HOME コラム一覧 知って得するセキュリティのはなし その58

知って得するセキュリティのはなし その58

post_visual

テレワークでのVPN利用にセキュリティリスク…米当局が注意喚起

1.このニュースをざっくり言うと

- 3月13日(現地時間)、米政府機関のCISAおよびUS-CERTより、新型コロナウイルス対策に伴うテレワーク(リモートワーク)実施におけるセキュリティリスクについて注意喚起が出されています。
- テレワークにおいて社内ネットワークへのVPN接続を行う場合が多く、その際のセキュリティリスクとして「VPNを利用する企業についてこれまで以上に多くの脆弱性を悪用される」「VPNが年中無休で動作することにより、VPNに関するシステムへのセキュリティパッチが適用されない」「在宅勤務者を標的としたフィッシングメールによりアカウント情報が奪取される」「リモートアクセスに多要素認証を採用しない企業では、よりフィッシング攻撃を受けやすくなる」「VPN同時接続数の制約の超過により接続できないユーザーが発生する」といった可能性が挙げられています。
- CISAでは、対策として「VPNやネットワークインフラ機器、リモート接続で使用する機器では最新のセキュリティパッチや構成を適用する」「フィッシング攻撃増加の可能性について従業員への注意喚起」「ログの確認による攻撃の検知等の体制を整える」「全てのVPN接続で多要素認証を実装、あるいは強力なパスワードを設定する」「可能なら帯域幅を必要とするユーザーに優先順位を付けたり、転送レートの制限を設けたりする」等を挙げています。

2.執筆者からの所感等

- VPN機器については、昨年9月に複数メーカーの機種において脆弱性が発表され、それに対する攻撃も確認されています。
- テレワークを行う各従業員の多くは自宅のネットワークから行うと考えられ、ユーザー側・企業側とも社内LANとはまた別のリスクを同時に考慮する必要があるでしょう。
- 「対策が行われているシステムを信頼する」ものとは正反対の、全てを「信頼せず」「常に検査・確認する」、いわゆる「ゼロトラストネットワーク」に基づくシステム構築も提唱されているものの、VPNはおろか社内LANをも撤廃し、クラウドを全面活用することも念頭に置くこととなり、移行にはユーザー側の意識の変化も含め大規模な手間がかかることも考えられます。
- ともあれ、例えばVPNを新たに構築したことにより生じた隙を突破されただけで、そのシステムのすべてが乗っ取られるような事態にならないよう、複数の対策でカバーできる体制を構築することは、テレワーク云々を考えるまでもなく平生より考慮すべきことであり、アンチウイルス導入やその確認、あるいはUTMの活用もまた、そういった対策の一つとして取り入れられるべきものです。

執筆者情報

profile_photo

株式会社アルテミス

株式会社アルテミスは、1995年(平成7年)に設立以来、情報通信および情報セキュリティという事業領域において、お客様ニーズに合わせてワンストップにて各種ソリューションを提供しています。
自社製品として情報セキュリティ関連の各種シリーズをリリース、そのほか、ネットワークセキュリティの分野では、疑似侵入診断サービス、Webアプリケーション診断サービスなどによるネットワークの脆弱性診断などを展開するなど、官公庁・金融機関・一部上場企業を初めとする大手・中堅企業から中小企業に至るまで、多くの企業がセキュアなシステムを構築するための支援を首尾一貫して提供しています。
特に50名以下の管理者がいない法人(SMB)法人に対してセキュリティ+マネージドサービスを提供しています。
SMB市場でのセキュリティ機器&サービスは、提案、購入するだけでは、エンドユーザへの『真の導入には至らない』ため、システム管理者が不在でも、機器の運用、サービスの運用、 IT機器の活用方法、トラブル対応、リスク対応などを標準化した商品を提供しています。

株式会社アルテミス
https://www.artemis-jp.com/

株式会社アルテミス AUS便り
https://www.artemis-jp.com/wp/aus_arc/

この記事のカテゴリ

この記事のシリーズ

知って得するセキュリティのはなし

記事の一覧を見る

関連リンク

知って得するセキュリティのはなし その57

税務・会計に関する情報を毎週無料でお届けしています!

メルマガ登録はこちら


コラム
/column/2020/img/thumbnail/img_36_s.jpg
- 3月13日(現地時間)、米政府機関のCISAおよびUS-CERTより、新型コロナウイルス対策に伴うテレワーク(リモートワーク)実施におけるセキュリティリスクについて注意喚起が出されています。- テレワークにおいて社内ネットワークへのVPN接続を行う場合が多く、その際のセキュリティリスクとして「VPNを利用する企業についてこれまで以上に多くの脆弱性を悪用される」「VPNが年中無休で動作することにより、VPNに関するシステムへのセキュリティパッチが適用されない」「在宅勤務者を標的としたフィッシングメールによりアカウント情報が奪取される」「リモートアクセスに多要素認証を採用しない企業では、よりフィッシング攻撃を受けやすくなる」「VPN同時接続数の制約の超過により接続できないユーザーが発生する」といった可能性が挙げられています。- CISAでは、対策として「VPNやネットワークインフラ機器、リモート接続で使用する機器では最新のセキュリティパッチや構成を適用する」「フィッシング攻撃増加の可能性について従業員への注意喚起」「ログの確認による攻撃の検知等の体制を整える」「全てのVPN接続で多要素認証を実装、あるいは強力なパスワードを設定する」「可能なら帯域幅を必要とするユーザーに優先順位を付けたり、転送レートの制限を設けたりする」等を挙げています。
2020.04.01 16:24:03