HOME > WISH Journal > 保険・リスクマネジメント > サイバーセキュリティ研修　～VPN機器の脆弱性(2)～

サイバーセキュリティ研修　～VPN機器の脆弱性(2)～

こんにちは。本社システム部の村山です。
マルエイソリューションでは、月に1度、サイバーセキュリティの研修を行っていますが、先月は徳島県つるぎ町立半田病院の事件を例に挙げ、VPN機器(ネットワーク機器)からの侵入が高い率になっているという話をしました。（前回ブログ記事）
今回の研修では、VPNとは何かと、どうやって侵入をするのか、の説明をしました。

昨今、リモートワークも進み、VPNという言葉もよく耳にするようになりましたが、実際、VPNとは何かご存知でしょうか。VPNとは、”Virtual Private Network”の略称で、日本語にすると「仮想専用通信網」を意味します。

VPNでインターネットに接続することをVPN接続といいますが、この場合、専用ネットワークとは言いつつも、物理的な専用回線を用いるのではありません。「仮想」専用通信網というように、共用の回線を諸々の技術によって、仮想的に独立した専用回線であるかのように扱うのがVPN接続です。

例えるなら、共用回線を通常通りに使うことは、人が混み合う街中で電車やバスなどの公共機関を使って移動することに例えられるでしょう。電車やバスは他の人と共用で使うものなので、割安なコストで済みますが、その分、スリやひったくりの被害に遭うリスクがあります。
これに対して物理的な専用回線を引くことは、秘密の私道を自社用に作って、それで必要な移動を済ませることに例えられます。これは非常に安全で快適ですが、実現するためには多額のコストが必要です。
コストを抑えて、共用の回線を諸々の技術によって仮想的に独立した専用回線であるかのように扱うのがVPN接続です。

この諸々の技術の中にはいくつかの接続方法や認証方法があるのですが、その中でもIDやパスワードを利用する方法において、前回紹介した機器の脆弱性によって簡単にID等を知る方法があり、攻撃者は不正な方法で情報を手に入れてその情報でターゲットに接続し、攻撃をしかけます。

脆弱性が見つかった際には、機器のメーカーからセキュリティパッチ（最新のファームウェアや更新プログラム等）が提供されますので、迅速に適用させる必要があります。

前回のブログでも取り上げた半田病院の報告書によると
「本脆弱性は Fortinet 社が 2019 年から 2021 年 6 月までに「4 度にわたり注意喚起を行ってきた」としているが、利用者自身が本情報を収集できずに認知できていなかった体制にも課題があるにせよ、本脆弱性の説明が利用者に行き届いていないことや、本情報を導入や保守を行っている A 社から利用者へ説明が行われていないことは、専門家としての対応や責任を果たしていないと言わざるを得ない。」
と結論付けています。（Fortinet 社はVPN装置のメーカー、利用者自身は半田病院、A社はVPN装置を納入したベンダーです）

病院に限らずどのような業種でも（インターネットを業務で使用するならば）、情報セキュリティ責任者を配置し、外部へ委託する場合も含め、責任範囲を明確にし管理する必要があると思います。

厚労省では、医療分野のサイバーセキュリティ対策について（※1）、規定類、医療情報システムの安全管理に関するガイドライン、チェックリストなどを掲げて強化を呼びかけています。サイバーセキュリティ・ポータルサイト（※2）は様々な業種、立場の方向けのサイトとなっていますので、下記リンクを参考にしてみてください。

株式会社マルエイソリューション　本社システム部　村山

【参考サイト】
（※1）厚生労働省　医療分野のサイバーセキュリティ対策について
https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html
（※2）サイバーセキュリティ・ポータルサイト　https://security-portal.nisc.go.jp/

投稿日：2023.03.09

次のページインデックスページに戻る前のページ

サイバーセキュリティ研修 ～VPN機器の脆弱性(2)～

サイバーセキュリティ研修　～VPN機器の脆弱性(2)～