またまた本業ネタなのだが、今回は最近(悪い意味で)話題に上がることが多いVPNについてである。VPN(Virtual Private Network : 仮想私設網)とは、インターネットのような公衆ネットワーク上で、専用線による直接接続に近い情報保護を実現する接続方式で、その基本は暗号技術による通信内容の秘匿と改ざん防止である。一般にインターネットVPNと呼ばれているものには、たとえば企業ネットワークの拠点間を専用線イメージで接続する拠点間VPNと、在宅勤務や出張時、社外からPC等のモバイル機器を社内ネットワークに接続するためのモバイルVPNの2種類がある。
VPNを使うことにより、情報の秘密が保証されないインターネットを使いながら、重要な情報を含む通信が行えるため、高価な専用線接続の代替として普及してきた。モバイル機器の接続は、以前は電話回線などを使用したダイヤルアップ接続が中心だったが、通信速度が低速な上に通話料金がかさむことなどから、近年はほぼすべてVPNに移行したと言っていいだろう。
安全な接続・・・とはいえ、問題がないわけではない。インターネットを使う以上、企業ネットワーク間接続やモバイル接続を行うためには、VPN装置という機器をインターネットに接続する必要がある。VPN装置を経由する通信は暗号化され安全が確保されるが、VPN装置そのものはインターネットからアクセスが可能でなければならない。つまり、その時点でインターネット側から機器が攻撃される可能性を排除出来ないことになる。たとえば、企業の拠点間など、それぞれのIPアドレス(インターネット上の番地に相当するもの)が決まっている場合は、それ以外からの通信を排除できるが、どこからでも接続する必要があるモバイルVPNの場合、その制限は難しい。しかし、VPN接続は機器にアクセスが出来れば誰でも可能な訳ではなく、認証という関門が存在する。モバイルVPNの場合は一般のサービス同様にユーザIDとパスワードが使用されることが多い。電子証明書のようなより強固な認証方式や、最近ネットサービスでもよく使われる多要素認証など、侵害されにくい認証方式も多用されるようになっている。
こうしたVPNを侵害するには、大きく二つの方法がある。入り口の関門である「認証」を破るか、VPN装置の欠陥(いわゆる「脆弱性」)を悪用して機器へのアクセスを確保するかのいずれかになる。「認証」には二種類あり、VPN接続を行う(つまり企業ネットワークに入る)ための認証と、もうひとつは機器そのものの管理機能にアクセスするための認証である。拠点間VPNでIPアドレスにより接続が制限されているケースでは、前者は困難と言える。また、管理機能へのアクセスも通常は企業内部のネットワークのみからしかアクセスを許可しないよう設定するため、困難となる。一方、モバイルVPNの場合、前者の認証にはインターネット上から誰でもアクセスが可能なため、他のインターネットサービス同様にパスワードの推測やリスト型攻撃、あるいはフィッシングによるID,パスワードの窃取など、様々なタイプの攻撃が可能になる。これを防ぐには、企業が発行する電子証明書による認証や、ワンタイムパスワードなど追加の認証方式を併用する「多要素認証」を行うのが一般的だ。これも完全ではないが、安直なパスワード設定やパスワードの漏洩に対する有効な保護策となる。後者については、拠点間VPN同様に、企業内からのみアクセスを許可することが一般的だ。脆弱性については、その内容に依存するが、基本は、それが公表された時点で早期に修正版のソフトウエアを導入することだろう。遅くとも1ヶ月以内には修正版を導入したい。(早い場合は、公表時に既に攻撃が始まっているケースもあるが、現実的に更新作業は様々な事情からある程度時間がかかるため、「遅くとも」と言っている。もちろん早いに越したことはない)
これらの対策(IPアドレスによる制限、多要素認証の導入など)は、企業でVPNを使う上での基本中の基本と言えるだろう。
さて、ここからが本題である。実は近年大きな話題になっている有名企業や医療機関などを標的とした「ランサム攻撃」(いわゆる身代金要求型のサイバー攻撃)事例の多くで、このVPN装置を経由した企業ネットワークへの侵入が切り口になっているのである。企業の中には、被害を受けた後にVPNを廃止したところもある。そんなことから、我々のギョーカイの中でも、VPN悪者論が広がりつつあるのだ。VPNにかわるソリューションを売り込もうとする向きもある。しかし、こうした侵害の多くで、先に述べたようなVPN装置の管理が適切に行われていなかった事実にはあまり触れていない。たとえば、1年以上前に明らかになっていた装置(のソフトウエア)の脆弱性を放置していたために、それを攻撃されたケースや、多要素認証を行っていなかったために、漏洩したパスワードを悪用されたケース、本来、機器の保守目的で設置していたVPN装置で、アクセス元を限定出来るにもかかわらず、それを怠っていたケースなどなど、ちょっと信じられない状況がそこにある。少なくとも、私が知る限りでは、VPNを切り口とした侵害では、こうした管理上の問題が必ず存在するのである。
特に罪深いのは、一般企業のVPN導入をサポートしたITベンダである。VPN装置などのネットワーク装置の導入から運用までをアウトソースしている一般企業、組織は少なくない。こうした企業は、顧客から見れば「プロ」なのだから、先に書いたような対策は確実に行うことが出来るはずだ。ところが・・である。実際、行っておらず、悲惨な結果を招いた事例が枚挙にいとまもないのである。いまや、ITのあらゆる分野で、「セキュリティ」は基本的な事項だ。たとえば、ネットワークの専門技術者であれば、ネットワーク関連のセキュリティ知識は不可欠な基礎知識である。侵害された機器を運用、管理していた企業は猛省すべきだ。にもかかわらず、一部ではVPNそのものが悪のように言われていることは、まことに腹立たしい。もし、そんな企業がVPNに代わるソリューションなどを売っていたとしたら、それは酷いマッチポンプだと思うのである。
もちろん、より安全で管理も容易なソリューションそのものを否定するつもりはない。だが、たとえ新しいソリューションを入れても、その管理が杜撰ならば、また同じ事が起きると思うのである。ユーザ側も、もうすこしITベンダを見る目を養った方がいいかもしれない。最低限行うべき事項が行われているかどうかをしっかりとチェックすることが重要だ。運用を「丸投げ」できても、責任は「丸投げ」できないことに気付くべきだろうと思うのである。