VPNのセキュリティリスクとは?対策方法やリスクから守る仕組みを解説
2拠点間での安全な通信を可能にするVPN技術。しかし、VPNを利用していたにも関わらずマルウェア感染や情報漏えいといった被害を受けるケースもあるようです。そこで今回は、VPNを利用する際のリスクと、リスクを低減する対策方法について解説します。
- 目次
そもそもVPNとは
リモートワークなどでの活用機会も増えてきた「VPN」。自宅と本社など、2拠点間を結んで安全に相互通信をできる仕組みとして知られていますが、一方で「絶対に安全とは言えない」ことも分かってきました。
今回は、VPNにはどのようなセキュリティリスクがあるのか、またどのような対策を講じればそのようなリスクを回避できるのかについて解説します。
VPNとは特定の人のみが利用できる専用ネットワークのこと
まずはVPNについて確認しておきましょう。
VPN(接続)とは、ソフトウェアの技術を用いて仮想の専用線(特定の人のみが利用でき、盗聴や侵入ができないようにした回線)を設け、通信の安全を確保する仕組みです。
具体的には、接続したい各拠点(支社)に専用のルーターを設置し、相互に通信を行います。
VPNについて詳しくは、次のコラムを参照してください。
「VPN接続とは?VPNの基本とメリット・デメリットを紹介」
VPNには4つの種類がある
VPNには使用する回線によって「インターネットVPN」「エントリーVPN」「IP-VPN」「広域イーサネット」の4つの種類があります。
インターネットVPN(既存のネットワークを活用できる)
「インターネットVPN」は、インターネット回線を利用するVPNサービスです。既存のインターネット回線を利用できるというメリットがある反面、不特定多数が使用する回線を使用するため外部からの攻撃にさらされやすいというデメリットもあります。
エントリーVPN(IP網を活用したVPN)
「エントリーVPN」は、通信事業者が提供する光ブロードバンドなどの閉域網(IP網)を利用するVPNサービスです。利用者が限定されるためインターネットVPNよりも安全性が高い反面、帯域保証がない場合には必要な通信品質が確保できない恐れがあります。
IP-VPN(通信事業者と契約者のみが利用できるネットワーク)
「IP-VPN」は、エントリーVPNと同じく通信事業者が提供する閉域網を利用するVPNサービスです。通信事業者と契約者のみが利用可能な回線のため安全性が高く、一般的にサービス品質保証(SLA)が設けられているため高い通信品質を確保できます。ただ、運用コストが比較的高いというデメリットもあります。
広域イーサネット(ネットワーク構築の自由度が高い)
「広域イーサネットワーク」も通信事業者が提供する閉域網を利用するVPNサービスですが、データリンク層(L2)で通信を行います。LANの規格であるイーサネット技術を基盤とするため、利用できる通信プロトコルなどの面で自由度が高い反面、構築には複雑な設定が必要というデメリットもあります。
VPNのセキュリティを守る主な3つの仕組み
VPNは、主に「トンネリング」「暗号化」「認証」の3つの仕組みにより安全性を確保しています。
トンネリング
「トンネリング」はVPNの根幹となる技術で、「カプセル化」という技術を用いて送信者と受信者の間に仮想的なトンネルを設ける仕組みです。トンネル内への第三者の侵入を防ぎ、セキュリティを守ります。
暗号化
「暗号化」技術により、トンネル内でやりとりされるデータに仮想的な鍵をかけ、機密性を高めます。万一、第三者に傍受された場合にも、情報漏えいや改ざんを防ぎ、セキュリティを守ります。
認証
さらにIDやパスワードをはじめとした「認証」技術の導入により、受信者および送信者が正しい相手かどうかを確認します。多要素認証を活用すれば、セキュリティを大幅に向上できます。
VPNのセキュリティリスクとは?
以上のような仕組みで安全性を確保するVPNですが、セキュリティリスクがまったくないというわけではありません。主なセキュリティ上の問題点を次に3点あげます。
問題点1.暗号化されていない通信を併用するリスク
一部の無料または安価なVPNサービスの中には、暗号化せずに通信を行うものがあります。このような場合、通信を傍受されてしまった場合には情報漏洩のリスクがあります。また、カフェやホテルなどで暗号化なしに提供されている「フリーWi-Fi」などの公衆回線を利用すると、VPN接続時に認証情報などを窃取されるリスクもあります。
また、VPNを導入したにも関わらず、従業員の操作ミスや人為的な設定ミスにより情報漏えいが発生するというリスクもあります。
問題点2.VPN機器自体の脆弱性によるリスク
近年、VPNに使用する専用機器自体のぜい弱性を狙ったサイバー攻撃が多発しています。ぜい弱性を放置したままにしておくと、「コマンドインジェクション」などのマルウェアを経由して認証情報を窃取される、ランサムウェアなどのマルウェアに感染させ新たな被害を受ける、などのリスクがあります。
特に旧型のVPN関連機器を使用していたり、ソフトウェアのアップデートを怠っている場合にはリスクが増大します。
問題点3.ウィルス感染拡大のリスク
VPNは2拠点間の通信の安全を確保する仕組みです。そのため、VPNを利用する端末自体がマルウェアに感染している場合には、感染が社内ネットワーク全体に広がってしまうというリスクがあります。
2019年頃から猛威を振るっているマルウェア「Emotet」は、不審なメールの添付ファイルを開くことにより感染を広げます。こうした経路で感染してしまった後は、例えVPNを利用していたとしても感染拡大に加担してしまうリスクがあります。
VPNのセキュリティ対策方法
では、こうしたリスクにはどのような対策が必要となるのでしょうか。
従業員の情報リテラシーを向上する
VPNは、リモート環境で端末同士を接続する仕組みであるため、システム管理者がすべての利用者を常時監視して安全性を確保することは困難です。そのため、最終的な利用者である従業員自身の情報リテラシーを向上し、セキュリティ意識を高める必要があります。
この対策により、フリーWi-Fiなど暗号化されていない通信回線の不適切な利用や人為的な設定ミスなどを防ぎ、ネットワーク全体の安全性を高めることができます。
運用方法を確立し、トラブル発生時の対処法を周知する
万一トラブルが発生した際などについてガイドラインを作成し、定期的に見直しを行うことも重要です。作成したガイドラインは従業員に周知して二次被害を防止します。
また、新たにVPN機器のぜい弱性が発覚した場合の即応性など、サポート体制がしっかりしているサービスを選択し、導入しておくことも重要です。
ウィルス対策ソフトを導入する
Webやメールを利用する際に必須となるウィルス対策ソフトですが、それはVPNを利用する場合でも変わりません。マルウェアやフィッシングサイトによる情報漏えいを防ぐため、ウィルス対策ソフトを導入し、定期的にソフトウェアやOSをアップデートするなどの対策が必要です。
脅威の性質に合わせてウィルス対策ソフトやファイアウォールなどの各種セキュリティ製品を組み合わせる「多層防御」の考え方に基づいた対策を実施します。
VPNの課題対応策としてのゼロトラストネットワーク
これまで説明したように、VPNは「2拠点間における通信の安全性を大幅に向上するものの、万全ではない」と言うことができそうです。
実際に、暗号化されていない通信の併用する場合のリスクに対しては従業員の情報リテラシーの向上が、VPN機器自体のぜい弱性によるリスクには運用方法の確立が、社内ネットワーク内部へのマルウェア侵入を防止するにはウィルス対策ソフトの導入が必要となります。
では、さらに通信の安全性を確実なものとするためにはどのような仕組みが必要なのでしょうか。現在注目されている「ゼロトラストネットワーク」という考え方を紹介します。
これまでのセキュリティに関する考え方は、ネットワークを内側と外側の2つに分け、内側を「信用できるもの」、外側を「信用できないもの」と位置づけてその境界線を防御するという、いわゆる「境界型セキュリティ」でした。VPNも、「信用できない社外ネットワーク」から「信用できる社内ネットワーク」に安全に接続する仕組みと考えれば「境界型セキュリティ」の考え方に近いサービスであると考えられます。
それに対して、ゼロトラストネットワークではすべての通信を「信用できないもの」と考え、従来よりも厳格なユーザー認証やネットワーク認証を通じてより高いセキュリティ性能を確保します。
また、「内側と外側を区別しない」ということは、裏を返せば「どこからでも自由にアクセスできる」ということでもあります。クラウドサービスの普及などにより、社外に重要データを配置するケースが増えている現在に適した考え方と言えるかもしれません。
VPNをセキュアに利用するならSecure Access Gateway
NTTPCの「Secure Access Gateway」は、ゼロトラストネットワークの考え方に基づいたセキュリティサービスを提供しています。ご利用のPC端末やモバイル端末に「ローミングクライアント」をインストールするだけで、DNSセキュリティ(Cisco Umbrella:DNS Security Essentials)を利用してセキュリティを強化することができます。
本社、外出先など場所を問わず不正なサイトへのアクセスや危険なファイルのダウンロードを防止して外出先からでもVPNを安全に使用することができます。
価格も月額500円(税込)から。自社のセキュリティをすぐに構築したいが、どこから手をつけて良いか分からない、といった場合にはお気軽にお問い合わせください。
まとめ
今回は、
・VPNには「インターネットVPN」「エントリーVPN」「IP-VPN」「広域イーサネット」の4種類がある
・VPNは「トンネリング」「暗号化」「認証」などの仕組みで安全性を確保している
・VPNには「暗号化されていない通信を併用するリスク」「VPN機器自体のぜい弱性によるリスク」「ウィルス感染拡大のリスク」などの問題点がある
・VPNを安全に利用するためには「従業員の情報リテラシーを向上する」「運用方法を確立し、トラブル発生時の対処法を周知する」「ウィルス対策ソフトを導入する」などの対策が必要
などについて解説しました。また、VPNの課題対応策として「ゼロトラストネットワーク」を、これまでの「境界型セキュリティ」との違いを中心として解説しました。
今回のコラムを参考に、自社のVPNの運用方法について、セキュリティ向上の観点からいま一度見直してみてはいかがでしょうか。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。
