インターネットと時を同じくして登場したVPNですが、この初期のリモートアクセス技術は近年では重大な脆弱性にさらされています。国土安全保障省傘下のサイバーセキュリティインフラストラクチャーセキュリティ庁(CISA)は、2021年には悪意のあるサイバーアクターがパッチ未適用のVPNを日常的かつ積極的に悪用したと言及しています。

VPNは本質的に格好の攻撃対象であり、犯罪者自身もそれを理解したうえで悪用しているのです。

根強く残る古くからの習慣

これまで30年近くにわたり、組織はリモートアクセスVPNを重用し、いわゆる城と堀のセキュリティモデルで構築されたVPNは、アプリケーションがデータセンター内に存在する環境では十分に役割を果たしていました。しかし、ユーザーとアプリケーションが境界の外に移動したクラウドファースト、モバイルファーストの環境が急速に普及しているにもかかわらず、リモートアクセスのセキュリティは企業ネットワークにつながれたままとなっています。

従来のネットワークとセキュリティのアーキテクチャーが原因で生じる課題は、特にVPNのように企業のデータセンターや業務プロセスに深く根ざしている場合、広範囲かつ長期にわたる影響を及ぼします。VPNはサイバー犯罪者に悪用されやすいことを認識しながらも、95%の企業が使い続けている理由は、ここにあるのかもしれません。

インターネットから企業ネットワークへの玄関口となるVPN

VPNを利用することで、企業ネットワークへの初期アクセスを取得し、水平方向に拡散してリソースを侵害したり、2021年のColonial Pipelineへの攻撃のように業務を中断させたりできるため、攻撃者にとっては魅力的な侵入経路となっています。VPNは、その設計特性としてユーザーに完全なネットワークIPプロトコルアクセスを提供します。悪意のあるアクターは、このプロトコルを悪用したり偵察行為に利用したりするほか、ネットワークやデータセンターの調査に使用し、ランサムウェア、マルウェア、Webアプリケーション攻撃、DDoS攻撃などの脅威を価値の高いターゲットに誘導します。

セキュリティ専門家は、ハイブリッドワーカーやリモートワーカーを狙ったエクスプロイトの増加を認識しており、専門家の71%がネットワークのセキュリティを危険にさらす原因がVPNである可能性を指摘しています。

過剰な信頼を与え、コストもかさむVPN

調査の結果、組織は現在のVPNに関して2つの主な課題に直面していることがわかっています。

1. ユーザーをネットワークに配置する：VPNでは、従業員とサードパーティーが企業ネットワークに直接アクセスできるようにする必要があります。ユーザーがVPN経由でネットワークにトンネリングした時点で「信頼できる」と見なされ、水平方向のアクセスが許可されます。ユーザーが十分な信頼を得ているかどうかは確認されません。

2. コストが高く非常に複雑である：完全なVPNゲートウェイアプライアンススタックはレイテンシーや容量の制限により、各データセンターでスタックを複製する必要があるため、コストはより高くなります。実際に、過半数の企業(61%)はVPNゲートウェイを3つ以上導入しているため、管理と拡張の問題はさらに深刻化しています。

既存のアプローチから脱却し、ゼロトラストで変革を

セキュリティ専門家の大半(71%)は、VPNがもたらすリスクは組織にとって看過できないレベルとなると考えており、より安全なゼロトラストベースの代替手段を求めるようになっています。Cybersecurity Insidersによると、今年は組織の80%がゼロトラストをすでに導入済みまたは導入予定としており、この数字は昨年から12%増加しています。