VPNは危ない(かもしれない)

VPNを使えば安全

みたいに盲目的に思っている人少なくないですね。確かに、Internet経由で社内システムにアクセスしたり、インターネット上のウェブサイトにアクセスする際に、VPN経由して、フィッシングサイトに誘導されないようにするみたいなことが可能になります。

危ないのは、社内システムにアクセスするためのVPN。VPNの入口は攻撃対象になりやすいのは、容易に想像できますよね。実際、VPN器機の認証情報が流出した過去があります。

8万7000台に影響 「Fortigate」のSSL-VPNデバイスの認証情報が漏えい – ITmedia エンタープライズ

VPNに頼らない安全なIT利用、それを考えていく必要があります。

警察庁だってVPNを突破されて気がつかない。大事なのは認証基盤。

警察庁の端末1台に外部から不正アクセス46回 情報流出は確認されず

https://mainichi.jp/articles/20201127/k00/00m/040/405000c

VPN使ったら安全ということではないのですよ。残念ながら、境界防御でなんとかなっていたのは20世紀まで。

VPNゲートウェイの認証情報が漏れてしまえば、境界なんて無いのも一緒。

結局は、認証基盤を強固にするのが大事。

それには、認証基盤に、多要素認証の導入が必要。逆にいえば、多要素認証し、その認証情報を使って、アプリケーションやリソースへのアクセスを適切に制御していれば、情報漏洩に対して、もっとも費用対効果の高い対策を実施していると言い切って良いと思う。

難しいのはVPNは外部からのアクセスになるわけで、VPNへの認証認証基盤は、外部、つまりは、インターネット側に存在しなければならない。

となると、独自の実装というよりも、企業向け ID as a service の利用が現実的。そうなると、やはり、Google Cloud Identity、もしくは、Microsoft Azure Active Directory の2択。独立したサービスも多数存在するけれど、結局、Google WorkspaceかMicrosoft 365(Office 365)が必要になるわけで、GoogleもしくはMicrosoftからの選択になるはず。