびIPアドレスを制限するための厳しいトラフィックフィルタリングルールを導入することがネットワーク管理者に推奨されています。
企業は、リモートユーザがサーバにアクセスできる暗号化トンネルを提供するために、VPNを使用しています。コロナウィルス(COVID-19)パンデミックの結果、企業は、従業員が在宅勤務できるように、VPNにこれまで以上に依存しています。問題はVPNに既知のセキュリティの問題があることです。攻撃者は、盗み出した認証情報を悪用すると、VPNに接続し、設定を変更するか、追加のインフラストラクチャに接続またはアクセスできます。脆弱性はSSL(Secure Socket Layer)プロトコルに依存するVPNにも存在します。攻撃者は、SSLによって、認証情報などの任意のファイルを取得することも、管理者権限を悪用して、後で実行できるマルウェアを埋め込むこともできます。
このアドバイザリで企業に警告されていることは下記のとおりです。
- VPNゲートウェイの攻撃サーフェスを軽減する。
- 暗号アルゴリズムがCNSSP(Committee on National Security Systems Policy) 15に対応していることを確認する。
- デフォルトのVPN設定を使用しない。
- 不使用または非対応の暗号スイートを削除する。
- ベンダが提供する更新(パッチ)をVPNゲートウェイおよびクライアントに適用する。
VPNに代わるもの
519人のITプロフェッショナルを対象に実施した最近の調査によると、回答した企業の約3分の1(30%)は現在のパンデミックの間にVPNの問題に直面しています。現在のパンデミックの結果、多くの企業はリモートアクセスへのアプローチ全体を再評価しています。多くの企業は、VPNに依存するのではなく、エンドポイントにリモートからインストールされたSDP(Software Defined Perimeter)ソフトウェアでアクセスできるSD-WAN(Software Defined Wide Area Network)を評価しています。SD-WANは、サービスによっても社内のIT部門が導入したゲートウェイによってもアクセスできるため、組み込みファイアウォールを実装していることが最適です。
目的は真のゼロトラストネットワーク環境を構築することです。SDPソフトウェアは、従来のパスワードに依存するのではなく、認証情報が盗み出される可能性が低下するように、特定のユーザにIDを割り当てることができます。
ゼロトラストアーキテクチャへの関心は現在のパンデミックの前から増大していました。現在のパンデミックは、多くの新しいテクノロジトレンドと同様、企業のゼロトラストへの移行を加速するものにすぎないかもしれません。
在宅勤務するエンドユーザに対する攻撃は増加しています。企業がエンドポイントセキュリティへのアプローチを再評価することは時間の問題です。ゼロトラストへの移行速度はゼロトラストアーキテクチャを導入するための予算と技術の両方によって大幅に異なります。
この間、セキュリティ部門は自己満足に陥らないように注意する必要があります。多くのセキュリティ部門は初期の緊急事態に対処するための優れた仕事を行っています。一方、以前より頻繁に在宅勤務することが「ニュー・ノーマル」になっていると思われるため、セキュリティが企業に知られていたような以前と同じものになることは二度とないことも明らかです。
無料のレポート: セキュアなSD-WAN(Software Defined Wide Area Network): クラウドへの出発点
原文はこちら:
NSA advisory on VPN security highlights need for zero trust
July 6, 2020 Mike Vizard
https://blog.barracuda.com/2020/07/06/nsa-advisory-vpn-security-zero-trust/