Googleは「VPNを使わない安全な通信」を既に利用中VPNの安全神話は崩壊？ 次に利用を検討すべきVPN代替製品

大手ベンダーのVPN製品に脆弱（ぜいじゃく）性が見つかった。この脆弱性は深刻なセキュリティリスクをもたらす可能性があるという。脆弱性に対し、企業はどんな対策を取ればいいのか？　VPNに代わるサービス情報と併せて解説する。

[Judith Myerson，TechTarget]

安全な接続のために何を注意すべきか

　2018年の初め、Cisco SystemsやPulse Secureといった大手VPNベンダーの製品に脆弱（ぜいじゃく）性が発見された。リモートからの攻撃や中間者攻撃といった深刻な脅威を生じさせる可能性があるという。企業は脆弱性を使った攻撃回避のため、VPNの使用を一切やめることを検討すべきだろうか。その場合、どんなVPN代替策を模索すればいいのか。

　Pulse Secureはバージョン「5.2R9」と「5.3R4.2」で、問題となった脆弱性（SSL証明書認証の脆弱性）を修正した。脆弱性の情報をデータベース化して公開しているWebサイトの「kb.cert.org」では、脆弱性を修正しない場合、Pulse SecureのVPN製品「Pulse Secure Linux GUI」を信頼できないインターネットで使うべきではないと勧告している。

併せて読みたいお勧め記事

VPNに関する最新動向

• VPNはもう古い？　Googleの相互接続サービス「Google Cloud Dedicated Interconnect」とは
• Google Playで配信されているVPNアプリの84％でデータ漏えい？　その恐るべき理由
• 徹底ガイド：VPNの4世代で振り返るリモートアクセス技術の進化と将来への期待

脆弱性の恐怖

• Windows標準のマルウェア対策エンジンに「最悪」の脆弱性、どうしてこうなった？
• 「Meltdown」「Spectre」の脆弱性、大手クラウドサービスが格好の標的に
• Bluetoothが危ない　背筋が凍る8つの脆弱性「BlueBorne」とは？

　また、Cisco Systemsは2018年2月5日にセキュリティ情報を更新し「Cisco Adaptive Security Appliance」（Cisco ASA）のソフトウェアに存在するSSL VPN（同社はwebvpnと呼ぶ）の脆弱性を修正したと説明した。

危険性が高いVPNの判定方法

　攻撃者はさまざまな手段でVPNの情報を取得できる。例えばインターネットに接続された機器を検索するWebサイトの「Shodan」、認証局が発行した証明書をリストアップしたログ「Certificate Transparency」などだ。これらを悪用すれば、脆弱性のあるVPNを使っている端末を絞り込むことが可能だ。

　VPNの脆弱性に加えて、企業が認識すべき他の問題もある。例えばPulseSecure.comのようなVPNを提供しているWebサイトが、第三者機関（セキュリティ評価サイトの「SecurityHeaders.io」など）での評価が非常に低い場合、組織はそのVPNを使用中止にする検討をした方がいい。ただ、評価が高いWebサイトでも、VPNが完全に安全であるという保証はない。

VPNの代替案