仮想化技術によって疑似的な専用回線の構築を可能にするVPNは、比較的手軽に実施できるセキュリティ対策として多くの企業に活用されています。しかし、VPN接続によるセキュリティ対策は本当に安全といえるのでしょうか。本記事ではVPN接続の役割と、見落とされがちな弱点について解説していきます。実際のVPNの弱点を突かれてしまった事例とともに確認していきましょう。
またVPN接続の弱点を強化する対策や、VPN接続以外の安全な通信を実現するソリューションも解説しています。
VPNとは
VPN(Virtual Private Network)とは、公衆回線を仮想化技術によって疑似的に専用回線化する技術です。ユーザー自身の通信に一定のセキュリティを付与できるため、多くの企業が活用しています。
一般的にパスワードが設定されていないフリーWi-Fiなどは、何の対策も講じなければ通信した情報が外部から比較的容易に、閲覧されてしまうという、セキュリティ面のリスクがつきまといます。
ここで選択肢に上がるのがVPN接続と専用回線になります。専用回線は物理的な回線を引き、企業と通信先を接続する通信方法です。社内のユーザー以外は利用できないため、セキュリティ的に強固な選択肢といえます。また回線を占有できるため、通信速度も申し分ないでしょう。しかし、導入コストが高いことや、導入に時間がかかるデメリットがあります。
一方でVPN接続は擬似的な専用回線を作成する方法なので、セキュリティ面や通信速度では専用回線に劣ります。しかし、運用面を考えると専用回線よりも簡単に導入でき、導入までの時間が短いメリットがあります。
よって専用回線よりも手軽に導入できるVPN接続が選ばれるケースが多いです。VPN接続には以下の種類があります。
- インターネットVPN
- エントリーVPN
- IP-VPN
- 広域イーサネットVPN
インターネットVPNはインターネット上にトンネルを作って擬似的な専用回線を作成する方式です。
残りの3つの方式は閉域網(物理的な専用回線ではないクローズドネットワーク)を作成してVPNを実現します。インターネットVPNに比べて、費用やハイレベルな技術が求められますが、高いセキュリティを実現できる方式です。回線速度の保証や設定の自由度にそれぞれ違いがあります。
VPNにおける重要な技術
VPNは、主に「トンネリング」「カプセル化」「認証」「暗号化」という4つの機能によって成立しています。ここでは各機能の特徴について解説していきます。
トンネリング
インターネットは通常、不特定多数のユーザーが使う公衆回線を利用しています。トンネリングとはこの公衆回線の中に特定のユーザーしか使えない仮想的なトンネルを開通し、他のユーザーから隔絶することで、疑似的にクローズドなネットワークを可能にする技術です。トンネリングはVPNを可能にする最も基本的な機能といえます
パケットにアドレスを付与する「カプセル化」
カプセル化は仮想トンネル内を往来するデータの内容を外部から隠すために利用される技術です。元のオブジェクトデータを付与データでカプセルのように覆って隠す構造が名称の由来になっています。VPN接続で往来するデータはカプセル化され、トンネリングによって形成された仮想的な経路を通り抜けていくと言い換えると理解しやすいでしょう。このように2つの技術によって2重に他のユーザーから影響を受けない構造になっています。
認証機能
認証機能はVPNを使おうとしているユーザーが、正当な閲覧の権利を持った人物であるかどうかを確認するための仕組みです。仮想トンネルを利用するための認証情報を要求し、ユーザーが正しい認証情報を入力することで、利用を許可する役割を果たします。セキュリティを強化するために認証手続きを二重に行うように設定することもありますが、こちらは二段階認証と呼びます。
暗号化
暗号化は外部の攻撃者からデータを守るための最後の砦となる技術です。実は二段階認証によって完全に情報閲覧の可能性を排除することはできません。そこで、暗号キーを持った人物にしか情報を閲覧できないように暗号化を施します。VPNで用いられる暗号化は、主に簡易的な暗号化技術である「SSL-VPN」と、専用ソフトなどで全通信を暗号化して安全性を高める「IP sec-VPN」の2種類があります。
VPNによるセキュリティ対策のメリット役割
先述した上記のようにVPN接続は複数の技術によって成立しています。次に、これらの技術によってVPN接続によって付与されるセキュリティの効果について解説していきます。
盗み見・データ改ざん対策による安全な通信実現
VPNに施されたさまざまなセキュリティ対策は、第三者によるデータの盗み見や改ざんを防ぎ、セキュアな通信環境の実現に役立ちます。駅やカフェなどの無料Wi-Fiが最たる例ですが、不特定多数のユーザーが使う公衆回線は安全性が低いため重要なデータを扱う際には対策を施さなければなりません。VPNはスマホなどでも利用できるので、たとえば出張先や営業先から接続する際も一定の安全性を担保することができます。
遠隔からの安全な通信実現
VPNはデータをやり取りする拠点間の物理的距離が遠い場合でも、安全な通信を実現します。物理的制約に縛られた専用回線は、拠点間の距離が長くなるほど導入に要するコストも増大していきます。しかし、既存の公衆回線を使用できるVPNにはそのような制約はなく、海外に展開している企業でも活用できるという強みがあります。
複数拠点での安全な通信実現
専用回線での対応が難しいケースとして、拠点が複数ある場合が挙げられます。企業によっては全国に複数の拠点を設置している場合もありますが、その拠点間すべてに専用回線を張り巡らせるのはコスト面からも不可能に近いでしょう。一方、VPN接続は複数拠点で使用してもコストが著しくかかるわけではありませんから、スピーディーに複数拠点間の安全な通信を実現できます。
低コストでの通信のセキュリティ強化を実現
VPN接続は低コストで通信のセキュリティを強化できる技術です。先述した通り、専用回線を利用すると、高速な通信や高いセキュリティを実現できます。しかし、コストが高いため、安易に導入できるものではないでしょう。
VPN接続は低コストでありながら、セキュリティが強化された経路で通信を実施できます。VPN接続は専用回線と比較すると、通信速度やセキュリティレベルは低いです。しかし、専用回線よりも低コストであり、かつ通常の通信よりもセキュリティを強化できることがVPN接続の強みです。
VPNによるセキュリティ対策をなぜ考えるのか
VPNの重要性は、ますます高まっています。その理由は多岐にわたりますが、まずインターネットの接続環境さえあればサービスを享受できるクラウド技術や、スマホやタブレットなどの高性能なモバイル端末の登場によって、現代の社会はいつでもどこでもさまざまなデバイスから仕事ができるICT環境が整備されつつある点が挙げられます。
近年では、クラウドサービスやマルチデバイスの活用が拡大していること、個人の多様な働き方を推奨する社会の風潮や、新型コロナウイルスの感染予防対策としてテレワークを導入する企業が急速に増えたことも影響しているでしょう。
在宅で仕事をする際においても自社の重要なデータを扱う必要が出てきます。かといって、個々の社員の自宅から会社までのあいだに専用回線を逐一設置する方法は現実的ではありません。VPNは、そうした標準化されていない通信環境の中でも自社の情報資産を保護するため、多くの企業で導入を検討されるようになりました。
VPNは安全ではない?注意すべきリスク
上記のようにVPNは有用なセキュリティ対策ではありますが、完全にセキュリティリスクを排除できるわけではありません。そこで、VPNによるセキュリティリスク対策をする上で注意すべき弱点について解説します。
コストと安全性の問題
VPNは製品やサービスによってかかる費用や機能が異なるため、コストと品質のバランスを取るのが難しいという問題があります。先述したようにVPNは「インターネットVPN」「エントリーVPN」「IP-VPN」「広域イーサネットVPN」の4種類に分けられます。誰でも利用できるオープンネットワークを使うインターネットVPNは低コストで導入できますが、セキュリティの脆弱さや通信品質の不安定さが問題になりがちです。「エントリーVPN」「IP-VPN」「広域イーサネットVPN」の順でこうした品質面は改善されますが、同時にコストも増大していきます。それゆえ、VPNを導入する場合、そもそものVPNの種類をはじめ、業者やサービスの選択に際して、自社の予算と機能の折り合いをどこでつけるかを慎重に検討しなければなりません。
通信速度の問題
VPNは通信回線や通信データにさまざまなセキュリティ処理を施す都合上、通信速度に悪影響を及ぼしやすい点もデメリットといえます。たとえば、テレワークを導入した企業の中には、始業時間に社員が一斉にVPN接続で社内システムにアクセスしようしたことで、回線の処理能力を超過してしまったケースもあります。
特に安価で使用できるインターネットVPNやエントリーVPNの場合は、多くのユーザーが利用するピークタイムの影響を受けやすく、通信速度が急に遅くなってしまう場合があります。クラウドサービスを利用したり、テレワークで業務をしたりする場合、通信環境の安定性や快適さは業務効率に直接影響します。ビデオ会議をする際も、音声が途切れがちになって相手が何を話しているのか分からないなど、通常業務に支障が出る可能性も低くはありません。ただし、これは安価で使用できるVPNに多く見られる問題で、IP-VPNや広域イーサネットVPNの場合は快適な通信が可能です。
VPN機器の脆弱性を含むセキュリティリスクの問題
VPNが抱えるリスクをご紹介しましたが、IP-VPNや広域イーサネットVPNを導入すれば、セキュリティ面の問題が完全に解決するわけではありません。たとえ高いセキュリティを構築したとしても、利用者側の社員が認証情報の管理などを疎かにしてしまえば、それが悪用されてしまうリスクは生じます。あるいは、VPN環境を提供するベンダー事業者の中に悪意ある者が紛れ込んでいる可能性も否定できないでしょう。
そもそも、次々と新しいマルウェアが開発され、サイバー攻撃の巧妙化が進む中、もはや絶対のセキュリティなど存在しません。それゆえ、たとえ高価格・高性能なIP-VPNや広域イーサネットVPNを導入したとしても、さまざまな観点からセキュリティの改善に取り組まなければならないといえます。
加えてVPN接続に利用するVPN機器の脆弱性を突かれ攻撃を受けた事例は多いです。警察庁の資料によると、2022年のランサムウェア感染経路は全体のうち、6割がVPN機器の脆弱性を突かれたものでした。VPN機器に問題があり、攻撃や不正アクセスを許してしまうと、一瞬で企業全体に影響を及ぼします。脆弱性を取り除けるよう定期的なファームウェアアップデートによる対策が必要です。
参考:警察庁Webサイト
VPN接続利用時のセキュリティ対策
VPN接続利用時のセキュリティ対策として以下があります。
- エンドポイントセキュリティ
- 多要素認証
- 社内教育の徹底
- 運用ルールの設定
エンドポイントセキュリティ
エンドポイントセキュリティとは社員が利用するパソコンやスマートフォンに対して実施するセキュリティ対策です。
エンドポイントセキュリティが重要となる理由は、1台でも攻撃され、VPN接続を経由して社内ネットワークに不正アクセスをされてしまうと、被害が拡大するためです。多くの場合、各社員がパソコンやスマートフォンなどのデバイスを持つでしょう。つまり、社員のデバイスの数分だけエンドポイントが増えることになります。セキュリティリスクはエンドポイントの数だけ存在するため、1台1台のセキュリティ対策を整えることが大切です。
エンドポイントセキュリティ対策として、各デバイスでウイルス対策ソフトのインストールや、OSのアップデートを行いましょう。
多要素認証
多要素認証を利用することでVPN接続時の認証機能を強化できます。
先述した通り、VPN接続をする際には認証が必要です。認証が完了したユーザーを信用し、通信を許可する仕組みとなっています。しかし、この認証を攻撃者が突破してしまうと、好きなように通信をされてしまうため、対策が必要です。
多要素認証は攻撃者による認証を突破されにくくなるよう、認証を複数の要素で求める技術です。認証と聞くとアカウント情報(ユーザー名とパスワード)の入力を思い浮かべるのではないでしょうか。多要素認証ではこれに加え、ワンタイムパスワードの発行など、認証に必要な要素を追加します。
多要素認証により、攻撃者が認証を突破しにくくなる効果が期待できるため、セキュリティ強化が実現します。
社内教育の徹底
社内教育を徹底することもVPN接続を安全に利用するために必要です。
人的ミスによってセキュリティが突破されてしまう事例は多くあります。例として、パスワードを送るべきではない相手に送ってしまうケースや、デバイスを置き忘れて盗まれてしまうケースです。これらによりVPN接続を悪用されてしまうと、企業の信頼を大きく損ねることになります。
社内教育を徹底して社員のセキュリティ意識を高めましょう。セキュリティリスクの把握や、ベストプラクティスの理解をすることで、より安全なVPN接続の利用が実現します。
運用ルールの設定
運用ルールを設定することで、VPN接続を安全に利用できる仕組みを整える必要があります。
VPN接続は低コストでセキュリティ的に安全な経路で利用できるメリットがある反面、攻撃者に乗っ取られてしまうと被害が甚大化しやすいです。運用ルールを設定することで、人的ミスによるVPN接続のセキュリティリスクを減らせます。
- 定期的にデバイスのOSやセキュリティソフトのアップデートを行わせる
- ログを監視し、重要度ごとにアラートを設定する
- アラートが発生した際の連絡先を設定する
- 定期的にセキュリティポリシーを見直す
上記のような運用ルールを設定し、脆弱性や人的ミスの発生する確率を低くしていきましょう。
VPNのセキュリティリスクを狙われた事例
VPNは安全な通信経路を確保して行う通信です。しかし、先述した通りVPN接続にもセキュリティリスクが存在します。当項ではVPNのセキュリティリスクを突かれ、被害に遭った事例を紹介します。
- 大手ゲーム会社
- 大手電機会社
大手ゲーム会社の事例
大手ゲーム会社は2020年にVPN機器に対する攻撃を受け、結果として約16,000人分の顧客情報が流出しました。
同社はこの時期に、新型コロナウイルスの影響でリモートワークを推進していました。リモートワークをする社員が一気に増えた際に、旧型のVPN機器を利用したことで脆弱性が生じ、そこを攻撃者に狙われて被害となりました。
この事例から分かるように、VPN接続を利用する場合は以下のセキュリティ対策が必要です。
- 脆弱性がある機器を利用しない
- 脆弱性を補強できるアップデートを実施する
大手電機会社の事例
大手電機会社では2019年にVPN機器への不正アクセスを受けました。
こちらの事例もVPN機器の脆弱性を攻撃された事例です。こちらの情報が公開されたのは翌年の2020年でしたが、2019年3月ごろから侵入されていた可能性が高いと発表しています。
先述した事例と同様にVPN機器の脆弱性は大きなセキュリティリスクが伴うことを頭に入れておきましょう。それと同時に、不正アクセスの発見が遅くなると被害が大きくなります。早い段階で原因特定をできるように監視体制や運用体制を見直しておくべきです。
VPN以外で検討したいセキュリティ対策
高性能なVPNを導入したとしてもセキュリティリスクは依然として残ります。そのため、企業のIT担当者は、VPNのみに頼るのではなく、さまざまな観点からセキュリティ対策を講じなければなりません。実際に、セキュリティ対策にコストをかけている大企業でも、ランサムウェアをはじめとするマルウェアの被害や顧客情報の漏えいなどの不祥事が続出している中、企業のIT部門は可能な限りのセキュリティ体制を構築しなければいけません。
具体的には、VPNとは別建てでシステムや端末にマルウェア対策を施したり、認証基盤を強化したりする方法が考えられます。社員のセキュリティ意識に問題があると感じた場合は、改めて情報リテラシーの研修などを実施するのも大切です。
脱VPNを叶えるソリューション【HENNGE Connect】
HENNGE Connectは社内システムに対して安全に接続できるソリューションです。オンプレミス環境で運用している社内サービスに対し、インターネットの経路で接続できます。これによりVPN接続ではないにもかかわらず、安全な経路で接続可能です。
「インターネットの経路」と聞くと不安に感じる方も多いのではないでしょうか。HENNGE ConnectはシステムごとにパブリックURLを発行し、認証基盤(HENNGE Access Control)による認証を行います。認証されたユーザーのみがインターネットを介して、社内サービスに接続できる仕組みです。また認証基盤には多要素認証を設定できるため、外部ユーザーによるなりすましを防ぐ仕組みが整っています。
インターネットを直接利用することでVPNのデメリットであるコストや通信速度の低下、VPN機器のメンテナンスから解放されるメリットがあります。
下記URLから資料請求が可能ですので、ぜひご利用ください。
https://hennge.com/jp/service/one/idp/hennge-connect/
まとめ
VPNは物理的な専用回線に比べて簡単にセキュアな通信環境を構築できますが、一方で前述のような注意すべき弱点も存在します。特にテレワーク/リモートワークの普及によって通信速度が業務のボトルネックとなる事象は多くの企業で課題となっています。このような課題を解決する手法として、自社で利用するSaaSに対してはVPNを利用せずに直接インターネット経由でアクセスさせる例も増えています。ただ、そのような場合は併せて「HENNGE One」IDaaSのようなIDaaSを利用した不正アクセス対策は必須となるでしょう。また、最近ではZscalerのようなアイデンティティ認識方プロキシ(IAP)をVPNの代わりに利用し、そのIdPとして「HENNGE One」を利用する例も増えてきています。
このようにさまざまなソリューションを組み合わせたセキュリティ対策を講じることで、より安全なネットワークを構築していきましょう。
