VPNエクスプロイトの増加により、 80%の企業がゼロトラストセキュリティへ移行

• 本資料は、米カリフォルニア州にて2022年9月26日（現地時間）に発表したプレスリリースの日本語抄訳版です。

主な所見

• 調査対象企業の68%がリモートワークの増加に伴い、ゼロトラストのセキュリティ施策が加速していると回答（2021年の59%から上昇）
• 調査対象企業に所属するIT専門家の約半数が、リモートワークの導入後にVPNを標的としたエクスプロイトの増加を認識
• 65%の企業がVPNの代替となる手段の導入を検討中。ゼロトラストセキュリティを装った旧式のクラウドベースのVPN製品を見極めることが重要

クラウドセキュリティ業界を牽引するZscaler（NASDAQ：ZS、本社：米国カリフォルニア州、以下 ゼットスケーラー）は本日、Cybersecurity Insidersが実施した調査結果をまとめた年次レポート「2022年版VPNリスクレポート（日本語版）」を発表し、VPN接続を標的としたサイバー攻撃の増加や大企業でのゼロトラストセキュリティアーキテクチャ導入の重要性を明示しました。本レポートでは、グローバルに展開する北米の企業に勤務するIT専門家350人以上を対象に調査が行われました。VPNに潜むリスクが明らかになっているにもかかわらず、パンデミックによってリモートワークが普及したことで、従来のネットワークアクセスに依存せざるを得ない企業も少なくありません。同時に、サイバー攻撃者は長年存在するセキュリティの脆弱性を巧みに利用し、VPNを狙った攻撃を拡大し続けています。本レポートでは、リモートアクセス環境の現状や最も多く報告されているVPNの危険性、ゼロトラスト導入の増加に関する分析などをまとめています。

ゼットスケーラーのグローバルCISOを務めるDeepen Desai（ディーペン・デサイ）は次のように述べています。「注目を集めたサイバー攻撃やランサムウェア感染で明らかになったように、VPNは依然としてサイバーセキュリティの中で最も狙われやすいネットワークとなっています。VPNアーキテクチャの脆弱性は攻撃者に侵入経路として悪用され、水平移動やデータ流出といった脅威へと広がっていきます。進化するサイバー攻撃の情勢を踏まえたセキュリティ対策として、企業にはゼロトラストアーキテクチャの導入の検討が求められています。これはVPNとは異なり、ユーザが企業の機密情報が存在するネットワーク内で自由にアクセスできない仕組みになっており、ユーザとアプリケーション間をセグメント化することで水平移動を阻止し、攻撃対象領域を最小限に抑え、完全なTLSインスペクションでセキュリティ侵害やデータ流出を防ぎます」

 

リモートアクセスを保護するゼロトラスト

出社勤務に戻る従業員が増えている一方で、調査対象企業の95%がハイブリッドワークや複数拠点での分散型業務環境を整えるために、いまだVPNに依存しています。大企業では、遠隔地の従業員のほか、顧客やパートナー、請負業者など社外の関係者に対してもネットワークのアクセスを拡大させています。多くの場合、こうしたユーザは信頼されていないデバイスから安全性の低いネットワークに接続しており、必要以上にアクセス権を与えられているため、さらなるセキュリティリスクが生じることになります。VPNは煩雑かつ不安が伴うものですが、ゼロトラストアーキテクチャはユーザエクスペリエンスを低下させることなく、企業のセキュリティ態勢を強化します。さらに、ゼロトラストではネットワークやアプリケーションの場所が隠ぺいされるため、攻撃対象領域やインターネットベースの攻撃を軽減できます。

 

VPNリスクが拡大する中、対応の遅れが課題に

業種を問わずリモートワークが増加したことで、VPNユーザを標的としたサイバー攻撃が急増しています。ゼロトラストアーキテクチャと比較するとVPNはユーザに高い信頼性を置いているため、サイバー攻撃者が攻撃対象領域からネットワークへの不正なアクセスを試みる動きが活発化しています。本レポートで、44%のサイバーセキュリティの専門家が自社のVPN機器を対象とした攻撃が過去1年間で増加していると回答していることからも、リモートユーザを支援するこの技術の安全性が低いことがわかります。

これまでのネットワークセキュリティアーキテクチャが根強く定着している企業のデータセンタに、新しいアーキテクチャを導入することは容易ではありません。この事実が、ランサムウェアやマルウェアの攻撃対象となっていると知りながらも、ほぼすべての調査対象企業がVPNを使い続けている理由と考えられます。一方で既存のネットワークセキュリティベンダーにとって、現在のリモートアクセスの状況は追い風となっています。企業は、クラウドベースのVPNに依存する旧式のネットワークへのアクセスに注意を払い、ベンダーのアーキテクチャを検証して、リスクの軽減とユーザエクスペリエンスの向上に留意することが必要です。クラウド上の仮想マシンにおいても、VPN技術にはVPN機器と同様に根本的なセキュリティリスクや脆弱性が報告されており、最新の対策を講じることがリスク回避につながります。

 

VPNに代わるソリューション

従来のVPNに潜むリスクが拡大していることから、リモートアクセスの管理に必要な優れた制御機能と柔軟性を提供するゼロトラストセキュリティへの移行が徐々に進んでいます。本レポートの調査対象企業の78%が今後はハイブリッドワークになると回答しており、企業ではこうしたセキュリティインフラの必要性が引き続き拡大の傾向にあります。

リモートワークやハイブリッドワークといった働き方に移行して以降、調査対象企業の68%がゼロトラスト施策は加速していると回答しています。VPNと異なり、ゼロトラストアーキテクチャはすべてのネットワーク通信を危険とみなし、アイデンティティごとの検証ポリシーを使用してアクセスを厳格に管理します。これにより、IT部門やセキュリティ部門はユーザが未承認のアプリケーションにアクセスすることを制限して、攻撃者によるネットワーク内での水平移動を防ぐことができます。また、ゼロトラストセキュリティアーキテクチャは攻撃対象領域を最小限に抑え、インターネットベースの脅威からユーザクティビティを保護し、必要なアプリケーションとリソースに直接接続することでネットワークリスクを低減します。

「2022年度版VPNリスクレポート（日本語版）」はこちらから確認できます。 

以上

 

調査方法

「2022年版 VPNリスクレポート」は、351名のITおよびサイバーセキュリティの専門家を対象とした広範囲にわたるオンライン調査の結果に基づいて作成されています。調査は2022年6月に実施され、VPNに潜むリスクに関連した最新の企業導入の動向や課題、ギャップ、ソリューションの傾向を公開しています。回答者は技術的な専門家からITセキュリティの実務担当者まで、グローバルに展開する北米全域のさまざまな規模の企業から選出されました。