サイバートラスト株式会社は2月27日、「脱 VPN」ができないジレンマを抱える医療機関へ向けてVPN機器を守るための手段についての解説記事を同社サービスBLOGで発表した。
神奈川県の医療機関が2026年2月にランサムウェア攻撃を受け、患者約13万人および職員など約1,700人分の個人情報が流出、日本円にして約152億円の身代金が要求されている。同インシデントでは、ナースコールで利用しているシステムの「保守用VPN装置」が侵入経路となっていた。
同稿では、「脱VPN」がすぐには実現できない医療機関に向けて、今あるVPN機器を守り、最悪の事態を防ぐための3つの「現実解」として、下記を提言している。
1.「二要素認証(2FA)」の導入
仮にIDとパスワードを不正に入手された場合であっても、VPN装置に二要素認証を設定していれば不正な侵入リスクは大きく下げることが可能となる。
2.「IPsec-VPN」への移行
SSL-VPNには業界全体で統一された標準が存在せず、各ベンダーが独自の実装を行っているため、脆弱性が生まれやすい構造となっているが、対照的にIPsecはIETFのRFC(標準規格)で厳密に定義されたプロトコル群のため、ベンダー独自実装が少なく、脆弱性が少ないことが利点となっている。
3.「常時接続」をやめ、JIT(Just-In-Time)アクセスにする
保守ベンダー用のVPNは24時間365日開けておく必要はなく、必要な時だけ回線を開け、終わったら閉じる「JIT(Just-In-Time)アクセス」の徹底で、攻撃を受ける確率を大幅に減らすことが可能に。
