機密情報があるため社外からのアクセスにはVPNを使っているという企業は多いと考えられます。

またVPNによりセキュリティレベルは格段に高まり、手軽にセキュアな通信ができるようになったのは事実です。

一方、「VPNを使っている＝その企業にとって外部に流出したら危険な機密情報がある」とも考えられるため、犯罪者からは標的としての価値がある側面は否定できません。

IT業界は日進月歩の業界であり、日々悪意を持った人間が、さまざまな情報機器の脆弱（ぜいじゃく）性を見つけ出しているため、「今まで大丈夫だったから」という理屈は通用しないのです。

VPN自体のセキュリティレベルが高くても、事例のように機器に脆弱性がある状態だったことに気づくことができなければ、セキュリティホールを突かれてセキュリティインシデントにつながってしまいます。

情シス担当としては積極的に情報収集を行い、自社が保有する情報機器、ひいては自社全体のセキュリティレベルを高めていくことが必要です。

セキュリティレベルを高めるためには、IPA（情報処理推進機構）が取りまとめている資料が参考になります。

例えばIPAのサイト内に掲載されている「日常における情報セキュリティ対策」には組織のシステム管理者に向けた項目があり、その中には「情報持ち出しルールの徹底」や「社内ネットワークへの機器接続ルールの徹底」の他、「修正プログラムの適用」を実施するよう記載されています。

基本とも言える対応ですが、忙しかったり緊急対応のためだったりとその時の優先順位が変わってしまいやすいのが運用の現実ではないでしょうか？

しかし、その基本的な内容がおろそかになってしまった結果、脆弱（ぜいじゃく）性を持った状態での運用が日常となってしまうのも情報セキュリティの怖いところです。

一般的にVPNは拠点間通信を安全に行うことを目的としているため、安全性が確保されているのはあくまでも端末間通信に対する外部からの攻撃であり、やり取りされるデータ自体の安全性は見ていません。

そのため、もしネットワーク内部に入られてしまえば、接続先の機密情報を自由に持ち出すことが可能となり、重大なセキュリティインシデントとなります。

2019年に伊丹空港で手荷物検査刃物を見逃してしまい、大きなニュースになったことがありましたが、分野こそ違えど、問題としてはほぼ同様の構図といえます。

認証方式がIDとパスワードのみで行われているのであれば、何らかの方法でリストを取得するだけで容易に社内ネットワークにアクセス可能になってしまうためです。

事例で挙げた脆弱（ぜいじゃく）性を突く方法の場合は、社内で登録された端末しかアクセスできないように複数の認証方式を用いていたため難を逃れることができました。

しかし、マルウェアによってクライアント端末自体の操作権を奪うなどの方法も存在します。

そうした場合はID/パスワードの認証と端末認証の両方をクリアしているため、機密情報にアクセスされる可能性が非常に高いと言えます。

VPNを利用する場合のリスクは、VPN単体にとどまらないのが現実と言えるのです。

VPNの利用方法は、VPN機能が付いたルータを使う方式や、VPN専用機器を利用する方法の他、外部のVPN接続サービスを利用する方式もあります。

現代において、セキュリティに関わる部分は事業の根幹に関わるといえ、もし予算の捻出が難しくフリーのVPNサービスを利用しなければならないケースなどであれば、きちんとリスク管理を行わなければなりません。

利用規約の確認はもちろん、それ以外の面でもメリットとデメリットをきちんと確認し、与信確認をしっかりと行ったうえでの判断を心がけましょう。

この度事例として取り上げている製造装置メーカーが、社内ネットワークへの侵入は防ぐことができたのは、社内ネットワークへ接続するための認証をID・パスワードによる認証に加えて端末認証と言う2段階認証で行ったことが奏功したといえそうです。

同様に、クライアント自体のセキュリティを高めることやOSへのログインに設定するパスワードを強固なものにするなどの対応、その他全方位的なセキュリティを高めていくことによって、VPNに限らず何かしらのインシデント発生時のリスクを低減することが可能になります。

情シス担当としてパッチの適用は当然として、OSの定期的なアップデート、そして社員ごとの適切な権限設定を行うことで、「万が一の漏えい時のダメージコントロール」を行うことが可能になります。

ゼロトラストの意識を持って「これはやっているから大丈夫」ではなく「これが破られたらどうなるか」を意識して、自社の情報セキュリティレベルを高める意識を持ちましょう。

セキュリティの例えでもよく用いられると思いますが、「木のおけの水位は、最も低い木の板の高さになる（ドベネックの桶）」という側面は否定できません。

VPN単体のセキュリティリスクとしては本稿で紹介したように「最新のパッチを当てて脆弱（ぜいじゃく）性をなくす」、「ID・パスワードを強固なものにする」、「認証を複数段階で行う」などによって、ある程度高めることが可能です。

しかし、「クライアントそのもの」が乗っ取られた場合は、そのセキュリティ対策も水の泡になる可能性があります。

「EMOTET」を始めとしたマルウェア感染やPC端末の置き忘れなど、さまざまなクライアント乗っ取りの可能性があり、情シス担当は可能性を洗い出したうえで対策を練らなければならないのが、いま直面している現実です。

だからこそ、クライアント自体を守ったり、社員の意識を高めたりすることが、非常に重要な要素となります。

情シス担当としては今回ご紹介したVPNの事例や状況を見直すと同時に会社全体の体制の見直しを行うべきであると考えます。

ウイルスバスター™ビジネスセキュリティサービス（VBBSS）は、中小企業・中堅企業に求められるセキュリティ機能をオールインワンで持ち合わせ、さらに管理者の負担を軽減できる「軽くて・強くて＋管理負担が少ない」セキュリティ製品です。

特にEMOTETに対しては、挙動監視、機械学習型検索、Webレピュテーション機能が有効です。

Trend Micro Cloud App Security™（CAS）はランサムウェアや標的型サイバー攻撃によく利用されるOfficeファイルをはじめとするビジネスでよく使用される形式のファイルに潜む不正プログラムを検出。

ドキュメントエクスプロイトの検出技術と挙動分析により未知の不正プログラムも検出できるメール・コラボレーションセキュリティ製品です。

※すべての未知の脅威に対応するものではありません

また、トレンドマイクロではExchange Onlineを使用しているお客様向けに今まですり抜けていた脅威をスポットで可視化するためのサービスとして以下のサービスをご提供しております。

ご活用いただける環境にありましたらぜひお試しください。

Trend Micro Security Assessment Service™は企業が直面する高度な脅威から効果的に守られているかどうかを確認できるMicrosoft 365のメールサービス (Exchange Online) 向けの無料メールセキュリティ評価サービスです。

検出した脅威情報を詳細なレポート形式でご提供し昨今の脅威からどの程度保護されているかが検証可能となっています。