2018年04月12日 05時00分 公開
特集/連載

VPNの安全神話は崩壊? 次に利用を検討すべきVPN代替製品Googleは「VPNを使わない安全な通信」を既に利用中

大手ベンダーのVPN製品に脆弱(ぜいじゃく)性が見つかった。この脆弱性は深刻なセキュリティリスクをもたらす可能性があるという。脆弱性に対し、企業はどんな対策を取ればいいのか? VPNに代わるサービス情報と併せて解説する。

[Judith Myerson,TechTarget]

関連キーワード

VPN | Cisco Systems | 脆弱性対策


画像 安全な接続のために何を注意すべきか

 2018年の初め、Cisco SystemsやPulse Secureといった大手VPNベンダーの製品に脆弱(ぜいじゃく)性が発見された。リモートからの攻撃や中間者攻撃といった深刻な脅威を生じさせる可能性があるという。企業は脆弱性を使った攻撃回避のため、VPNの使用を一切やめることを検討すべきだろうか。その場合、どんなVPN代替策を模索すればいいのか。

 Pulse Secureはバージョン「5.2R9」と「5.3R4.2」で、問題となった脆弱性(SSL証明書認証の脆弱性)を修正した。脆弱性の情報をデータベース化して公開しているWebサイトの「kb.cert.org」では、脆弱性を修正しない場合、Pulse SecureのVPN製品「Pulse Secure Linux GUI」を信頼できないインターネットで使うべきではないと勧告している。

 また、Cisco Systemsは2018年2月5日にセキュリティ情報を更新し「Cisco Adaptive Security Appliance」(Cisco ASA)のソフトウェアに存在するSSL VPN(同社はwebvpnと呼ぶ)の脆弱性を修正したと説明した。

危険性が高いVPNの判定方法

 攻撃者はさまざまな手段でVPNの情報を取得できる。例えばインターネットに接続された機器を検索するWebサイトの「Shodan」、認証局が発行した証明書をリストアップしたログ「Certificate Transparency」などだ。これらを悪用すれば、脆弱性のあるVPNを使っている端末を絞り込むことが可能だ。

 VPNの脆弱性に加えて、企業が認識すべき他の問題もある。例えばPulseSecure.comのようなVPNを提供しているWebサイトが、第三者機関(セキュリティ評価サイトの「SecurityHeaders.io」など)での評価が非常に低い場合、組織はそのVPNを使用中止にする検討をした方がいい。ただ、評価が高いWebサイトでも、VPNが完全に安全であるという保証はない。

VPNの代替案

ITmedia マーケティング新着記事

news156.jpg

サイロ化の現実 75%の企業は部門間が連携せず、むしろ競争関係にある――Accenture調査
デジタル変革(DX)における不十分な事業部間連携は業績低下につながるというAccentureの...

news052.png

ゲーム業界がコロナ禍でTwitterを活用したコミュニケーションに注力した理由
コロナ禍において「巣ごもり消費」が拡大し追い風が吹いているといわれるゲーム業界だが...

news139.jpg

コロナ禍の観光に見える20の兆しとは? TBWA HAKUHODOなどが「観光復興ガイド」を公開
SNS上の旅行に対する価値観の激しい変化を分析し、そこから見えた20の新たな兆しとその後...