fbpx

VPNは安全とは言い切れない!セキュリティのリスクを徹底解説

  • このエントリーをはてなブックマークに追加

新型コロナウィルス感染症の拡大、及びそれに伴うテレワーク体制の構築で、一気に企業のVPN採用が広がりました。ただし、VPNは認知されていないだけで、米国国家機関も指摘する重大なセキュリティリスクをはらんでいます。本記事では該当のリスクや失敗事例、また必要な対策について徹底的に解説します。



VPNの脆弱性を防ぐには、ID認証だけでなく多要素認証が必要!

VPNとは何か?

VPNとは「Virtual Private Network」の略です。訳すると、「仮想の専用ネットワーク」となります。特定の人だけが使えるように、専用のネットワークを設定し、社内ネットワークから離れた場所からでも社内システムや機密情報などに安全にアクセスすることが可能になります。どこにいても、社内と同等の環境にアクセスできることで、時間や場所に縛られない、働き方の多様性が実現します。また、接続にあたっては、ユーザーの承認設定が必要になるなど、情報漏えいなどのリスクも少なく済みます。

VPNを通して通信するデータは暗号化され、外部から盗聴・改ざんできないように、鍵をかけることも可能です。暗号化はVPN専用ルータを通すため、個々のデバイスにかかる負担も軽減されます。とくに、大量のデータをやり取りする企業間においてもVPNはおすすめの仕組みと言えるでしょう。ただ、セキュリティ面において、いくつか重大なリスクが存在します。便利であると同時に、社員ひとりひとりが正しい認識をもつことが何よりも重要になります。そのためには、導入側がふさわしい対策と運用管理に努めましょう。

VPNを利用するシーン

働き方改革やコロナウイルスの影響によるテレワークが一般的になった昨今では、さまざまなシーンでVPNの利用が欠かせないソリューションとなりました。必要なシステムや情報に遠隔からリモートアクセスできることで、毎日出勤する必要がなくなります。たとえば、自宅で社内ネットワークに接続し、資料作成を行います。そのまま打ち合わせのために顧客先に向かい、その場で必要になった補足データや資料開示することも可能になるため、すべての作業が社外で可能となり、会社に戻る移動時間やコストの削減にもなるでしょう。

具体的なVPNの利用シーン

  • 自宅やシェアオフィスから、会社のメールや社内システムを使って業務を遂行する場合。
  • 社外から、社内ネットワークにある機密情報の参照が必要な場合。
  • 社内で作成した資料やデータを自宅などで編集・更新したい場合。

上記に加え、オフィスなど拠点間での接続にもVPNは効果的です。それぞれの拠点にVPNゲートウェイとよばれるVPNの接続口となる装置を設置し、このゲートウェイ同士の間にVPNの経路をつくります。こうすることで、それぞれの拠点のネットワーク同が常時接続されている状態になり、拠点内にいるユーザーはVPNの存在自体を意識することなく、ほかの拠点のネットワークを利用することができます。

VPNが生まれた背景

VPNが誕生する前、1980年代に企業のデジタル導入が始まると、機密性の高い情報保護などの必要性により、それまで使われていた公衆回線から独自の回線をもつことの需要が高まりました。そこで誕生したのがVPNの原型となる専用回線です。これにより、企業は高いセキュリティを保てるようになりました。ブロードバンドが普及する2000年以前で、通信には電話回線が利用されていた時代です。そのため、物理的に専用回線を設置する必要があり、これにはコストがかかることが難点でした。ブロードバンドが普及されはじめ、インターネット通信の高速化が進んだことで、インターネット回線を利用した仮想の専用回線の概念が生まれたのです。物理的に隔離されたところで敷設される専用線と異なり、「仮想的」であるVPNは、同じ回線を利用しながら、データを暗号化することで、盗聴や改ざんの危険性を減らすことができるのです。

VPN導入の失敗事例

VPNを導入すると、どこにいても社内ネットワークにアクセスすることができ、社員にとっては柔軟な働き方が可能となり便利で快適になります。また、専用線よりも低コストで導入できることもあり、一見導入リスクは少ないように思われがちです。ゆえに、導入後の運用を軽視し、セキュリティ面でのリスクが高まるケースも多々あります。

  • 社員教育の徹底不足により、社外から社内ネットワークにリモートアクセスすることへのセキュリティ認識が薄いため、カフェなどの公共スペースで盗み見の被害にあった。
  • 社外でのPCの置忘れや盗難による被害が発生し、企業情報や機密情報流出のリスクが高まった。
  • 社外に持ち出している間のセキュリティソフトの更新などに関する曖昧な運用ルールにより、個々のPCのセキュリティ対策が万全でなくなった。
  • VPNのこまめなアップデートやセキュリティバッチを怠り、システムの脆弱性が高まっているのを見落としてしまった。

これらのリスクを回避するため、導入後はさまざまな働き方のケースを考慮したうえで、運用ルールの徹底が必要です。また、社外で万が一セキュリティ事故が発生した場合の報告方法のルールなども併せて徹底する必要があるでしょう。場所や時間にとらわれないからこそ、さまざまなリスクに万全に備えて運用することが重要です。

セキュリティ意識の低さから情報漏えい

VPNを用いて、どこにいても社内環境にアクセスできることが当たり前のようになると、社員のセキュリティ意識が下がりがちになります。VPNを利用することは、あくまでも公衆回線を利用しているという認識を忘れがちになるのです。VPN接続自体は、高度なセキュリティが保たれる仕組みとなっていますが、全く情報漏洩などのリスクがなくなりわけではありません。VPNの失敗事例のパートでもあげたとおり、ほとんどのケースは、ユーザー側や運用側のセキュリティ意識の低さから起こるものです。ただし、逆にいうとユーザー側や運営側のセキュリティに依存して致命的なセキュリティリスクを生みかねない仕組みという事です。

たとえば、カフェなどの公共スペースで提供される無料Wi-Fiを利用しながら、VPNで社内ネットワークにアクセスする場合、セキュリティリスクが高いことは否定できません。特に無料Wi-FiとPCの通信情報が暗号化されていないと、受信用のアンテナを使って簡単にデータ内容を盗聴されるリスクがあります。万が一、個人情報が抜き取られてしまった場合、アカウントの不正利用や、なりすましなどによる被害に遭うことも想定されます。VPN接続に関するリスクにはさまざまなケースがあり、何かあった際に企業の責任が問われるのはもちろんのこと、社員が自己責任を負わざるを得ないこともあるでしょう。社外にPCを持ち出しVPNで社内ネットワークにアクセスすることは、便利であると同時に、いかに会社の機密情報が外部にさらされるリスクが高いかと点において、定期的な社員教育と運用管理者はリスク管理の徹底を実施することが必須です。

コストを重視して通信障害、業務に遅延

VPNプロバイダーには、大手からほとんど認知度のないような提供者まで様々あります。中には、通信の盗み見や改ざん、ウイルスを組み込む悪質なサービスもあるため、提供元が信頼できるサービスであることを確認することが必須となります。データが暗号化されているとはいえ、インターネットに接続される以上、情報漏洩などのリスクはゼロではありません。無料のVPNは、特にリスクが高く企業での利用は現実的ではありません。また、低価格のVPNは、通信が込み合う時間に遅延が多発するなど、作業の妨げになることも考えられます。トラブルが発生しても、修復までに時間がかかったり、カスタマーサポートの対応が不安定なケースもあるなど、低価格であると同時に、さまざまなデメリットが伴うことを覚えておきましょう。とくに、通信障害は企業の大きな損害に繋がりかねず、ある程度の費用がかかっても、安定した通信環境の確保は必要でしょう。

リテラシーの低さから顧客からクレーム

VPN導入時にわからないことが多いと、業者の言うままに進めてしまうこともあるかと思います。中途半端な知識をもとに決断するよりも、詳しい営業担当に任せておいたほうが確実だろうと思うかもしれませんが、それは間違いです。先に述べたように、プロバイダーにはさまざまな規模やサービス形態をもつ会社があり、また、営業担当においても、知識の質はまちまちです。自社の機密情報を守るセキュリティシステムに関わることは、導入する側もしっかり理解した上で判断をすることが重要です。とくに、費用面での制限がある場合は、価格を抑えても、必要なパフォーマンスが見込めるかを入念に確認しておきましょう。旧来の専用線からVPNに移行する場合は、必ずしもこれまで通りの回線速度が保たれるとは限りません。とくにエンドユーザーにとって不便がおきないよう、あらかじめ検証しクレームにならないように備えましょう。最悪の場合、専用線に戻すという事例も存在しています。とくに速度に関しては、クレームの一番の原因となりがちです。利用目的を考慮し、導入するVPNの種類もよく検討が必要でしょう。

ウィルスに感染するリスクも

VPNを導入することで、外部からのアクセスを防ぐことができるため、ウィルス感染のリスクは低くなると言えるでしょう。ただ、VPNを使っていても、ウィルス感染のリスクはゼロではありません。昨今の働き方改革により、リモートワークが急増しVPNの利用が大幅に拡大されたことで、システムの脆弱性を修正するアップデートが難しくなり、サイバー攻撃の対象になるケースもあります。導入時に、十分な事前準備なくリモートワークを開始してしまったせいで、もともと脆弱なシステムを採用しているケースも多くみられます。また、そもそもVPNプロバイダーが悪質業者で、あらかじめVPNソフトにウィルスを仕込んでいるケースもあります。導入の際は正しい専門知識をもとに、無名のプロバイダーを使う際は、信頼できる業者であるか確認を怠らないようにしましょう。

通信ログが漏れる可能性も

悪質なプロバイダーによるウィルス感染のリスクのほかに、通信ログの流出があります。通信ログとは、ネットワーク接続を行った際の記録です。この記録をたどることで、ユーザーがいつ通信を行ったか、どのようなWebサイトにアクセスしたかという情報を得ることができます。VPNに接続する際、一般的には、サービス提供元のサーバーを経由します。そのため、プロバイダーのもとには、ユーザーの通信内容が蓄積されるのです。もちろん、本来であれば、これらの記録は保管されることもなければ、盗み見されることもありません。しかし、悪質なプロバイダーは、ユーザーの通信記録を取得し、外部へ販売するなど悪徳行為に利用するケースもあるので注意が必要です。

米国国家機関でも警告

世界中でコロナによるリモートワークが実施されるようになってから、企業のシステム環境は今までとは違った体制が必要になっています。特に影響が大きい米国では、VPNを導入するにおいて、より強化なセキュリティ体制の徹底を呼び掛けています。

VPNに追加で対策が必要な事項

  • VPNの利用拡大により、より多くの脆弱性が発見されサイバー攻撃の標的となる。
  • VPNは24時間年中無休なので、最新のセキュリティ更新プログラムやパッチを行うことが困難になる。
  • 在宅勤務者を対象としたユーザー名とパスワードを盗むフィッシングメール攻撃の増加。

とくに、今までリモートワークを導入していなかった企業が、十分な知識や準備期間なくテレワーク実施の必要に迫られたケースも多く、こうした企業が対象となり、サイバー攻撃は世界中で急増しています。

多要素認証の必要性が叫ばれる

このような状況を回避するため、米国国家機関はVPNやネットワークインフラ機器、リモート接続で使用する機器では最新のセキュリティパッチを適用するとともに、全てのVPN接続で多要素認証を実装することを推奨しています。パスワードのみを必要とする一要素認証に対して、多要素認証とは、認証の3要素である知識情報(パスワード、PINコード、秘密の質問など)、所持情報(携帯電話番号、ハードウェアトークン、ICカードなど)、生体情報(指紋、声紋など)のうち、2つ以上を組み合わせて認証するものです。たとえば、昨今では、ユーザー名とパスワードに加えて、携帯番号などの所持情報を設定するケースも主流となりました。さらに、パスワード自体も、より強力で複雑なものし、ログインに一定回数失敗した場合はアクセスできないようにするなど、より厳重な対策が必要になります。


快適なテレワーク環境、 多要素認証ですぐ実現できます

 

 

  • このエントリーをはてなブックマークに追加

SNSでもご購読できます。