記事カテゴリ
MENU
注目のワード
セキュリティ

VPNのセキュリティに潜むリスクとは? 事故事例と効果的な安全対策

このエントリーをはてなブックマークに追加

今や「安全な接続」の代名詞とも言えるVPN。しかし、「VPNさえ利用していれば安全」という考え方は危険です。本稿では実際にどのようなセキュリティ問題が発生する可能性があるのかを考察するとともに、VPNを安全に利用するためのポイントについて解説します。

この記事で紹介している
サービスはこちら

NTTPCのAIエージェントが運用稼働を軽減!AI×VPN/セキュリティ統合サービス「Prime ConnectONE®」

目次

実は安全ではない?VPN接続の仕組みとセキュリティリスク

「VPN」は離れた拠点間を仮想的なネットワークで結び、安全な通信環境を構築する技術です。
ただし、インターネットなど不特定多数が利用する回線を使う場合、通信の安全性は高まりますが、利用方法や設定によってはリスクが残ることもあります。
そのため、VPNをより安全に活用するためには、仕組みや注意点を正しく理解し、適切な対策を講じることが大切です。

VPN仕組み「通信の安全性を保つ仮想的な専用回線」

VPNは「トンネリング」「カプセル化」「認証」「暗号化」の4つ仕組みを組み合わせて使用されています。
VPNでは、「トンネリング」によって回線を共用する他のユーザーからの侵入を防ぎ、「カプセル化」により情報を保護し、セキュリティ性能を高めます。さらに、通信内容は「暗号化」により漏えいや改ざんを防止し、接続時の「認証」で正規の利用者であることを確認します。
VPNは、インターネット回線や通信事業者が提供する専用ネットワーク上に通信の安全性を保つ仮想的な専用回線を構築し、第三者による盗聴や改ざんなどを防いでいます。

リモートワークなどによるVPN接続の"ぜい弱性"が課題

一方で、VPNには見逃せないぜい弱性もあることも事実です。
社内に設置するVPNの専用機器は、インターネット回線や通信事業者の閉域網などに接続されています。インターネットを利用する方式の場合はもちろん、閉域網を利用する方式の場合においても、リモートワークや外部拠点からのアクセスを許可する場合には、外部の端末やネットワークを経由して社内ネットワークに接続されることになります。従ってVPN機器のバージョンが古いまま、ぜい弱性が放置され、適切な接続設定が行われていない場合、不正アクセスによる侵入や情報漏えいなどが発生する危険性があります。
また、万一マルウェアに感染した端末が社内ネットワークに接続された際、VPNには感染拡大を防ぐ仕組みはありません。
リモートワークの普及などにより様々な場所・端末から社内にアクセスする機会が増えた現在、VPNの安全性について改めて見直す動きが出てきています。

特に危険な「無料」のVPNサービス

VPNサービスの中には無料で使用できるものもありますが、そうしたサービスは特に危険とされています。
VPNの安全性は管理者により確保されています。逆に言えば管理者は利用者の接続情報や、やり取りされる情報を覗き見することができるということになります。悪意を持った第三者が運営している場合、そうした情報を収集し、販売される可能性があります。
また、暗号化が不十分であったり、アカウント情報の管理が不適切であったりすると、第三者からサーバー攻撃を受ける危険性もあります。
さらに近年では、マルウェアやキーロガーなどの有害なソフトをインストールさせることを目的とした広告を表示する「アドウェア(Adware)」の問題も浮上しています。
業務に使用するのであれば無料VPNの利用は避けた方が無難と言えるでしょう。

【接続方法別】VPNの主な種類と、それぞれのセキュリティレベル

VPNの接続方法には、インターネットVPNやIP-VPNのほか、SSL-VPNや広域イーサネットなど、さまざまな種類があります。
この中でも、企業利用に一般的なのが「インターネットVPN」と「IP-VPN」の2種類です。それぞれの概要とセキュリティレベルは次の通りです。

インターネットVPN

インターネットVPNは、その名の通りインターネット網を利用するVPNです。安価ですが、不特定多数が利用する公衆網を使用するためセキュリティレベルは比較的低いとされています。また、帯域保証もないため通信品質はお使いの通信環境に左右されます。

IP-VPN(閉域網)

IP-VPNは通信事業者の閉域IP網を使用するVPNです。利用者が限定されるためインターネットVPNよりもセキュリティレベルが高く、多くの場合通信の品質保証(QoS)が付帯するため一定の通信品質を確保できます。

テレワーク需要にともない急増!VPNのセキュリティ問題と事例

近年では、テレワークの普及により自宅・サテライトオフィスなど様々な場所・端末からアクセスされる機会が増加しました。
また、従来は社内に限定されていたデータの保管場所についても、クラウドなど社外に保管するケースも増加しています。そのため、社内と社外との境界線があいまいになり、セキュリティ対策が難しくなってきました。
VPNには安全に利用できる仕組みが備わっていますが、特定の拠点間でのデータ通信を行うネットワークであるため、不正アクセスなどにより一度社内システムへの侵入を許すと、広範囲に影響が出やすいことが課題となっています。
そのため、VPNを狙った攻撃も増加傾向にあります。VPNのセキュリティ問題と想定される事例を3ケース紹介いたします。

ケース1:ユーザーIDおよびパスワードの漏えいによる不正アクセス

閉域網を使用したVPNを導入していたとしても、ユーザーID・パスワードなどが流出してしまえば、なりすましによる社内システムへの侵入や情報漏えいが発生する可能性があります。例えば社内メールなどでフィッシングサイトに誘導され、誤ってユーザーIDやパスワードを入力してしまう、などのケースが想定されます。
実際に、2018年にはスマートフォンゲームのサーバーにおいて、ビジネスチャットツールを通じて流出したと推測されるユーザーID、パスワードを悪用したVPN経由の不正アクセス事件が発生しています。

ケース2:VPNを通じたウイルス感染(マルウェア感染)

VPNは送受信するデータの保護には適していますが、データの危険性は判断できません。言い方を変えれば、VPNを経由して危険なサイトにアクセスする恐れがあります。例えばマルウェアに感染した端末でVPNを利用して社内ネットワークに接続することにより感染が拡大するケースも想定されます。
実際に2020年には、米国のクラウドセキュリティ企業ゼットスケーラ社から「VPNを経由してネットワーク内部へマルウェア感染などが行われている」との指摘がされています。

ケース3:VPN機器のぜい弱性を突いた不正アクセス

前述したVPN経由での不正アクセスやマルウェア感染は、VPN機器のぜい弱性によっても発生します。
実際に2018年から2019年にかけて複数メーカーのVPN機器のぜい弱性が報告され、バージョンアップによる対策が発表されました。しかし2020年、バージョンアップを怠った警視庁を含む多数の組織・企業における不正アクセス被害が報道されました。

VPNのセキュリティリスクを最小化する"4つの対策"

VPNを利用する際には、情報セキュリティ事故の発生を防ぐため、特に次のポイントを押さえた対策を行うとよいでしょう。

信頼できるVPNサービスを利用する

VPNサービスを選ぶ際は、通信方式や認証方法、暗号化技術、運用実績など、セキュリティ面で信頼できるかをしっかり確認しましょう。自社の要件に合ったサービスを選定することが、安全なネットワーク環境づくりの第一歩です。

認証システムを強化する

可能な場合には、二段階認証や多要素認証などを設定し、認証システムを強化しましょう。ID/パスワードなどに加え、生体認証や接続機器の認証を追加しておけば、不正アクセスを受ける可能性は飛躍的に低下します。
また、推測されにくいパスワードを設定し、適切に管理するなどの地道な取り組みも有効です。

セキュリティ対策サービス/ソフトを導入する

自社の情報セキュリティを向上するには、ネットワークだけでなく、端末自体のセキュリティ対策も合わせて行う必要があります。
マルウェアに感染した端末がネットワークに接続されれば、VPNを通じてネットワーク内に感染が広がる可能性があります。特にBYODを採用している場合、必ずウイルス対策ソフトEPP(Endpoint Protection PlatformやEDR(Endpoint Detection and Response)なども導入することでセキュリティ対策を強化しておきましょう。

従業員のセキュリティ意識向上を図る

専用線とは違い、不特定多数が利用する回線を使用するVPNでは、使い方により安全性が大きく左右されます。
社外からVPNを使用する際はフリーWi-Fiを使用しないこと、社内で許可されているソフトウェア以外は使用しないこと、社外に端末を持ち出す際には許可を受けること、などのルールを策定しましょう。
また、それらのルールは実際にVPNを利用する従業員に周知することも重要です。定期的に研修会などを実施するとよいでしょう。

攻めのDX推進にシフトできるVPNサービス「Prime ConnectONE®」

NTTPCの「Prime ConnectONE®」は、社外から社内環境やクラウドへ安全・快適にアクセスできる中堅・中小企業向けVPNサービスです。拠点間を閉域網で接続するIP-VPN方式のため、高いセキュリティ性能と安定した通信環境を実現できます。
また、AIを活用し、通信障害時には自動で原因を特定し復旧時間を短縮する機能、マルウェア感染を検出した際には自動で該当端末を隔離し二次被害を防止するセキュリティ機能などを備えています。
さらにダッシュボードから遠隔地にあるIT機器の接続状況を確認することも可能。IT担当者が現地に出張しなくても拠点状況の把握ができ、迅速な障害・故障対応が可能です。
セキュリティ性能の高いVPN接続環境を構築したい、ネットワークの運用・管理業務を効率化したい、などの課題をお持ちの企業さまにお勧めのサービスです。
NTTPCの「Prime ConnectONE®」で、運用・管理業務に追われる状況を「攻めのDX推進」にシフトしましょう。

NTTPCのAIエージェントが運用稼働を軽減!AI×VPN/セキュリティ統合サービス「Prime ConnectONE®」

まとめ

VPNの利用により一定のセキュリティは確保できますが、それだけでは対策が十分とは言えません。従業員の意識向上やセキュリティ対策サービスの導入など、重大なインシデントを未然に防ぐための積極的な取り組みが求められます。

※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。

この記事で紹介している
サービスはこちら

NTTPCのAIエージェントが運用稼働を軽減!AI×VPN/セキュリティ統合サービス「Prime ConnectONE®」

関連するおすすめ記事