「バズワード」に惑わされない本質的な対策を
仮想プライベートネットワーク(VPN)を廃止すれば安全だという「脱VPN」という安直な議論を再び目にするようになった。QilinやRansomHouseといった前述の企業を狙ったとされるランサムウェアグループは、確かにVPNのようなネットワーク機器を侵入手口の1つとして利用している。しかし「VPNへの攻撃」といっても、攻撃は機器上のソフトウェア自体に存在する脆弱性へのものだけに限らない。
これらの犯罪グループがVPNを狙うもう1つの手法は、認証情報(ID・パスワード)の悪用であり、そこには大きく分けて2つのパターンがある。1つは盗まれたID・パスワードの悪用だ。つまり、被害を受ける前に別のサイバー攻撃でID・パスワードが漏れているということだ。もう1つは、ID・パスワードが簡易すぎるパターンだ。簡易であれば、試行を繰り返すことでいとも簡単に突破されてしまう。
つまり原因は「運用」にある。機器メーカーが未修正の脆弱性や更新後の再起動の必要性など課題はあるが、修正可能であるにも関わらず、脆弱性が放置されているケースはよく見られる。システム管理者が簡易なパスワードを使っていたり、多要素認証を使っていなかったりすると、それは運用上の致命的な失態といっても過言ではない。これはVPN機器に限った話ではない。脆弱性や設定ミス、簡易なパスワードがそのままに、インターネットに露出しているデジタル資産は無数に存在する。VPN機器を廃止すれば、問題が解消するわけではないのだ。
また、コロナ禍でバズワードになった「ゼロトラスト」も、最近改めて耳にするようになった。その中身を見ると端末向けに「Endpoint Detection and Response(EDR)を入れた」、ネットワーク向けに「Secure Access Service Edge(SASE)を入れた」、監視用に「Security Information and Event Management(SIEM)」を入れた」といった対策ツール導入の話が散見される。「ゼロトラストと言っておけばよい」といった風潮にも見える。
ゼロトラストとは、「すべてのものを信頼せずに必ず検査する」という概念だ。社員か悪意ある第三者かに関係なく、企業のリソースに対するアクセスに対して必ずセキュリティチェックをかけるだけでなく、不審な挙動が起きていないかどうかを継続して監視することにそのポイントはある。ポリシーの実装と運用で実現するのがゼロトラストであり、対策ツールは実現するための手段にしか過ぎない。対策ツールを導入しただけではゼロトラストには程遠いのだ。
サイバーセキュリティ業界は、次々とバズワードが登場する独特な市場でもある。ビジネスのためのプロモーションは必要だが、「VPNは危険」と煽ったり「脱VPN=ゼロトラスト」などという本質から乖離した謳い文句で製品・サービスを提案することには問題があるだろう。セキュリティ業界のすべてのステークホルダーは、製品やサービスを売りたいがためにミスリードするのではなく、ユーザーのビジネスや組織、エコシステムを守るための手段を提供していることを再認識しなければならない。
ビジネスのテクノロジー依存度はこれまで以上に高くなり、結果的に被害にあった際の影響はその分大きくなっている。ユーザー企業側には、バズワードに惑わされずに、自社のビジネス要件やシステム特性を踏まえて、必要なセキュリティ要件に基づいて対策の実装にフォーカスしてほしい。企業の中にはセキュリティ上の不備を抱えるデジタル資産は数多くあり、あくまでVPNはその1つにしか過ぎない。VPNがなくなれば、セキュリティ上の問題を抱える別のデジタル資産が狙われるのだ。
連載:「あの」インシデントから紐解く企業セキュリティの本質
過去記事はこちら>>
