仮想化技術によって疑似的な専用回線の構築を可能にするVPNは、比較的手軽に実施できるセキュリティ対策として多くの企業に活用されています。しかし、VPN接続によるセキュリティ対策は本当に安全と言えるのでしょうか。本記事ではVPN接続の役割と、見落とされがちな弱点について解説していきます。
VPNとは
VPN(Virtual Private Network)とは、公衆回線を仮想化技術によって疑似的に専用回線化する技術です。 ユーザー自身の通信に一定のセキュリティを付与できるため、多くの企業が活用しています。
一般的にパスワードが設定されていないフリーWi-Fiなどは、何の対策も講じなければ通信した情報の閲覧が比較的容易であり、セキュリティ面で情報漏洩のリスクがつきまといます。ここで選択肢に上がるのがVPN接続と専用回線ですが、運用面を考えると専用回線よりも簡単に導入でき、なおかつスマホなどのマルチデバイスにも対応しているVPNに軍配が上がります。
VPNにおける重要な技術
VPNは、主に「トンネリング」「カプセル化」「認証」「暗号化」という4つの機能によって成立しています。ここでは各機能の特徴について解説していきます。
トンネリング
インターネットは通常、不特定多数のユーザーが使う公衆回線を利用しています。トンネリングとはこの公衆回線の中に特定のユーザーしか使えない仮想的なトンネルを開通し、他のユーザーから隔絶することで、疑似的にクローズドなネットワークを可能にする技術です。トンネリングはVPNを可能にする最も基本的な機能と言っていいでしょう。
パケットにアドレスを付与する「カプセル化」
カプセル化は仮想トンネル内を往来するデータの内容を外部から隠すために利用される技術です。元のオブジェクトデータを付与データでカプセルのように覆って隠す構造が名称の由来になっています。VPN接続で往来するデータはカプセル化され、トンネリングによって形成された仮想的な経路を通り抜けていくと言い換えると理解しやすいでしょう。このように2つの技術によって2重に他のユーザーから影響を受けない構造になっています。
認証機能
認証機能はVPNを使おうしているユーザーが、正当な閲覧の権利を持った人物であるかどうかを確認するための仕組みです。仮想トンネルを利用するための認証情報を要求し、ユーザーが正しい認証情報を入力することで、利用を許可する役割を果たします。セキュリティを強化するために認証手続きを二重に行うように設定することもありますが、こちらは二重認証と呼びます。
暗号化
暗号化は外部の攻撃者からデータを守るための最後の砦となる技術です。実は二重認証によって完全に情報閲覧の可能性を排除することはできません。そこで、暗号キーを持った人物にしか情報を閲覧できないように暗号化を施します。VPNで用いられる暗号化は、主に簡易的な暗号化技術である「SSL-VPN」と、専用ソフトなどで全通信を暗号化して安全性を高める「IP Sec-VPN」の2種類があります。
VPNによるセキュリティ対策の役割
上記のようにVPN接続は複数の技術によって成立しています。次に、これらの技術によってVPN接続によって付与されるセキュリティの効果について解説していきます。
盗み見・データ改ざん対策による安全な通信実現
VPNに施された様々なセキュリティ対策は、第三者によるデータの盗み見や改ざんを防ぎ、セキュアな通信環境の実現に役立ちます。駅やカフェなどの無料Wi-Fiが最たる例ですが、不特定多数のユーザーが使う公衆回線は安全性が低いため重要なデータを扱う際には対策を施さなければなりません。VPNはスマホなどでも利用できるので、たとえば出張先や営業先から接続する際も一定の安全性を担保することができます。
遠隔からの安全な通信実現
VPNはデータをやり取りする拠点間の物理的距離が遠い場合でも、安全な通信を実現します。物理的制約に縛られた専用回線は、拠点間の距離が長くなるほど導入に要するコストも増大していきます。しかし、既存の公衆回線を使用できるVPNにはそのような制約はなく、海外に展開している企業でも活用できるという強みがあります。
複数拠点での安全な通信実現
専用回線での対応が難しいケースとして、拠点が複数ある場合が挙げられます。企業によっては全国に複数の拠点を設置している場合もありますが、その拠点間すべてに専用回線を張り巡らせるのはコスト面からも不可能に近いでしょう。一方、VPN接続は複数拠点で使用してもコストが著しくかかるわけではありませんから、スピーディーに複数拠点間の安全な通信を実現できます。
VPNによるセキュリティ対策をなぜ考えるのか
VPNの重要性は、ますます高まっています。その理由は多岐に亘りますが、まずインターネットの接続環境さえあればサービスを享受できるクラウド技術や、スマホやタブレットなどの高性能なモバイル端末の登場によって、現代の社会はいつでもどこでも様々なデバイスから仕事ができるICT環境が整備されつつある点が挙げられます。
近年では、クラウドサービスやマルチデバイスの活用が拡大していること、個人の多様な働き方を推奨する社会の風潮や、新型コロナウイルスの感染予防対策としてテレワークを実施する企業が急速に増えたことも影響しているでしょう。
これらの社会的背景から、社員が個々の自宅から勤務するテレワークを導入する企業が世界中で増加しました。在宅勤務とはいえど、仕事をする上ではどうしても自社の重要なデータを扱う必要が出てきます。かといって、個々の社員の自宅から会社までのあいだに専用回線を逐一設置する方法は現実的ではありません。VPNは、そうした標準化されていない通信環境の中でも自社の情報資産を保護するため、多くの企業で導入を検討されるようになりました。
VPNによるセキュリティ対策で注意すべき弱点
上記のようにVPNは有用なセキュリティ対策ではありますが、完全にセキュリティリスクを排除できるわけではありません。そこで、VPNによるセキュリティリスク対策をする上で注意すべき弱点について解説します。
コストの問題
VPNは製品やサービスによってかかる費用や機能が異なるため、コストと品質のバランスを取るのが難しいという問題があります。そもそも、VPNは「インターネットVPN」「エントリーVPN」「IP-VPN」「広域イーサネットVPN」の4種類に分けられます。誰でも利用できるオープンネットワークを使うインターネットVPNは低コストで導入できますが、セキュリティの脆弱さや通信品質の不安定さが問題になりがちです。「エントリーVPN」「IP-VPN」「広域イーサネットVPN」の順でこうした品質面は改善されますが、同時にコストも増大していきます。それゆえ、VPNを導入する場合、そもそものVPNの種類をはじめ、業者やサービスの選択に際して、自社の予算と機能の折り合いをどこで付けるかを慎重に検討しなければなりません。
通信速度の問題
VPNは通信回線や通信データに様々なセキュリティ処理を施す都合上、通信速度に悪影響を及ぼしやすい点もデメリットと言えます。たとえば、テレワークを導入した企業の中には、始業時間に社員が一斉にVPN接続で社内システムにアクセスしようしたことで、回線の処理能力を超過してしまったケースもあります。
特に安価で使用できるインターネットVPNやエントリーVPNの場合は、多くのユーザーが利用するピークタイムの影響を受けやすく、通信速度が急に遅くなってしまう場合があります。クラウドサービスを利用したり、テレワークで業務をしたりする場合、通信環境の安定性や快適さは業務効率に直接影響します。ビデオ会議をする際も、音声が途切れがちになって相手が何を話しているのか分からないなど、通常業務に支障が出る可能性も低くはありません。ただし、これは安価で使用できるVPNに多く見られる問題で、IP-VPNや広域イーサネットVPNの場合は快適な通信が可能です。
依然として残るセキュリティリスクの問題
ここまで低価格なVPNの危険性について繰り返し警告してきました。しかし、IP-VPNや広域イーサネットVPNを導入すれば、セキュリティ面の問題が完全に解決するわけではありません。たとえ高いセキュリティを構築したとしても、利用者側の社員が認証情報の管理などを疎かにしてしまえば、それが悪用されてしまうリスクは生じます。あるいは、VPN環境を提供するベンダー事業者の中に悪意ある者が紛れ込んでいる可能性も否定できないでしょう。
そもそも、次々と新しいマルウェアが開発され、サイバー攻撃の巧妙化が進む中、もはや絶対のセキュリティなど存在しません。それゆえ、たとえ高価格・高性能なIP-VPNや広域イーサネットVPNを導入したとしても、様々な観点からセキュリティの改善に取り組まなければならないと言えます。
VPN以外で検討したいセキュリティ対策
高性能なVPNを導入したとしてもセキュリティリスクは依然として残ります。そのため、企業のIT担当者は、VPNのみに頼るのではなく、様々な観点からセキュリティ対策を講じなければなりません。実際に、セキュリティ対策にコストをかけている大企業でも、ランサムウェアをはじめとするマルウェアの被害や顧客情報の漏えいなどの不祥事が続出している中、企業のIT部門は可能な限りのセキュリティ体制を構築しなければいけません。
具体的には、VPNとは別建てでシステムや端末にマルウェア対策を施したり、認証基盤を強化したりする方法が考えられます。社員のセキュリティ意識に問題があると感じた場合は、改めて情報リテラシーの研修などを実施するのも大切です。
まとめ
VPNは物理的な専用回線に比べて簡単にセキュアな通信環境を構築できますが、一方で前述のような注意すべき弱点も存在します。特にテレワーク/リモートワークの普及によって通信速度が業務のボトルネックとなる事象は多くの企業で課題となっています。このような課題を解決する手法として、自社で利用するSaaSに対してはVPNを利用せずに直接インターネット経由でアクセスさせる例も増えています。ただ、そのような場合は併せて「HENNGE One」のようなIDaaSを利用した不正アクセス対策は必須となるでしょう。また、最近ではZscalerのようなアイデンティティ認識方プロキシ(IAP)をVPNの代わりに利用し、そのIdPとして「HENNGE One」を利用する例も増えてきています。
このように様々なソリューションを組み合わせたセキュリティ対策を講じることで、より安全なネットワークを構築できるでしょう。
