ノルウェー国家サイバーセキュリティセンター (NCSC) は、SSLVPN/WebVPNソリューションを代替ソリューションに置き換えることを推奨しています。
同団体は、移行の完了を2025年までにする一方、重要インフラに関しては2024年末までの移行を推進しています。
NCSCの推奨事項は、VPNプロトコルをIKEv2(インターネット鍵交換)を使用したIPsecに変更することです。これには、SSL/VPNと比較してIKEv2を使用したIPsecの方がより安全と言えるからです。
IPsecは、IPネットワーク上での通信のセキュリティを提供するためのプロトコルのセットであり一定のセキュリティレベルを担保するのに対し、SSL/TLSは特定のアプリケーションやプロトコルに関連しており、柔軟な暗号化手法を使用することから特定の暗号方式やセキュリティレベルに決まりがありません。
これにより、Cisco、Fortinet、SonicWall の SSL/VPN 実装で長年にわたって多数のバグが発見され、攻撃者がネットワークに侵入するために積極的に悪用されています。
VPNの脆弱性は、日本ではネットワーク貫通型の攻撃などと言われ、私が印象に残っているのはカプコンの不正アクセスの初期侵入が旧型のVPNの脆弱性だったことです。
もちろん、VPNの暗号化方式を強くしたからといっても多層防御は必要になります。認証情報の窃取によるネットワーク侵入も警戒するべきでありセキュリティレベルを高めるためには、『ゼロトラスト』のセキュリティ設計思想を強くする必要がありそうです。
