在宅時代の落とし穴(38社VPNで不正接続被害)


日経新聞が令和2年8月25日と26日に続けて大きく報道していました。VPNを使ったテレワークを行なう企業38社でVPNの暗証番号やID情報が漏えいしているとのことです。NISC(内閣サイバーセキュリティセンター)が犯罪サイトでVPN情報が交換(売買)されている900社超を確認し、内、38社が日本企業だった。ロシア語を使うハッカーによる犯行とみられています。

当該VPNは米パルスセキュア社のVPN装置を使っています。(同社は同日、パッチ未適用48社のユーザーでVPN情報が漏えいと発表しています。)同社は昨年4月に、脆弱性を公表し、修正プログラムの適用を推奨していました。JPCERTなどセキュリティ団体も注意喚起していたのですが、放置したままの企業が被害に遭った模様です。

日立化成、住友林業、自動車総連など名前を上げられた企業は、パルスセキュア以上に企業イメージなどダメージを受けたことでしょう。今更ですが、暗証番号などの変更、多要素認証の採用、パッチの適用、当該装置の使用停止・交換などを行なっています。1年も時間があったのだから、もっと前にやっておけばと思うのでしょうが。金融機関の名前は出てきませんが、漏えい48社の全てが公表されていないので確認はできません。多くの金融機関では、社員による社外からの行内システム接続にシンクラとVPNを導入していますが、認証方法やアクセス範囲などきめ細かな対策を施していますので、それほど心配する必要はなさそうです。

気になるのが、日経記事がやたらとテレワークとVPNを関連づけ、更にゼロトラスト・ネットワークにしておけば防げたとイメージさせる書き方をしていることです。メディア記者は非常にシンプルな因果関係を求めます。書き易いこともあるのでしょうが、読者に判り易いからなのでしょう。大手金融機関で大規模な障害が起きた時、担当記者は多方面に取材をかけます。どうして起きたのか、どうすれば防げたのかというネタが欲しいのです。ベンダーに取材すると、ベンダーは新聞などで報道された事象から適当に思いつく原因を上げて、当社のこの製品を使っていれば防げたと言います。記者は信じて記事にします。製品名こそ記事に書きませんが社名は出しますので、他の金融機関から引き合いが殺到します。

中には筆者のような利害関係なしの人間に、取材結果の妥当性確認を求めてくる記者もいます。裏取りするのは良いことだと思うのですが、既に記事のスト−リーができていることもある。筆者の「そんな都合の良い技術や製品がある筈ない。」という台詞を無視しようとします。そこで、「そのまま書いたら、他紙にあんたのはベンダー宣伝記事だと公開するぞ。」と脅したこともあります。この日経記事が今回被害を受けた企業などのセキュリティ・リテラシーを責める論調なので、ならば、君達メディアはどうなんだ?と言いたいのです。

この記事では、Googleが先行するゼロトラスト・セキュリティという防御策が有効だと書いています。入り口防御だけでは、防ぎきれないからだそうです。そんなことはまさに今更です。金融機関でセキュリティといえば、10年も前から入口防御と併せて、出口防御と早期検知が叫ばれています。対策に先行する所と遅れる所の差は極端ですが、金融庁が一昨年から脆弱性の確認と早期発見・被害極小化を強く求めてきた効果が出つつあります。中小零細金融機関でも情報セキュリティが他人事ではなく、オリンピックなどのタイミングで世界のハッカーから狙われるリスクが高まっていると認識しています。現場の行職員よりも経営トップの方が、その認識が強いかもしれません。まだまだ、投入する人材も資金も限られていますが。

それにしてもセキュリティ・ベンダーは料金が高い。需給バランスが取れていないからでしょう。それでいて万能の防御策は存在しない。もぐら叩きを続けて、心配の種は尽きず、予算だけが尽きてしまう。それがゼロトラストで解決できるのでしょうか?筆者は「アホらしい。要は防御理念の呼び方を変えただけではないか?」と考えています。セキュリティ・ベンダーには、「浜の真砂は尽きるとも世にビジネスの種は尽きずだね。」などと嫌みを言います。  

Googleが4月に発表したゼロトラストBeyondCorp Remote Accessは、認証機能を強化したプロキシーのクラウドです。(他のサービスに拡がるスケジュールは未公表です。相当、時間がかかるでしょう。)VPNは必要ありませんが、使用料金がアカウント当たり月額6ドルと高い。(他のセキュリティコストがゼロなら安いのでしょうが。)こうやって、何かと追加費用を加えていくと、パブリック・クラウドが本当に安いのだろうかという疑問が強まります。さりとて、現時点では、他に選択肢がありません。外部依存が高いということは、そういうことです。それを前提にIT戦略を考えるしかありません。ゼロスキル・ガバナンスとかゼロガバナンスITとでも命名しましょうか。 

                                  (令和2年8月27日 島田 直貴)