ランサムウェアの感染事例で感染経路として相次いで報告されているのがVPNだったりします。実際、被害の約7割がVPN経由となっています。その為なのか、VPNは危険であるという誤った認識が拡大しているように感じますし、実際、そう考えている情報システム担当者も少なからず存在します。
しかしながら情報を精査するとVPNそのものには何ら問題はなく、VPN装置の脆弱性を放置した結果、もしくは、脆弱性対応はしたものの既にアカウント情報が漏洩していたために発生したものであることが判ります。要するに使っている側の不適切な運用・管理によって発生しているわけです。特に、特定のメーカーの製品で度々脆弱性の報告がされていること、尚且つ、そのメーカーのシェアが高いことから被害が多く発生していることが判っています。従って、適切に脆弱性情報を収集し、迅速かつ適切な対応を行っていれば問題はないわけです。
また、ここからは推測ではありますが、侵入された先のサーバーやクライアントにて対ランサムウェア性能が高くないウイルス対策製品の導入をされている、又は、サーバーで多いのですがウイルス対策製品の導入をしていないという問題もあります。ここら辺は侵入経路以前の問題でランサムウエアに限らず他のウイルス被害に遭う可能性もあるわけで、論外と言っても良いでしょう。
もちろん、VPNを使わずに済むのならばそうすべきであるのは間違いのないところです。
例えば、システムを全てクラウドに移行し、リモートワークに移行した際にも運用に影響がないような状態にしたとすれば、VPNで社内ネットワークに入る理由はなくなります。社内にシステムが存在しなければ保守回線も必要ないわけで、その点でもVPNを使う意味がなくなります。
個人的な意見ではありますが、VPNで多くの社員が社内ネットワークに入って仕事を行うことは、あまり賢いやり方であるとは思えません。ネットワーク回線の帯域幅上限が決まっている以上、かつ、VPN装置自体の性能上の限界もある以上、社内で仕事を行うのと同じ効率が維持できるのか疑問です。そう言った意味では早期にシステムのクラウドへの移行を行い、ゼロトラストネットワークへの移行を進める方が賢いやり方であると考えます。直ぐに移行出来るものではありませんし、特にゼロトラストネットワークへの移行は時間が掛かります。だからこそ早くに移行の決断をすることも重要であると思います。
VPNは適切な運用・管理を行えば不正侵入の経路にならず、安全に使えるものではあります。しかしながら、セキュリティ対策として、効率的なリモートワーク対策としてVPNを排除してゼロトラストネットワークへの移行を検討することも大切であると考えます。