どのVPNを選び、どうやってセキュリティを強化するか、米NSAとCISAがガイダンスを公開：VPNはサイバー攻撃の入り口

米国の国家安全保障局（NSA）と国土安全保障省サイバーセキュリティインフラセキュリティ庁（CISA）が発表したリモートアクセスVPN製品に関するガイダンスについて、ESETが重要なポイントを解説した。

[＠IT]

　セキュリティ企業ESETは2021年9月29日（スロバキア時間）、リモートアクセスVPN製品の選択とセキュリティ強化のためのガイダンスを公式ブログで紹介した。このガイダンスは、米国の国家安全保障局（NSA）と国土安全保障省サイバーセキュリティインフラセキュリティ庁（CISA）が2021年9月28日に発表したものだ。

脆弱なVPNサーバが攻撃の足掛かりに

　脆弱（ぜいじゃく）なVPNサーバは攻撃者にとって魅力的な標的になる。ユーザーのシステムやネットワークに侵入する格好の機会を提供するからだ。

　NSAはプレスリリースで次のように述べている。「国家主導のさまざまなAPT（Advanced Persistent Threat）攻撃グループは、脆弱なVPNデバイスにアクセスするためにCVE（Common Vulnerabilities and Exposures）を悪用する。認証情報の窃盗やリモートコード実行、暗号化トラフィックの暗号の脆弱化、暗号化トラフィックセッションのハイジャック、デバイスからの機密データの読み取りを可能にするのは、こうしたCVEの悪用だ」

　NSAが指摘するように、システムへの足掛かりを得た攻撃者は、組織のネットワークにあらゆる大混乱を引き起こす恐れがある。

VPNをどのような基準で選ぶべきか

　「Selecting and Hardening Remote Access VPN Solutions」と題されたNSAとCISAによるガイダンスは、組織や企業が、システムへの入り口となるリモートアクセスVPNを選ぶ際に従うべき推奨事項を提示している。

　その中には、業界標準に準拠し、製品コンプライアンスリストに含まれる実証済みの製品を選ぶことや、VPN接続の確立に使用する標準や技術を明示しているVPNサービスを必ず選ぶことなどが含まれている。

　さらに脆弱性の迅速な修正や、サイバーセキュリティのベストプラクティスの実践、強力な認証資格情報の使用に関する実績がある評判の良いベンダーを利用することも推奨されている。

VPNをどうやって強化すべきか

　VPNの強化に関して、ガイダンスの推奨事項はこうだ。

・強力な暗号化と認証を構成する
・必要性の高い機能だけを実行し、攻撃対象領域を縮小する
・VPN接続へのインバウンドとアウトバウンドアクセスを保護、モニタリングする

VPNに関するガイダンスの推奨事項　VPN選択時の要点と3点の強化項目がまとまっている（出典：NSA、CISA）

　さらに、ガイダンスでは、以前からサイバーセキュリティ専門家が繰り返し述べてきた定番のアドバイスも取り上げられている。例えば、「多要素認証を使用する」「既知の脆弱性を軽減するために、パッチやセキュリティ更新プログラムが公開されたら、直ちに適用する」といったものだ。

　今回のガイダンスは、米国の国防総省や国家安全保障システム、防衛産業基盤のセキュリティの向上を目的としている。だが、このガイダンスに示された推奨事項に従うことは、VPN製品を使用するどんな組織や企業にとっても有益だろう。