調査レポート: VPNの隠れたセキュリティリスクを公開し、 安全なリモートアクセスの代替手段を提案

※ 本資料は、米国カリフォルニア州にて2021年2月16日（現地時間）に発表したプレスリリースの日本語抄訳版です

クラウドセキュリティ業界を牽引するZscaler（本社：米国カリフォルニア州、以下 ゼットスケーラー）は本日、企業の仮想プライベートネットワーク（VPN）に潜む脆弱性の調査から、脅威の軽減にはゼロトラストのセキュリティアプローチが必要とする新たな研究結果を発表しました。サイバーセキュリティ・インサイダーズ社と共同で発行したこのレポートでは、リモートアクセス環境の現状、VPNにおける脆弱性の増大、および企業アプリケーションへのアクセスにおけるゼロトラストセキュリティモデルが果たす役割について、サイバーセキュリティの専門家350人以上を対象にグローバル調査を行い、その結果をまとめています。本レポートの全文はこちらからダウンロード可能です。日本語版は近日中に公開予定です。

企業ネットワークのリソースにリモートからアクセスする手段として、VPNはこれまで30年間にわたり使用されてきました。しかし、リモートワークソリューションの需要が増え、クラウドへの移行が進み、デジタルトランスフォーメーションが進展するにつれて、VPNは真のゼロトラストセキュリティアーキテクチャと相容れないものとなってきています。なぜなら、そもそもVPNではネットワークへアクセスする必要があり、そのためにはインターネットを介す必要があるからです。攻撃対象領域が広がることで、こうしたユーザを信頼することを前提とした従来のモデルは、攻撃者に容易に悪用されてしまいます。

ゼットスケーラーの「2021年版VPNリスクレポート」では、企業によるVPN使用の現状に着目し、VPNを扱うIT管理者が頻繁に直面する課題をリスト化しています。ネットワークやセキュリティの責任者は、現在講じているゼロトラストセキュリティ戦略を妥協させることなく、ビジネスアプリへ迅速かつシームレス、そして安全にアクセスできるようにしたいと考えます。レポートではそうした方々に向けて代替の手段を提案するほか、将来のリモートアクセスにおいてゼロトラストが果たす役割を示すデータも紹介しています。今回の調査から、以下のようなことが分かりました。

• 調査対象となった企業のうち94%が、サイバー犯罪者がVPNを悪用してネットワーク上のリソースにアクセスすることを認識しているにも関わらず、93％の企業がVPNサービスを導入しています。
• 特に心配な攻撃経路としては、ソーシャルエンジニアリング（75%）、ランサムウェア（74%）、マルウェア（60%）が上位に挙げられていますが、いずれもユーザによるVPNアクセスを悪用する手法です。
• 約4分の3の企業がVPNのセキュリティに懸念を示しており、67%がリモートアクセスにおいて従来のVPNに替わる手段を検討しています。
• VPNにおけるセキュリティリスクの増加に伴いゼロトラストセキュリティモデルの採用を重視する企業は72%、リモートワークの重要性が高まったことにより、その取り組みをさらに加速させている企業は59%に上りました。
• ゼロトラストサービスの将来的なニーズを鑑み、リモートでもオフィスでも柔軟に働けるハイブリッド型の労働形態が増えるだろうと回答した人は77%に上りました。

ゼットスケーラーでゼロトラストソリューション担当ディレクターを務めるChris Hines（クリス・ハインズ）は、次のように述べています。「ビジネスリソースへの安全なアクセスを提供するにあたり、ゼロトラストアーキテクチャが非常に有効な手段の一つであると理解されていることは心強いことです。クラウドへの移行を進め、新しいハイブリッドな働き方をする従業員をサポートしていくためには、企業としてセキュリティ戦略を再考した上で、増大するサイバーセキュリティの脅威に目を向けなければなりません。攻撃者は、VPNのような旧式のリモートアクセスソリューションを積極的に狙っています。ネットワークアクセスを完全に排除することこそがより安全なアプローチといえます。クラウドベースのゼロトラストアクセスサービスを代わりに使用し、全てのユーザとアプリの接続を仲介することで、ユーザとアプリケーションを直接的かつ安全につなげることができます。」

本レポートの全文はこちらからダウンロード可能です。