今回は、企業のネットワーク管理者が最低限実施しておきたいテレワークのセキュリティー対策を解説する。ポイントとなるのは、VPNの管理体制の見直しとエンドポイントの対策強化だ。

VPN装置に脆弱性が相次ぐ

 テレワークで使われるインターネットVPNでは、インターネット上に仮想的なトンネルを構築する。パソコンなどにクライアントソフトをインストールし、企業に設置されたVPN装置と仮想的な専用線を実現する。比較的安価に実現できるのがメリットだ。

 しかしVPN装置に脆弱性が見つかる場合がある。2019年以降、主要なVPN装置だけでも8件の脆弱性が見つかっている。脆弱性の深刻度を評価するCVSS v3はいずれも「重要」以上であり、放置すればサイバー攻撃によってシステムが停止したり、情報漏洩したりする恐れがある危険なものだ。

 実際に、セキュリティー更新プログラムが適用されていない装置に対する大規模な攻撃が確認されている。

主要なVPN装置に見つかった脆弱性
主要なVPN装置に見つかった脆弱性
[画像のクリックで拡大表示]

 このためネットワーク管理者は、自社のVPN装置に脆弱性が見つかっていないかを確認する必要がある。ラックの仲上竜太サイバーセキュリティサービス統括部 デジタルペンテストサービス部長 兼 サイバー・グリッド・ジャパン シニア・リサーチャーによると「VPN装置の脆弱性を通知するサービスはあるが、基本的に有料だ」という。

 こうしたサービスを使わない企業のネットワーク管理者は、日ごろからVPN装置ベンダーのWebサイトやセキュリティー情報サイトを閲覧し、新たな脆弱性が発見されていないかを確かめる。

 厄介なのがゼロデイ攻撃が発生した場合だ。自社で使っているVPN装置を狙ったゼロデイ攻撃が起きているという情報を入手したら、原則としてVPN装置の使用を停止すべきだ。ベンダーからセキュリティー更新プログラムが提供されるまで回避策で対応可能かを検討する。

 回避策の1つにはIPS(Intrusion Prevention System)やIDS(Intrusion Detection System)といったセキュリティー機器にVPN装置を防御させる方法がある。多段防御によってVPN装置を狙う不正な通信を遮断できる可能性があるからだ。

 ただしこの回避策はセキュリティー更新プログラムが提供されるまでの応急処置にすぎない。セキュリティー更新プログラムが提供されたら直ちに適用する。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。