VPNは安全?セキュリティ問題・解決できるサービスを紹介
今や「安全な接続」の代名詞ともいえるVPN。しかし、「VPNさえ利用していれば安全」という考え方は危険です。本稿では実際にどのようなセキュリティ問題が発生する可能性があるのかを考察するとともに、VPNを安全に利用するためのポイントについて解説します。
- 目次
VPNだけではセキュリティ対策は万全とはいい難い
「VPN」は離れた拠点間を仮想的な専用線で結び、通信を安全に行う技術です。実際にはインターネット回線や通信事業者の閉域網を使用し、専用の接続方式や「トンネリング」「カプセル化」「認証」「暗号化」の4つ仕組みが合わさり、第三者による盗聴や改ざんなどを防いでいます。
「トンネリング」とは情報の送り主と受け取り側との間を、仮想のトンネルのように繋いで情報を通すことです。
また、そのトンネルの中を通る情報をそのままにせず、梱包して守るのが「カプセル化」。
さらに、このカプセルの中に入る情報の送り先に間違いがないか、送り主への確認と、受け取り側の同意を得るのが「認証」です。そして、これらの情報が漏洩、改ざんされないようか鍵をかけるのが「暗号化」となります。
しかし、社内に設置するVPN機器に対して外部からのアクセスが可能である以上、不正アクセスによる侵入や情報漏洩といったセキュリティ問題が発生する可能性もゼロではないと言えます。
近年では、リモートワークの普及により、様々な場所・端末から社内にアクセスすることが増え、改めてVPNの安全性について、見直す必要が出てきています。
無料のVPNはとくに危険
特に無料のVPNサービスは特に危険とされています。中には利用者の接続情報を収集し、販売目的とするものや、マルウェアやキーロガーなど有害なソフトをインストールさせることを目的とするものが存在しています。業務に使用するのであれば無料VPNの利用は避けた方が無難と言えるでしょう。
VPNの種類別に見る特徴とセキュリティレベル
VPNにはいくつかの種類があり、方式によりそれぞれ特徴およびセキュリティレベルが異なります。ここでは大きく分けて「インターネットVPN」と「IP-VPN」の2種類を取り上げて比較します。
インターネットVPN
インターネットVPNは、その名の通りインターネット網を利用するVPNです。安価ですが、不特定多数が利用する公衆網を使用するためセキュリティレベルは比較的低いとされています。また、帯域保証もないため通信品質はお使いの通信環境に左右されます。
IP-VPN(閉域網)
IP-VPNは通信事業者の閉域IP網を使用するVPNです。利用者が限定されるため比較的セキュリティレベルは高く、一定の通信品質を確保できます。ただし、専用線とは違い複数の企業が共同で利用するため、セキュリティリスクはゼロではありません。
テレワーク需要に伴い急増!VPNのセキュリティ問題と事例
近年ではテレワーク需要により、自宅・サテライトオフィスなど様々な場所・端末からアクセスされるようになりました。
また、クラウドサービスの利用により、データの保管場所が社内システムとは限らなくなってきています。そのため、内と外の境界線がとても曖昧になってきており、セキュリティ対策が難しくなっています。
VPNには安全に利用できる、仕組みが備わっていますが、特定の拠点間でのデータ通信を可能にしたネットワークのため、不正アクセスだった場合、一度社内システムへの侵入を許すと広範囲に影響が出やすいのが課題です。
そのため、VPNを狙った攻撃も増加傾向にあります。VPNのセキュリティ問題と想定される事例を3ケース紹介いたします。
ケース1:ユーザーID、パスワードの漏洩による不正アクセス
閉域網を使用したVPNを導入していたとしても、ユーザーID・パスワードなどが流出してしまえば、なりすましによる社内システムへの侵入や情報漏洩が発生する可能性があります。例えば社内メールなどでフィッシングサイトに誘導され、誤ってユーザーIDやパスワードを入力してしまう、などのケースが想定されます。
実際に、2018年にはスマートフォンゲームのサーバーにおいて、ビジネスチャットツールを通じて流出したと推測されるユーザーID、パスワードを悪用したVPN経由の不正アクセス事件が発生しています。
ケース2:VPNを通じたマルウェア感染
VPNは送受信するデータの保護には適していますが、データの危険性は判断できません。言い方を変えれば、VPNを経由して危険なサイトにアクセスする恐れがあります。例えばマルウェアに感染した端末でVPNを利用して社内ネットワークに接続することにより感染が拡大するケースも想定されます。
実際に2020年には、米国企業のゼットスケーラから「VPNを経由してネットワーク内部へマルウェア感染などが行われている」との指摘がされています。
ケース3:VPN機器の脆弱性による不正侵入
前述したVPN経由での不正アクセスやマルウェア感染は、VPN機器の脆弱性によっても発生します。
実際に2018年から2019年にかけて複数メーカーのVPN機器の脆弱性が報告され、バージョンアップによる対策が発表されました。しかし2020年、バージョンアップを怠った警視庁を含む多数の組織・企業における不正アクセス被害が報道され、大きな騒ぎになりました。
VPNのセキュリティ問題を解決できる
セキュアアクセスゲートウェイ サービス
テレワーク・クラウドサービスの利用に伴い企業は自社のデータを守るため、さらなるセキュリティ強化が必要になってきています。従業員のセキュリティに関するリテラシーを向上することはもちろんですが、それ以外にセキュリティを高めるためのさまざまなサービス・方法が登場しています。ここでは、NTTPCが提供するサービスを紹介します。
NTTPCの「セキュアアクセスゲートウェイ」は、SASEのコンセプトに基づきネットワーク機能とセキュリティ機能とを一元的に提供するサービスです。リモートワーク時にも社員を不正サイトへのアクセスやマルウェア感染から保護する機能を備えています。また、社員個人が所有するデバイスのセキュリティポリシーをダッシュボードから管理可能。社内同様に統一したセキュリティポリシーを適用できるため、社外からのアクセスに対しても安全・安心・快適なネットワーク環境を構築できます。
さらに1ユーザーにつき月額500円(税込)※からご利用可能。まさに「ちょうどいい機能」と「ちょうどいい価格」を両立したサービスです。
※最小10ユーザーからご利用になれます。
まとめ
VPNの利用により一定のセキュリティは確保できますが、それだけで対策は万全というわけではありません。従業員のセキュリティに関する意識の向上、セキュリティ対策サービスの導入など、重大なインシデント発生を事前に防止する「転ばぬ先の杖」として、セキュリティ対策を積極的に講じていきましょう。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。
