特定のVPNを導入することで、ネットワークへのリモート・アクセスにより優れたセキュリティを提供することができます。ベンダーの製品によって、提供する特定の機能が異なることに注意することが重要です。
エンドポイント・セキュリティ・ポリシーの見直し。OSやブラウザのチェック、マルウェア対策、ログアウト後のブラウザのキャッシュとクッキーの消去、クライアント側の多要素認証など、プロバイダーによってエンドポイント・セキュリティ・ポリシーは異なります。サイト間VPNにはこの種のポリシーはありません。
セッションタイムアウトを設定します。すべてのVPNでは、セッションタイムアウトを設定することができます。ビジネス要件にもよりますが、セッション・タイムアウトは10分から15分程度で十分です。また、SSL VPNは通常、ブラウザ・ウィンドウの自動終了にも対応しています。
IPsecには多数の設定オプションがあります。しかし、多くの組織は無意識のうちにセキュリティよりも利便性とシンプルさを選んでいます。例えば、多くの IPsec の導入では、VPN ゲートウェイが知っている「共有秘密」を利用し、それを認証設定に含めています。この点では、エンドポイントごとに異なる共有秘密を使うことをお勧めします。さらに、組織は内部の認証局から配備された証明書を使用すべきです。さらに、IPsec セキュリティ・アソシエーションを確立するために使用されるインターネット鍵交換プロトコルは、利便性とパフォーマンスのために、しばしば Aggressive Mode を使用するように設定されますが、これは相互作用の方法としてはかなり弱いものであり、組織は Main Mode を使用すべきです。
強力な多要素認証を使用してください。すべてのVPNは、多要素認証に対応している必要があります。クライアント証明書やスマートカード、二要素トークン、モバイルデバイスに送信されるワンタイムパスワードなどが一般的な認証方法で、いずれもユーザー名とパスワードだけよりも安全です。
デバイスまたはソフトウェアの修理とアップグレードすべてのVPNソフトウェアとデバイスは、随時アップデートする必要があります。脆弱性の露呈や可用性の問題を回避するために、これらのシステムが既存の脆弱性管理戦略に統合されていることを確認してください。
もちろん、これらは出発点に過ぎず、特定のアプリケーションやユーザーに対するアクセス制御を作成するには、さらに計画的な作業が必要になります。VPNの中には、仮想デスクトップ・インフラやその他の内部リソースへのアクセスをサポートし、リモート・クライアントのセキュアな接続を簡素化・強化するものもあります。すべてのプロバイダーがさまざまな設定オプションを提供しているため、組織はこれらの利用可能なセキュリティ設定をすべて理解し、パフォーマンス、可用性、セキュリティに基づいて最適なソリューションを選択する必要があります。
