VPNのセキュリティは本当に安全か? 不正接続対策を強化するために知っておくべきこと

INDEX

    テレワークの普及に伴い、VPNを利用する機会が増えてきました。VPNはリモートであっても社内や組織内にいるのと同じように感じられて便利ですが、過信してしまうとセキュリティリスクを排除しきれず、何らかのサイバー攻撃による被害を受ける可能性があります。
    今回はVPNのセキュリティに関する基礎知識、VPNのセキュリティリスクや脅威となるサイバー攻撃、そして不正接続対策をさらに強化するために知っておくべきことについてお話します。


    VPNのセキュリティに関する基礎知識

    はじめにVPNのセキュリティに関する基礎知識を簡単に説明します。

    VPNのセキュリティの仕組み

    VPNはVirtual Private Networkの略称であり、社内や組織内のプライベートネットワークに外部から仮想的に接続して利用できる仕組みを指します。VPNにログインするための設定や事前共有キーが漏れない限りは外部からログインできず、暗号化されているため非常にセキュリティ性が高いです。
    社内や組織内にいるのと同じようにネットワークを利用できることから、テレワークや遠隔地でもデバイス管理ができるのも特徴です。同時にネットワーク上のサーバーに暗号化している状態でアクセスできるため、業務および作業がスムーズになります。

    VPNのセキュリティにありがちな誤解

    VPNのセキュリティにありがちな誤解として「VPNなら絶対に安全という過信」があります。たしかにVPNによる接続は安全かもしれません。しかし、接続されているデバイスやOS、システムやソフトウェアのセキュリティが保たれていなければ、サイバー攻撃による被害を防ぎきれないということです。
    同様にVPNを利用する従業員のセキュリティリテラシーが低ければ、VPNにログインする情報を盗まれたり、デバイスごと乗っ取られたりすることもあります。VPNを過信し過ぎると、かえって危険だということを知っておくべきと言えます。

    VPN利用時のセキュリティを強化する時の基本

    セキュリティ対策の基本とも言える部分ですが、多段的、多層的に防御および対策をすることが効果的です。VPNを利用し、エンドポイントセキュリティを強化し、その上で監視やフィルタリングを行うなど、さまざまな角度から対策を講じれば、VPNを安心・安全に利用できるようになります。
    結果的にVPNで安全に従業員のデバイスを一元管理できるようになり、テレワークや遠隔地にあるデバイスのセキュリティ性を高めることにもつながります。VPNによる過信によって、不要な被害、トラブルを発生させないためにもVPNだけでなく、他のセキュリティ対策もしっかりと行うべきということです。


    VPNのセキュリティリスクや脅威となるサイバー攻撃

    次にVPNのセキュリティリスクや脅威となるサイバー攻撃について解説します。

    OSやシステム、デバイスにおける脆弱性の悪用

    OSやシステム、デバイスにおける脆弱性を悪用するケースでは、管理者権限を奪われてしまうこともあり、VPNの暗号化や安全性が著しく損なわれます。IT資産管理が導入されていない、または何らかの理由で各種アップデートを行えない環境では危険だということです。いわゆるセキュリティを軽視しており、セキュリティに関するコスト、デバイス機器やOSおよびソフトウェアの切り替えや更新のコストを、適切に割り振れていないケースとも言えます。

    マルウェアを介した乗っ取りやデバイスの盗難

    マルウェアを介して、デバイス自体の乗っ取り、または盗難されたデバイスによってVPNに侵入されてしまうことも考えられます。どちらもVPNに接続する情報を持ったデバイスを不正に操られてしまうため、非常に危険な状態です。エンドポイントセキュリティが甘い、もしくは認証するための設定や情報がデスクトップなどに置いてあるなど、基本的なセキュリティが確保できていないケースでもあり、VPN以前に他のサイバー攻撃からの被害を受けやすい状況でもあります。

    標的型攻撃やフィッシングメール・フィッシングサイト

    標的型攻撃やフィッシングメール、フィッシングサイトなど詐欺的な手法も脅威と言えます。従業員自ら添付ファイルに仕込まれたマルウェアウィルスを実行してしまったり、IDやパスワードを教えてしまったりしてしまえば、VPNによる暗号化や安全性は無意味になってしまうからです。ウイルス対策ソフトやWebフィルタリングを導入していない場合に被害を受けやすくなります。また、安易に添付ファイルを実行してしまうようなセキュリティリテラシーが低い点も非常に危険であり、セキュリティインシデントがいつ発生してもおかしくない状況と言えるでしょう。

    privecstasy-CXlqHmQy3MY-unsplash.jpg


    不正接続対策をさらに強化するために知っておくべきこと

    次に不正接続対策をさらに強化するために知っておくべきことをご紹介します。

    ゼロトラストの考え方に基づいて多段的・多層的なセキュリティ対策を行う

    ゼロトラストとは「何も信用しない」という考え方であり、多段的・多層的な認証やセキュリティ対策を行うことを意味します。例えば、特定のIPアドレス以外からは接続できない、許可したMACアドレスのデバイスしかログインできない、認証時にIDやパスワードだけでなく、セキュリティキーを利用するなど、いくつもの防御を行うような形です。
    その他にもファイルへのアクセス権や閲覧する権限を設定し、かつPC操作ログの取得と監視を行う、異常を検知する仕組みの導入などが挙げられます。VPNのネットワークに入り込んだだけでは悪さができないようにしておくことで、被害を最小限に留めたり、セキュリティインシデントの検知と原因究明や特定もしやすくなります。

    信頼できるベンダーのVPNに関するセキュリティ製品を利用する

    VPNを利用する際のセキュリティを高めるセキュリティ製品を利用するのもおすすめです。信頼できるセキュリティベンダーの製品であれば、ITやセキュリティに疎い場合でもセキュリティを強化できます。
    実際問題として、DXの推進もですが、急激なIT技術の進化に追いついていないような状況ですと、セキュリティの重要性を理解できず、注力しきれない、または軽視してしまうことがあります。穴が空いたままの状態では情報資産が盗まれたり、改ざんされたりしてしまうにも関わらずです。
    ITに疎い、もしくはセキュリティがよくわからないなら、セキュリティベンダーに相談することが大切です。

    多要素認証とともに一元管理が可能なIT資産管理・情報資産管理を導入する

    多要素認証はIDとパスワード、もしくは事前共有キーや設定とは別に認証する要素を増やすことを意味します。認証したデバイスや従業員しかアクセスできないようにすることでVPNへの侵入を防ぐことが可能です。また、多要素認証やゼロトラストに基づいたセキュリティ、エンドポイントセキュリティなどIT資産や情報資産を管理する仕組みを導入することも重要と言えます。
    同時にいつ・誰が・どこで・何をしたといった要素を監視できるようにすること、不正接続を排除するとともに不審な動きを検知することで、デバイスの乗っ取りやなりすましを防ぐとともに、内部不正対策も強化できます。WebフィルタリングやWeb閲覧履歴の取得、メール送受信履歴の取得など、業務に必要な作業を把握するためにも、一元管理が可能となる管理手法を導入しておきましょう。


    まとめ:VPNだからと過信せず、さらなるセキュリティ対策を行おう!

    今回はVPNのセキュリティに関する基礎知識、VPNのセキュリティリスクや脅威となるサイバー攻撃、そして不正接続対策をさらに強化するために知っておくべきことについてお話しました。
    VPNだから安全と過信せず、基本的なセキュリティ対策とともにVPNをさらに安心・安全に利用できる対策を行いましょう。同時にシステム面だけでなく、利用する従業員のセキュリティリテラシーの向上をしっかりと行うことをおすすめします。

    お役立ち資料

    • お役立ち資料

      Windows10更新管理の教科書

      資料ダウンロード
    • 市場調査レポート

      小売業のモバイル端末「紛失対策」実態調査
      多店舗展開している小売業、半数以上が「スマホ・タブレットの管理」に不安あり

      資料ダウンロード
    • 製品概要

      すぐわかる!AssetView

      資料ダウンロード

    人気ランキング


    開催イベント

    • 情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

      アーカイブ配信

      常時開催

      情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

    • 社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

      アーカイブ配信

      常時開催

      社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

    • 情シス担当に調査!SaaS管理をとりまく実態とは?

      アーカイブ配信

      常時開催

      情シス担当に調査!SaaS管理をとりまく実態とは?

    • 金融分野における個人情報保護に関するガイドライン解説セミナー

      アーカイブ配信

      常時開催

      金融分野における個人情報保護に関するガイドライン解説セミナー

    • 「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

      アーカイブ配信

      常時開催

      「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

    • PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

      アーカイブ配信

      常時開催

      PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

    • 30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

      アーカイブ配信

      常時開催

      30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

    • 最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

      アーカイブ配信

      常時開催

      最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

    • 『内部不正』が起きる要因と対策が分かるセミナー

      アーカイブ配信

      常時開催

      『内部不正』が起きる要因と対策が分かるセミナー

    • 『IT資産管理の費用対効果』が説明できるようになるセミナー

      アーカイブ配信

      常時開催

      『IT資産管理の費用対効果』が説明できるようになるセミナー

    ハンモックのプロダクト

    • AssetsView Cloud
      IT統合管理ソフトウェア(クラウド)
      VPN不要で、働き方に問わず
      様々な環境下にある端末を一元管理
    • ホットプロファイル
      名刺管理、営業支援ツール
      名刺管理とマーケティング機能が一体化した
      SFA・営業支援ツールの決定版
    • WOZE
      クラウド型データエントリーサービス
      業界最安値で正確かつ迅速に、あらゆる書類をデータ化
    • AssetsView
      IT統合管理ソフトウェア(オンプレミス)
      PCの資産管理や情報漏洩対策を強化する、
      機能が選べるIT統合管理ソフトウェア
    • ホットアプローチ
      フォーム営業ツール
      法人の新規開拓営業に必要な営業先リストと
      自動営業方法をセットにした営業支援サービス
    • AnyForm OCR
      書式を問わないOCRソフト
      これまで実現できなかった、帳票レイアウトが
      非定型な活字帳票に対応できるOCRソフト

    資料一覧はこちら