×
26.06.04
目次
「VPNが危ないのは分かっている。でも、ゼロトラストに移行する予算も人員もないし、パッチ適用のためにシステムを止める社内調整を考えるだけで気が重い……」
そう悩んでいませんか?多くのセキュリティベンダーは「VPNは限界だから脱VPNを!」と煽りますが、現場の情シスからすれば「それができないから困っている」というのが本音ですよね。
本記事では、警察庁などのデータから「ランサムウェアに狙われる4ステップ」を解説。その上で、予算ゼロ・社内調整ストレスを最小限に抑えつつ、今あるVPNを安全に使う「現実的なVPN延命対策」をご紹介します。
攻撃者は特定の企業を狙うのではなく、自動ツールで「隙のあるVPN」を網羅的に探し出します。古い脆弱性や闇ルートで手に入れたID・パスワードで正規ユーザーになりすまして侵入し、バックアップを含めた社内システム全体を一気に暗号化する、というのがランサムウェア攻撃の定石です。
攻撃者は、最初からあなたの会社をピンポイントで狙っているわけではありません。自動スキャンツールを使い、インターネット上に公開されているVPN機器の中から「脆弱性が放置されているIPアドレス」を機械的にリストアップしているのです。
リストをもとに、公開されている脆弱性を突いて機器のコントロールを奪うか、あるいは「ダークウェブ(闇サイト)」で事前に流出した貴社の社員のIDとパスワードを安価に購入し、侵入の準備を整えます。
手に入れた認証情報や脆弱性を悪用し、VPN経由で社内ネットワークへログインします。この時点では「正しい手続きで接続された通信」に見えるため、社内の誰も異常に気づくことができません。
ひとたび侵入すると、攻撃者は社内ネットワークを探索し、管理者権限の乗っ取りを画策します。さらに厄介なのは、ネットワークにつながっているバックアップデータから優先的に暗号化(または削除)し、逃げ道を塞いだ上で、全システムを一斉に暗号化することです。
VPNのパッチ適用が遅れるのは、情シスの怠慢ではなく、現場特有の「見えない壁」があるからです。「業務を止めるな」という社内の圧力、サポート切れの古い機器を使い続けざるを得ない環境、そして「面倒な二要素認証」を嫌がるユーザーとの衝突が、対策を阻む本当の原因です。
パッチを当てるには、VPN装置の再起動(一時的な通信切断)が必要です。「夜間や休日に作業して、もし月曜朝に繋がらなくなったら……」という恐怖と、他部署からの「業務を止めるな」という無言の圧力が、情シスの腰を重くさせています。
予算が取れず、数年前にサポートが切れた(新しいパッチが提供されない)VPN機器をそのまま使い続けているケースも少なくありません。これは「修理部品のない古い車で高速道路を走り続ける」ようなものです。
「パスワードを複雑にしてください」「スマホで二要素認証の承認をしてください」と呼びかけても、社内からは「面倒くさい」「ログインに時間がかかる」と不満が噴出します。こうしたユーザー対応の精神的コストも、情シスの大きな負担です。
今すぐ実行できて社内調整コストもかからない「VPN延命策」は3つあります。計画的な事前アナウンスによる深夜作業の回避、接続元の「国別IP制限」と休眠アカウントの削除、そしてパスワードポリシーの最低限の強制です。これらにより、予算をかけずにリスクを大幅に下げられます。
パッチ適用の調整ストレスを減らすため、「毎週または毎月〇曜日の深夜〇時は、10分程度のメンテナンス枠(回線瞬断の可能性あり)」として社内ルールに組み込んでしまいましょう。その都度調整するのではなく、「既定の枠」にすることで、調整コストを劇的に削減できます。
多くのVPN機器には、接続元のIPアドレスを制限する機能があります。海外出張者がいないのであれば、日本国内からのアクセスのみに制限するだけで、海外からの自動アタックの大部分をシャットアウトできます。また、退職者や異動者の「使われていないアカウント」は今すぐ削除してください。
多要素認証(MFA)の導入が社内調整で頓挫した場合は、せめてパスワードの最低文字数を「12文字以上」にシステム側で強制変更しましょう。英数字・記号の混在だけでなく、文字数を長くするだけでも、総当たり攻撃(ブルートフォース攻撃)に対する強度は格段に上がります。
VPNの延命には限界があり、長期的には「脱VPN」を視野に入れる必要があります。まずは特定の重要業務やリモートワーク端末から部分的に移行する「スモールスタート」が現実解です。管理の手間を抑え、安全な環境を作るための第一歩を踏み出しましょう。
「すべてのシステムを一度にゼロトラストにする」必要はありません。まずは「外出の多い営業部門のパソコンだけ」や、「特定のクラウドツールへのアクセスだけ」をVPNから切り離し、セキュアなアクセスソリューションを試験的に導入する「スモールスタート」が最も成功しやすいアプローチです。
VPN機器を持ち続ける限り、ハードウェアの老朽化やパッチ適用のストレスからは逃れられません。近年では、VPN機器を設置せず、クラウド経由で安全に社内リソースへアクセスさせる仕組み(SASEやセキュアブラウザなど)が注目を集めています。これらは運用保守をベンダーに任せられるため、情シスの負担を劇的に減らすことができます。
現在のVPN環境の維持管理に限界を感じているものの、何から手をつければいいか分からない情シス担当者様へ。社内ネットワークの安全性を保ちつつ、管理運用の手間を劇的に削減するための具体的な解決アプローチを、動画で分かりやすく解説しています。まずは以下よりご覧ください。
VPNとランサムウェア対策に関する「よくある疑問」に一問一答形式でお答えします。古いOSの放置リスクや、予算が限られている中で最優先すべき具体策について、現場目線で実践しやすい解決策を明確に提示します。
VPN対策で最も重要なのは、ガチガチのセキュリティで情シスが疲弊することではなく、現実的な「延命策」を講じつつ、管理運用の負担が少ない持続可能なセキュリティ体制へ段階的に移行することです。
「セキュリティを完璧にしなければ」と考え、情シスが夜間対応や社内調整で疲弊してしまうのは本末転倒です。
まずは、本日ご紹介した「予算・調整コストゼロの延命策」で足元のリスクを下げつつ、長期的には情シスの運用負担を減らせる「クラウド型のセキュアなアクセス環境」への部分的な移行を検討してみてはいかがでしょうか。
情シスの方のリソースをこれ以上削らないためにも、賢く、そして楽に守るセキュリティ対策を始めていきましょう。
