fbpx

VPNは安全とは言い切れない!セキュリティのリスクを徹底解説

  • このエントリーをはてなブックマークに追加

新型コロナウィルスの感染拡大、およびそれに伴うテレワーク体制の構築で、一気に企業のVPN採用が広がりました。ただし、VPNは認知されていないだけで、米国国家機関も指摘する重大なセキュリティリスクをはらんでいます。本記事ではVPNのリスクや失敗事例、また必要な対策について徹底的に解説します。



VPNの脆弱性を防ぐには、ID認証だけでなく多要素認証が必要!

VPNとは?

VPNとは「Virtual Private Network」の略です。日本語に訳しますと、「仮想の専用ネットワーク」となります。特定の人だけが使えるように、インターネット上に仮想の専用ネットワークを設定して安全な経路を確保した上で、社内のネットワークから離れた場所からでも社内システムや機密情報などに安全にアクセスすることが可能になります。どこにいても、社内と同等の環境にアクセスできることで、時間や場所に縛られない、働き方の多様性が実現します。VPN技術によりリモートワークが可能になったとも言えるでしょう。また、接続にあたっては、ユーザーの承認設定が必要になるなど、VPNを使用することにより情報漏えいなどのリスクも少なく済みます。

リモートアクセスやクラウド型サービスでは、データ編集の際は主にデータをダウウンロードした上で編集してからアップロードすることになりますが、VPNの場合には直接ネットワークにアクセスしている状態になるので、社内でも社外でも同様に直接編集することになります。VPNを通して通信するデータは暗号化され、外部から盗聴・改ざんできないように、鍵をかけることも可能です。暗号化はVPN専用ルータを通すため、個々のデバイスにかかる負担も軽減されます。とくに、大量のデータをやり取りする企業間においてもVPNはおすすめの仕組みと言えるでしょう。ただ、セキュリティ面において、いくつか重大なリスクが存在します。便利であると同時に、社員ひとりひとりが正しい認識をもつことが何よりも重要になります。そのためには、導入側がふさわしい対策と運用管理に努めましょう。

VPNのセキュリティを強化するゼロトラストという考え方。今だけゼロトラストの原理・原則や実現方法に関する資料を無料プレゼント中!

働き方改革やコロナウイルスの影響によるテレワークが一般的になった昨今では、さまざまなシーンでVPNの利用が欠かせないソリューションとなりました。必要なシステムや情報に遠隔からリモートアクセスできることで、毎日出勤する必要がなくなります。たとえば、自宅で社内ネットワークに接続し、資料作成を行います。そのまま打ち合わせのために顧客先に向かい、その場で必要になった補足データや資料開示することも可能になるため、すべての作業が社外で可能となり、会社に戻る移動時間やコストの削減にもなるでしょう。

VPNの利用シーン

  • 自宅やシェアオフィスから、会社のメールや社内システムを使って業務を遂行する場合。
  • 社外から、社内ネットワークにある機密情報の参照が必要な場合。
  • 社内で作成した資料やデータを自宅などで編集・更新したい場合。

上記に加え、オフィスなど拠点間での接続にもVPNは効果的です。それぞれの拠点にVPNゲートウェイとよばれるVPNの接続口となる装置を設置し、このゲートウェイ同士の間にVPNの経路をつくります。こうすることで、それぞれの拠点のネットワークが常時接続されている状態になり、統合され、1つのネットワークにすることができます。拠点内にいるユーザーはVPNの存在自体を意識することなく、ほかの拠点のネットワークを利用することができます。

VPNが生まれた背景

VPNが誕生する前、1980年代に企業のデジタル導入が始まりますと、機密性の高い情報保護などの必要性により、それまで使われていた公衆回線から独自の回線をもつことの需要が高まりました。そこで誕生したのがVPNの原型となる専用回線です。これにより、企業は高いセキュリティを保てるようになりました。ブロードバンドが普及する2000年以前で、通信には電話回線が利用されていた時代です。そのため、物理的に専用回線を設置する必要があり、これにはコストがかかることが難点でした。ブロードバンドが普及されはじめ、インターネット通信の高速化が進んだことで、インターネット回線を利用した仮想の専用回線の概念が生まれたのです。物理的に隔離されたところで敷設される専用線と異なり、「仮想的」であるVPNは、同じ回線を利用しながら、データを暗号化することで、盗聴や改ざんの危険性を減らすことができるのです。また専用回線は物理的な設備が必要となりコスト高になることから、その解決策としてもVPNの普及率は高まりました。

VPNの安全性と仕組み

セキュリティ対策の一つとして注目されているVPNですが、その安全性につながる仕組みとして、まずVPNには様々なタイプがあり、その中でもIP-VPNとインターネットVPNが主によく使われている2つになります。

IP-VPNは、インターネット以外のIP網「閉域IP網」を通して通信業者が所有する専用の仮想回線を通して直接アクセス元から接続されますので、外部からの盗聴の危険にさらされる心配がありません。コストはかかりますが安全で信頼性が高いので、金融機関や基幹用のネットワークで利用されています。

インターネットVPNは、既存のインターネット回線を使用するため、低コストで簡易に導入できるので、とても普及率の高いVPNのタイプになります。通信を行う拠点同士が仮想のトンネルを通して繋がり、なりすましを防ぐために認証を用いて送信側と受信側の確認をとります。そのトンネルを通るデータは盗聴や改ざんを防ぐために暗号化されて送信されます。トンネリングと暗号化により安全性の高い仕組みとなるわけです。

無料VPNのリスク

個人的なセキュリティ対策やリジョンコード無効化のために多くの人から無料VPNは利用されていますが、その多くが信頼できません。少なからずともサービス提供にあたり運用コストや設備費等の費用が発生します。それでは無料のVPNプロバイダーはどのようにして経費を負担しさらには収益を上げているのでしょうか。一般的なものには広告収入があります。VPN利用時に広告が表示されるだけであれば良いのですが、悪質なアドウェアの場合もあります。また、VPNプロバイダーはユーザーのオンラインアクティビティをサーバーに記録し保存できますので、そのデータを転売することもできます。個人情報や行動履歴が悪用され、犯罪に巻き込まれるケースもあり得ます。

VPN導入の失敗事例

VPNを導入しますと、どこにいても社内ネットワークにアクセスすることができ、社員にとっては柔軟な働き方が可能となり便利で快適になります。また、セキュリティが強化された仮想の専用線が確保されたVPNは、専用回線を設置するよりも低コストで導入できることもあり、手軽で一見導入リスクは少ないように思われがちです。ゆえに、導入後の運用を軽視し、セキュリティ面でのリスクが高まるケースも多々あります。

  • 社員教育の徹底不足により、社外から社内ネットワークにリモートアクセスすることへのセキュリティ認識が薄いため、カフェなどの公共スペースで盗み見の被害にあった。
  • 社外でのPCの置き忘れや盗難による被害が発生し、企業情報や機密情報流出のリスクが高まった。
  • 社外に持ち出している間のセキュリティソフトの更新などに関する曖昧な運用ルールにより、個々のPCのセキュリティ対策が万全でなくなった。
  • VPNのこまめなアップデートやセキュリティバッチを怠り、システムの脆弱性が高まっているのを見落としてしまった。

これらのリスクを回避するため、導入後はさまざまな働き方のケースを考慮したうえで、運用上のルール徹底、例えば、強力なパスワード設定や、使用していないときは必ずVPNを切るなどが必要です。また、社外で万が一セキュリティ事故が発生した場合の報告方法のルールなども併せて徹底する必要があるでしょう。場所や時間にとらわれないからこそ、さまざまなリスクに万全に備えて運用することが重要です。

VPNがなぜテレワークに適していないのか、詳細をホワイトペーパーにまとめております。
今だけ無料で公開していますので、是非ご覧ください。

セキュリティ意識の低さから情報漏洩

VPNを用いて、どこにいても社内環境にアクセスできることが当たり前のようになりますと、社員のセキュリティ意識が下がりがちになります。VPNを利用することは、あくまでも公衆回線を利用しているという認識を忘れがちになるのです。VPN接続自体は、高度なセキュリティが保たれる仕組みとなっていますが、完全なセキュリティというものはなく、全く情報漏洩などのリスクがなくなるわけではありません。VPNの失敗事例のパートでもあげたとおり、ほとんどのケースは、ヒューマンエラーとも言えるユーザー側や運営側のセキュリティ意識の低さから起こるものです。ただし、逆にいうとユーザー側や運営側のセキュリティに依存して致命的なセキュリティリスクを生みかねない仕組みという事です。

たとえば、カフェなどの公共スペースで提供される無料Wi-Fiを利用しながら、VPNで社内ネットワークにアクセスする場合、セキュリティリスクが高いことは否定できません。特に無料Wi-FiとPCの通信情報が暗号化されていないと、受信用のアンテナを使って簡単にデータ内容を盗聴されるリスクがあります。無料Wi-Fiの安全性の低さや、VPNのセキュリティの高さについての認知度が上がっても、その結びつきや更なる対策に結びつくにはまだ時間がかかりそうです。万が一、個人情報が抜き取られてしまった場合、アカウントの不正利用や、なりすましなどによる被害に遭うことも想定されます。VPN接続に関するリスクにはさまざまなケースがあり、何かあった際に企業の責任が問われるのはもちろんのこと、社員の自己責任になってしまうこともあるでしょう。社外にPCを持ち出しVPNで社内ネットワークにアクセスすることは、便利であると同時に、いかに会社の機密情報が外部にさらされるリスクが高いかという点において、定期的な社員教育と、運用管理者はリスク管理の徹底を実施することが必須です。

コストを重視して通信障害、業務に遅延

VPNプロバイダーには、大手からほとんど認知度のないような提供者まで様々あります。中には、通信の盗み見や改ざん、ウイルスを組み込む悪質なサービスもあるため、提供元が信頼できるサービスであることを確認することが必須となります。データが暗号化されているとはいえ、インターネットに接続される以上、情報漏洩などのリスクはゼロではありません。信頼できる有料サービスを選択して適切に運用することで、手軽にある程度までの安全性の確保が実現します。無料のVPNは、特にリスクが高く企業での利用は現実的ではありません。また、低価格のVPNは、通信が混み合う時間に遅延が多発するなど、作業の妨げになることも考えられます。トラブルが発生しても、修復までに時間がかかったり、カスタマーサポートの対応が不安定だったりするなど、低価格であると同時に、さまざまなデメリットが伴うことを覚えておきましょう。とくに、VPN同時接続の制限数により可用性の低下や、通信障害は業務続行の妨げになるなど、企業の大きな損害に繋がりかねず、ある程度の費用がかかっても、安定した通信環境の確保は必要でしょう。

他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

リテラシーの低さから顧客からクレーム

VPN導入時にわからないことが多いと、業者の言うままに進めてしまうこともあるかと思います。中途半端な知識をもとに決断するよりも、詳しい営業担当に任せておいたほうが確実だろうと思うかもしれませんが、それは間違いです。先に述べたように、プロバイダーにはさまざまな規模やサービス形態をもつ会社があり、また、営業担当においても、知識の質はまちまちです。自社の機密情報を守るセキュリティシステムに関わることは、導入する側もしっかり理解した上で判断をすることが重要です。とくに、費用面での制限がある場合は、価格を抑えても、必要なパフォーマンスが見込めるかを入念に確認しておきましょう。利用規約を読んだり評判を確認するなどぬかりない事前準備をすることが大切です。旧来の専用線からVPNに移行する場合は、必ずしもこれまで通りの回線速度が保たれるとは限りません。とくにエンドユーザーにとって不便がおきないよう、あらかじめ検証しクレームにならないように備えましょう。最悪の場合、専用線に戻すという事例も存在しています。とくに速度に関しては、クレームの一番の原因となりがちです。利用目的を考慮し、導入するVPNの種類もよく検討が必要でしょう。

コンピュータウィルスに感染するリスク

VPNを導入することで、外部からのアクセスを防ぐことができるため、ウィルス感染のリスクは低くなると言えるでしょう。ただ、VPNを使っていても、ウィルス感染のリスクはゼロではありません。VPNを通して通信するデータは暗号化されているので、たとえ情報が流出されたとしてもプライバシーの保護は確保されますが、基本的にはウィルスを見分けてはじき出すような機能はないので、万が一ユーザーがウィルスや詐欺サイトにアクセスした場合には、VPNによってウィルス感染を防ぐことはできません。さまざまな種類のVPNがあり、セキュリティに関してもそれぞれで異なります。昨今の働き方改革により、リモートワークが急増しVPNの利用が大幅に拡大されたことで、システムの脆弱性を修正するアップデートが難しくなり、サイバー攻撃の対象になるケースもあります。導入時に、十分な事前準備なくリモートワークを開始してしまったせいで、もともと脆弱なシステムを採用しているケースも多くみられます。また、そもそもVPNプロバイダーが悪質業者で、あらかじめVPNソフトにウィルスを仕込んでいるケースもあります。導入の際は正しい専門知識をもとに、無名のプロバイダーを使う際は、信頼できる業者であるか確認を怠らないようにしましょう。

通信ログが漏れる可能性もある

悪質なプロバイダーによるコンピュータウィルス感染リスクのほかに、通信ログの流出があります。通信ログとは、ネットワークに接続した際の記録です。ログを保存しているVPNを使用する場合、ユーザー情報の他にこの記録をたどることで、ユーザーがいつ通信を行ったか、どのようなWebサイトにアクセスしたかという情報を得ることができます。VPNに接続する際、一般的には、サービス提供元のサーバーを経由します。そのため、プロバイダーのもとには、ユーザーの通信内容が蓄積されるのです。もちろん、本来であれば、これらの記録は保管されることもなければ、盗み見されることもありません。しかし、悪質なプロバイダーは、ユーザーの通信記録を取得し、外部へ販売するなど悪徳行為に利用するケースもあるので注意が必要です。

米国国家機関が警告!

世界中でコロナによるリモートワークが実施されるようになってから、企業のシステム環境は今までとは違った体制が必要になっています。特に影響が大きい米国では、VPNの導入は必要であり、それにあたりより一層強化なセキュリティ体制の徹底を呼び掛けています。

VPNを狙った攻撃が増加中

  • VPNの利用拡大により、より多くの脆弱性が発見されサイバー攻撃の標的となる。
  • VPNは24時間稼働しており、最新のセキュリティ更新プログラムを適用することが困難になる。
  • 在宅勤務者を対象としたユーザー名とパスワードを盗むフィッシングメール攻撃の増加。

とくに、今までリモートワークを導入していなかった企業が、十分な知識や準備期間もなくテレワークの実施により必要に迫られてVPNを急遽導入したケースも多く、こうした企業が対象となり、サイバー攻撃は世界中で急増しています。トラブルに対応する管理者の業務にも影響を及ぼします。

多要素認証の必要性が叫ばれる

このような状況を回避するため、米国国家機関はVPNやネットワークインフラ機器、リモート接続で使用する機器では最新のセキュリティパッチを適用するとともに、全てのVPN接続で多要素認証を実装することを推奨しています。パスワードのみを必要とする一要素認証に対して、多要素認証とは、認証の3要素である知識情報(パスワード、PINコード、秘密の質問など)、所持情報(携帯電話番号、ハードウェアトークン、ICカードなど)、生体情報(指紋、声紋など)のうち、2つ以上を組み合わせて認証するものです。たとえば、昨今では、ユーザー名とパスワードに加えて、携帯番号などの所持情報を設定するケースも主流となりました。さらに、パスワード自体も、より強力で複雑なものにして、ログインに一定回数失敗した場合はアクセスできないようにするなど、より厳重な対策が必要になります。


快適なテレワーク環境、 多要素認証ですぐ実現できます

 

 

  • このエントリーをはてなブックマークに追加

SNSでもご購読できます。