イベント報告 2025/06/27

Security Days Spring 2025セッション②「VPNとクラウドを守れば安全？最新インシデントに学ぶ、見落としがちな侵入経路とその対策」

政府、学術機関、企業のサイバーセキュリティの専門家が最新動向を紹介するイベント「Security Days」。例年、春と秋に会期が設定され、2025年3月には「Security Days Spring 2025」が開かれました。

このイベントには毎回、株式会社ソリトンシステムズ（以下、ソリトン）のメンバーも登壇。今回はセキュリティトレンドと求められる対策に関する全3講演を実施しました。

今回は、3月13日に実施したプロダクトマーケティング部松田真結によるセミナー「VPNとクラウドを守れば安全？最新インシデントに学ぶ、見落としがちな侵入経路とその対策」の内容についてご紹介します。

猛威を振るう侵入型ランサムウェアを前に「見落としがちな脅威」

冒頭では、松田は近年のセキュリティ脅威傾向として侵入型ランサムウェアが依然、猛威を振るっていることを取り上げました。

近年流行している侵入型ランサムウェアは標的型攻撃の一種となっており、企業や組織の情報資産が狙われます。侵入型ランサムウェアは深刻な被害をもたらすため、いまや事業継続に関わるリスクとなりつつあります。大規模な被害であれば、復旧には二か月以上、または半年以上かかるケースもあり、復旧には多額のコストが発生します。

松田の講演では、医療機関様や運輸業様などが標的となった過去の実例をいくつか取り上げました。そしてランサムウェアは、VPN機器・リモートデスクトップといった、リモートアクセス経由の侵入が8割を超えることを説明します。

さらに、もう一つの脅威として、クラウドサービスへの不正アクセスが増えていることも取り上げました。最新のデータではパスワード攻撃が1秒あたり7,000回以上実行されていることなど、ID・パスワードが狙われている現状を来場されたみなさまにお伝えしました。

情報システム担当者は、これらのニュースに日々接し、危機感を抱いていることでしょう。そうなると防御をする側の企業は、情報が存在する企業ネットワークやクラウドから情報漏えいが起きないよう対策が必要となります。冒頭で述べた通り、多くの企業ではVPN・クラウドサービスへの多要素認証を導入し、情報漏えいのリスク低減に取り組まれていると思います。

しかし、セッションで松田は「VPNとリモートアクセスだけ対策をすれば、本当に安心でしょうか？」と問いかけました。

そして、遠く離れた場所からWi-Fi経由で社内システムに不正侵入し、情報が窃取されてしまった近年のインシデント事例を紹介しました。米国のセキュリティ会社であるVolexityが公表したインシデントです。

こちらのインシデントの経緯としては、ロシアのある攻撃集団が、米国の組織(以後、組織A)の公開インターネットサービスへパスワード攻撃による不正侵入をしかけます。しかし、インターネット公開サービスにはMFAを導入していたため、侵入を防ぐことができました。今度は、組織Aに物理的に隣接している別の企業（以後、組織B）のVPNに侵入しました。組織BのVPNにはMFAを導入していないため、簡単に破られてしまったのです。

そして組織BのVPNからデュアルホーム端末を乗っ取り、今度は組織Aの無線LANへと侵入。組織Aはインターネット公開サービスへのアクセスにはMFAを導入していましたが、社内無線LANへの接続認証にはMFAが導入されておらず、ID・パスワードのみで運用していました。インターネット公開サービスへのパスワード攻撃で入手したアカウント情報を使用し、組織Aのアクセスポイントに接続をしてしまった、という事例です。

このような事例もあることから、改めて、無線LANセキュリティの重要性も考える必要があるといえるでしょう。

セッションのタイトルにもある通り、VPNとクラウドだけを守っていれば安心というわけではなく、この攻撃の事例でいえば、社内無線LANも認証の強化が必要ということになります。

「桶の理論」から考える、サイバー攻撃から企業を守る方法

思ってもいなかったような方法で攻撃されてしまう事例を紹介してから、松田は「桶の理論」という情報セキュリティの業界でよく使われる言葉を取り上げました。

株式会社ソリトンシステムズプロダクトマーケティング部

松田真結

セキュリティの桶の理論とは、頑丈なつくりになっているように見える水桶に、もし1か所でも弱いところがあれば水が漏れてしまうことを例として、セキュリティでも組織にたった1か所の弱点があれば、そこを攻撃者に突かれ、侵入されてしまうという注意を促す考え方です。

先ほどの実例でいえば、A社のインターネット公開システムではMFAが実装されていましたが、無線LANはID・パスワードで運用していた、ということがぴったりと当てはまります。無線LANにも、VPNやクラウドと同等のセキュリティが本来は必要だったのです。

では、無線LANをVPNやクラウドと同等のセキュリティにするには何をする必要があるのでしょうか。松田はセッションで「正しいユーザー、端末のみが接続できる環境が必要です」と語りました。

株式会社ソリトンシステムズプロダクトマーケティング部

松田真結

正しいユーザー・端末のみが接続できる環境をどのように実現するかというと、ソリトンでは、デジタル証明書を用いて認証をする、EAP-TLS認証をおすすめしています。ID/PASSによる利用者認証のみでは、正しいユーザー/端末のみが接続できる環境を実現する上で、限界があるからです。例えば、シャドーITというリスクがあげられます。

ID・パスワード認証の場合は、あくまでもユーザー認証のため、私物端末、管理外のデバイスでもパスワードを知っていれば、接続できてしまいます。管理外のデバイスが無秩序に社内LANに接続され、インターネットなどの外部ネットワークにアクセスする事で、

情報漏洩など、思わぬトラブルにつながりかねません。そこで、デジタル証明書はご紹介した認証方式の中でセキュリティ強度が最も高く、端末にインストールした証明書を利用するので、管理外端末や私物デバイスの接続をシンプルかつ確実に防止できます。

また、無線LANのセキュリティ対策の一つとして、端末固有の識別子であるMACアドレスを利用したアクセス制御があります。これは、事前に登録されたMACアドレスを持つ端末のみに接続を許可する方法です。一方、MACアドレスは偽装が可能であるため、セキュリティが強固とはいい難いのが実情です。今回のセッションでも、専門知識がない人でもウェブ検索すればMACアドレスを書き換えるツールが簡単に見つかるように、内部不正等の「抑止」には一定の効果があるものの、認証強度としては弱い、という説明をしました。

選択肢となる証明書認証で負担の少ない方法は？

証明書認証のセキュリティ上利点が明らかである一方、導入コストや運用面を考えると気が進まない思いをする方もいるかもしれません。特に、業界を問わず人材確保の競争が激しくなっている現在では、ITスキルのある人材の確保は難しい、といった悩みも出てくるでしょう。松田も、次のように語ります。

株式会社ソリトンシステムズプロダクトマーケティング部

松田真結

確かに「証明書認証は環境構築が難しいイメージがある」と実際にお客様からお聞きすることがあります。認証局（CA）を構築する必要があることなど、導入・運用が難しいとのイメージにつながっていると推察されます。

人材という点でいえば、ソリトンが「情報システム部門が抱えている課題・悩み」について企業に調査したところ、トップとなった回答が「新たなシステムの企画導入ができる人材の不足」、2番目に多かったのが「既存システムを維持する人材の不足」という結果でした。いずれも人手不足に関する悩みです。

このように、ただでさえ人材が足りていない中で、難しいイメージがある証明書認証を導入できるのか不安になる方がいらっしゃるのです。

こうした悩みに対するデジタル証明書ソリューションとしてソリトンが提供しているのが、「NetAttest EPS」と「Soliton OneGate」です。

NetAttest EPSは、デジタル証明書の発行・管理・認証機能を搭載したオールインワン認証アプライアンス。Soliton OneGateは、デジタル証明書の発行・展開から無線LAN・リモートアクセス認証まで、企業に必要な認証強化を手軽なクラウドサービスで提供します。

これらのソリューションにより、ユーザーや情報システム担当者に負担をかけない事例を松田は説明します。

株式会社ソリトンシステムズプロダクトマーケティング部

松田真結

各ユーザーに証明書を配布する際、NetAttest EPSでもSoliton OneGateでもさまざまな方法をとることができます。例えば、ユーザーにできるだけ負担をかけない方法として、システム管理者が送付したメールに書かれているURLをクリックするだけで、証明書の取得が可能になる、ワンタッチ証明書配布という方式があります。

また、運用が始まり、ユーザーが証明書を入れた端末をなくしてしまうケースも考えられますが、その際、管理者は該当する端末だけを抽出し、簡単に失効させられるユーザーインターフェースとなっているのが、ソリトンのソリューションです。

安全性が高いことは理解できても「難しそう」という先入観がありがちなデジタル証明書認証。しかし、ソリトンはそうしたイメージを覆し、情報システム担当者、ユーザーの両方にとって利益のあるプロダクトを提供しています。

どのような現場も必ず課題を解決していく

セッションの中で、認証の他の企業が抱える課題として、人材の不足が挙がりました。今後、人口減少のため、DXが求められつつ相応の規模の企業でも少ない人数で運用しなければならないケースが起こるかもしれません。そして、人が少ない環境下でもセキュリティは強化し続けることが必要です。

企業やその他の組織にとって、難しい判断をしながらIT戦略を進めなければならない中でも、ソリトンはお客様に寄り添って高度なセキュリティを提供していくと、松田は語ります。

株式会社ソリトンシステムズプロダクトマーケティング部

松田真結

ソリトンは、例えば情報システム担当者が1人しかいない「1人情シス」となっている現場の支援も多数行っており、お客様ごとに最適なソリューションの提供をしてまいりました。

今後も、認証のスペシャリストとして、いかなる環境の現場でも適切な課題解決を図っていくという姿勢を変えずに、多くの組織のセキュリティを守っていきたいと考えています。

この記事を読み、改めて自社のセキュリティに課題感を感じた方もいらっしゃるかもしれません。しかし、その不安は課題解決のきっかけにもなり得ます。まずは、現状の再確認や見直しから、ソリトンにご相談ください。