VPNが狙われたランサム攻撃が大企業を襲う中、IT部門は「脱VPN」と「現実的防衛策」の間で難しい判断を迫られている。ZTNA導入が進まぬ理由と、VPNの利用を継続する企業に必要な即時対策とは。
「VPNは危険だ。すぐにゼロトラストネットワークアクセス(ZTNA)へ移行すべきだ」――セキュリティベンダーやコンサルタントはそう声高に叫ぶ。しかし、現場の責任者であるIT部門のリーダーにとって、現実はそう単純ではない。
オフィス用品通販大手のアスクルや、飲料大手のアサヒグループホールディングス(以下、アサヒGHD)といった、日本を代表する企業が相次いでランサムウェア(身代金要求型マルウェア)攻撃を受けた。これらのインシデントで注目すべきは、攻撃者が企業のネットワーク境界、特にVPN(仮想プライベートネットワーク)機器やリモートアクセス環境を突破口にしている点だ。従来の「境界防御モデル」が限界を迎えていることは明らかだが、全ての企業が即座に「脱VPN」や「ゼロトラストへの移行」ができるわけではない。予算、レガシーシステム、運用体制――さまざまな制約の中で、IT部門のリーダーはどのように自社を守り、経営層にリスクを説明すべきだろうか。
本稿では、直近の事例から見えた攻撃の手口を整理し、VPNを使い続けざるを得ない企業が取るべき現実的な防衛策と、将来的なゼロトラスト移行への道筋を解説する。
2024年以降のサイバー攻撃事例を分析すると、攻撃者が執拗(しつよう)に「ネットワークの出入り口」を狙っていることが分かる。
アスクルは2025年10月、不正アクセスにより約74万件の個人情報が漏えいした可能性があることを明らかにした。同社の報告によれば、VPN機器の脆弱(ぜいじゃく)性を悪用した痕跡は確認されなかったものの、社内ネットワークへの侵入を許し、サーバのデータが暗号化された。特筆すべきは、ログの一部が削除されており、侵入経路の完全な特定が困難になっている点だ。これは、攻撃者が証拠隠滅を図る高度な手口を用いていたことを示すものだ。
一方、アサヒGHDへの攻撃について、一部報道ではランサムウェアグループ「Qilin」による犯行との見方もある。歴史ある企業では、オンプレミスのレガシーシステムとVPNを組み合わせた従来のネットワーク構成が残っている場合がある。攻撃者は、こうした古いシステムの隙を突き、VPN装置やファイアウォールといった境界機器を突破口として社内深部へと侵入する方法を取る。
最大の障壁は「コスト」と「レガシー資産」だ。全社員分のZTNAライセンス費用は、既存のVPN保守費用と比較して高額になる傾向がある。加えて、クライアントやサーバ型システムなど、Web化されていない古い業務アプリケーションは、ZTNA経由での利用が難しい場合がある。
業務フローの変更に対する現場の抵抗も無視できない。「今まで通りVPNアイコンをクリックして接続したい」というユーザーの声に対し、IT部門がセキュリティリスクを理由に利便性の低下や手順の変更を納得させるには、多大な労力を要する。結果として、「危険性は理解しているが、当面はVPNを使い続けるしかない」という判断を下す企業もある。
では、VPNを使い続ける企業、つまり“VPN残留組”が今すぐ取るべき施策にはどのようなものがあるのか。
脱VPNが難しいのであれば、既存のVPN環境を可能な限り堅牢(けんろう)にする「延命策」に全力を注ぐ必要がある。これは消極的な選択ではなく、積極的なリスク管理だ。具体的には以下の3つを徹底する。
1.パッチ適用の「聖域」をなくす
VPN機器のファームウェア更新は、業務停止を伴うため敬遠されがちだ。しかし、攻撃者は公開された脆弱性を数日以内に悪用し始める。情シスは「メンテナンスによる停止は許容できない」という経営層や現場に対し、「パッチを当てなければ、事業停止もあり得る」ことを、事例を挙げて説得し、迅速にパッチを適用できる運用ルールを確立する。
2.多要素認証(MFA)の完全適用を目指す
VPN接続に、IDとパスワードのみの認証ではなく、必ずMFAを適用する。SMS認証やアプリケーションを使った認証を組み合わせることで、万が一パスワードが流出しても、不正侵入を食い止められる確率を上げることが期待できる。
3.ログの外部転送と監視
アスクルの事例でも見られたように、攻撃者は侵入後にログを削除する。これを防ぐため、VPN機器や認証サーバのログは、機器内部だけでなく、攻撃者が触れない外部のログ管理サーバやクラウドストレージへリアルタイムに転送、保存する仕組みが不可欠だ。
VPNの延命策と並行して、将来的な「脱VPN」に向けた準備も進めるべきだ。一足飛びの移行が難しくても、段階的な導入ならハードルは下がる。
調査会社Gartnerは2021年に公開したレポートにおいて、ZTNAをハイリスクなユースケースから部分的に導入することを薦めている。例えば、特権IDを持つ管理者や、機密情報を扱う特定の部門から先行してZTNAを導入する。あるいは、協力会社や外部委託先など、社外からのアクセス経路のみをZTNAに切り替える方法も選択肢の1つだ。
ZTNAへの移行は、ツールの置き換えというだけではない。VPN機器のハードウェア更新や設備投資(CAPEX)を、クラウドサービスの運用コスト(OPEX)へとシフトさせる財務的な転換でもある。IT部門のリーダーは、セキュリティ向上という観点だけでなく、「柔軟なコスト構造への転換」という経営的なメリットも合わせて経営層に示す必要がある。
VPNを使い続けることは、その利便性と引き換えに、ランサムウェアに感染するリスクを抱え続ける恐れがあるということを意味する。
IT部門のリーダーが経営層に伝えるべきメッセージは明確だ。「VPNを使い続けるなら、厳格なパッチ管理とMFA導入による現場への負担増を許容してほしい。それができないなら、コストをかけてでもゼロトラストへ移行しなければ、当社が明日のニュースの主役になり得る」
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
