［RMG10］リモート接続のリスクを考えるヒント十ヵ条（２）

（執筆者）俯瞰マネジメント研究会　|　塚田智　

１．前回のユーザーID管理に引き続き、今回は実際のリモート作業のリスク管理を検討する。

２．VPN接続してしまえば、ネットワーク内のどのサーバーにも接続可能となる。そのことはリスク管理の面からは好ましいことではないので、ユーザーIDの配布について、次のことを再度強調しておきたい。つまりユーザーＩＤには接続できるサーバーと許可される操作項目が個人ごとに特定されていなければならないということである。接続先管理と権限管理である。
そうなっていないユーザーＩＤ管理は、非常にリスクの高い方法である。早急に改める必要がある。

３．早速事例の検討に入ろう。 日本で広く利用されているVPN装置としてFortiGateがある。そのメーカーであるFORTINET社は、3年ほど前から、VPN装置を制御するFortiOSに脆弱性があることを公表している。JPCERT（ジャパンコンピューターエマージェンシーレスポンス）がまとめた関連情報を要約すると、FortiGateからVPNの接続情報が不正取得され、それがインターネット上に公開されている、ということである。また他の報道によると、公開された87,000件の接続情報のうち1,000件ほどは、日本のものが含まれている。これをリスクの傾向と考えたい。

４． これに対してFORTINET社では、推奨する対策をまとめている（*2）。要約すると、以下のようになる。
・改善策を実施するまでVPNを無効にする。
・システムを最新のリリースにアップグレードする。
・パスワードをリセットする。（パスワードリセットの理由をユーザーに通知する。）
・多要素認証を導入する。 ・・・