新型コロナウィルスの感染拡大、およびそれに伴うテレワーク体制の構築で、一気に企業のVPN採用が広がりました。ただし、VPNは認知されていないだけで、米国国家機関も指摘する重大なセキュリティリスクをはらんでいます。本記事ではVPNのリスクや失敗事例、また必要な対策について徹底的に解説します。
VPNとは?
VPNとは「Virtual Private Network」の略です。日本語に訳しますと、「仮想の専用ネットワーク」となります。そのVPNに接続することをVPN接続といい、特定の人だけが使えるように、インターネット上に仮想の専用ネットワークを設定して安全な経路を確保した上で、社内のネットワークから離れた場所からでも社内システムや社内共有データ、機密情報などにも安全にアクセスすることが可能になります。VPN接続のためには接続したい支店などの拠点に専用ルーターを設置して、アクセス権限の与えられた人のみがどこにいても、社内と同等の環境にアクセスできることで、セキュリティの安全を守りつつも時間や場所に縛られない、働き方の多様性が実現します。VPN技術によりリモートワークが可能になったとも言えるでしょう。また、接続にあたっては、ユーザーの承認設定が必要になるなど、VPNを使用することにより情報漏えいなどのリスクも少なく済みます。
リモートアクセスやクラウド型サービスでは、データ編集の際は主にデータをダウウンロードした上で編集してからアップロードすることになりますが、VPNの場合には直接ネットワークにアクセスしている状態になるので、社内でも社外でも同様に直接編集することになります。VPNを通して通信するデータは暗号化され、外部から盗聴・改ざんできないように、鍵をかけることも可能です。暗号化はVPN専用ルータを通すため、個々のデバイスにかかる負担も軽減されます。とくに、大量のデータをやり取りする企業間においてもVPNはおすすめの仕組みと言えるでしょう。ただ、セキュリティ面において、いくつか重大なリスクが存在します。便利であると同時に、社員ひとりひとりが正しい認識をもつことが何よりも重要になります。そのためには、導入側がふさわしい対策と運用管理に努めましょう。
働き方改革やコロナウイルスの影響によるテレワークが一般的になった昨今では、さまざまなシーンでVPNの利用が欠かせないソリューションとなりました。必要なシステムや情報に遠隔からリモートアクセスできることで、毎日出勤する必要がなくなります。たとえば、自宅で社内ネットワークに接続し、資料作成を行います。そのまま打ち合わせのために顧客先に向かい、その場で必要になった補足データや資料開示することも可能になるため、すべての作業が社外で可能となり、会社に戻る移動時間やコストの削減にもなるでしょう。
VPNの利用シーン
- 自宅やシェアオフィスから、会社のメールや社内システムを使って業務を遂行する場合。
- 社外から、社内ネットワークにある機密情報の参照が必要な場合。
- 社内で作成した資料やデータを自宅などで編集・更新したい場合。
上記に加え、離れたオフィスなどの拠点間での接続にもVPNは効果的です。それぞれの拠点にVPNゲートウェイとよばれるVPNの接続口となる装置を設置し、このゲートウェイ同士の間にVPNの経路をつくります。こうすることで、それぞれの拠点のネットワークが常時接続されている状態になり、統合され、1つのネットワークにすることができます。拠点内にいるユーザーはVPNの存在自体を意識することなく、ほかの拠点のネットワークを利用することができます。
VPNが生まれた背景
VPNが誕生する前、1980年代に企業のデジタル導入が始まりますと、機密性の高い情報保護などの必要性により、それまで使われていた公衆回線から独自の回線をもつことの需要が高まりました。そこで誕生したのがVPNの原型となる専用回線です。これにより、企業は高いセキュリティを保てるようになりました。ブロードバンドが普及する2000年以前で、通信には電話回線が利用されていた時代です。そのため、物理的に専用回線を設置する必要があり、これにはコストがかかることが難点でした。ブロードバンドが普及されはじめ、インターネット通信の高速化が進んだことで、インターネット回線を利用した仮想の専用回線の概念が生まれたのです。物理的に隔離されたところで敷設される専用線と異なり、「仮想的」であるVPNは、同じ回線を利用しながら、データを暗号化することで、盗聴や改ざんの危険性を減らすことができるのです。また専用回線は物理的な設備が必要となりコスト高になることから、その解決策としてもVPNの普及率は高まりました。
VPNの安全性と仕組み
VPNにはさまざまな種類があり、主にIP-VPNとインターネットVPNの2種類に分けることができます。
IP-VPN(IP Virtual Private Network)とは、プロバイダなどの通信事業者が独自に持つ閉域IP(Internet Protocol)ネットワークを利用して、その通信業者と契約の上で利用でき、それ以外の第三者は接続できない閉ざされたネットワークです。そのためインターネットVPNで用いられている暗号化は必要なく、通信速度がより速いものとなります。安全性やセキュリティの面ではインターネットVPNよりも信頼性が高いと言えます。
インターネットVPNは、インターネットの環境があれば簡単に低いコストですぐに利用できます。IP-VPNに比べてかなりコストをおさえて導入可能なため、認知度も高くもっとも普及しているVPNのタイプになります。企業の拠点間を結ぶネットワークとしてはもちろん、もっとも活用されているのはリモートアクセスで、外出の多い営業職や昨今の働き方改革における在宅勤務においては必須のものとなっているでしょう。ただし誰でも接続可能なインターネット回線を使用するので、不正アクセスなどの攻撃に合う危険性があります。そのためセキュリティ上安全な通信が行われるために、「トンネリング」「カプセル化」「認証」「暗号化」によって情報が守られるようになっています。データの送受信のために仮想上のトンネルを作り、暗号化したデータをカプセルの中に入れて鍵をかけて保護し、送受信者の双方が正しい相手であることが承認されることで、セキュリティが保たれる仕組みになっています。
VPNのプロトコルと安全性
プロトコルとは、通信するうえでの規約のことです。様々な種類の通信プロトコルが存在し、よく知られているところでは、IP、HTTP、FTP、SMTPなどです。
・IP (Internet Protocol) インターネット通信プロトコル
・HTTP (Hyper Text Transfer Protocol) ホームページ閲覧プロトコル
・FTP (File Transfer Protocol) ファイルの送受信プロトコル
・SMTP (Simple Mail Transfer Protocol) メールの送信プロトコル
VPNのプロトコルにも種類があり、使用するうえでプロトコルに従うことで通信が成立します。それぞれ接続の安全性や安定性、速度に違いがあります。主なところではPPTP、L2TP/IPsec、IKEv2、OpenVPNなどがあります。
・PPTP (Point-to-Point Tunneling Protocol)VPN確率当初から使われている古いプロトコルで、接続が早く互換性が高いがセキュリティ上の脆弱性があり、安全性がほぼ最低レベルである。
・L2TP/IPsec (Layer 2 Tunneling Protocol)L2TPでは暗号認証の機能がないため、セキュリティシステムとしIPsecとの併用になるため、データ処理が2つの過程になることにより通信速度が遅い。PPTPよりは安全性が高い。
・IKEv2 (Internet Key Exchange Version2)モバイルデバイス向けでは最も信頼性が高く、安定していて、セキュリティ性も高く高速であるが、対応端末が限定されている。
・OpenVPN (Secure Socket Tunneling Protocol)比較的新しいプロトコルで人気が高く、オープンソースで常に更新されているのが特徴的である。安全性が高く速度も速い。
無料VPNのリスク
個人的なセキュリティ対策やリジョンコード無効化のために多くの人から無料VPNは利用されていますが、その多くが信頼できません。少なからずともサービス提供にあたり運用コストや設備費等の費用が発生します。それでは無料のVPNプロバイダーはどのようにして経費を負担しさらには収益を上げているのでしょうか。一般的なものには広告収入があります。VPN利用時に広告が表示されるだけであれば良いのですが、悪質なアドウェアの場合もあります。また、VPNプロバイダーはユーザーのオンラインアクティビティをサーバーに記録し保存できますので、そのデータを転売することもできます。個人情報や行動履歴が悪用され、犯罪に巻き込まれるケースもあり得ます。
VPN導入の失敗事例
VPNを導入しますと、どこにいても社内ネットワークにアクセスすることができ、社員にとっては柔軟な働き方が可能となり便利で快適になります。また、セキュリティが強化された仮想の専用線が確保されたVPNは、専用回線を設置するよりも低コストで導入できることもあり、手軽で一見導入リスクは少ないように思われがちです。ゆえに、導入後の運用を軽視し、セキュリティ面でのリスクが高まるケースも多々あります。
- 社員教育の徹底不足により、社外から社内ネットワークにリモートアクセスすることへのセキュリティ認識が薄いため、カフェなどの公共スペースで盗み見の被害にあった。
- 社外でのPCの置き忘れや盗難による被害が発生し、企業情報や機密情報流出のリスクが高まった。
- 社外に持ち出している間のセキュリティソフトの更新などに関する曖昧な運用ルールにより、個々のPCのセキュリティ対策が万全でなくなった。
- VPNのこまめなアップデートやセキュリティバッチを怠り、システムの脆弱性が高まっているのを見落としてしまった。
これらのリスクを回避するため、導入後はさまざまな働き方のケースを考慮したうえで、運用上のルール、例えば、強力なパスワード設定や、使用していないときは必ずVPNを切るなどを徹底することが必要です。また、社外で万が一セキュリティ事故が発生した場合の報告方法のルールなども併せて徹底する必要があるでしょう。場所や時間にとらわれないからこそ、さまざまなリスクに万全に備えて運用することが重要です。
セキュリティ意識の低さから情報漏洩
VPNを用いて、どこにいても社内環境にアクセスできることが当たり前のようになりますと、社員のセキュリティ意識が下がりがちになります。VPNを利用することは、あくまでも公衆回線を利用しているという認識を忘れがちになるのです。VPN接続自体は、高度なセキュリティが保たれる仕組みとなっていますが、完全なセキュリティというものはなく、全く情報漏洩などのリスクがなくなるわけではありません。情報漏洩の原因として、紛失・置き忘れがトップで、誤操作、不正アクセスと続きます。VPNの失敗事例のパートでもあげたとおり、ほとんどのケースは、ヒューマンエラーとも言えるユーザー側や運営側のセキュリティ意識の低さから起こるものです。ただし、逆にいうとユーザー側や運営側のセキュリティに依存して致命的なセキュリティリスクを生みかねない仕組みという事です。
たとえば、カフェなどの公共スペースで提供される無料Wi-Fiを利用しながら、VPNで社内ネットワークにアクセスする場合、セキュリティリスクが高いことは否定できません。特に無料Wi-FiとPCの通信情報が暗号化されていないと、受信用のアンテナを使って簡単にデータ内容を盗聴されるリスクがあります。無料Wi-Fiの安全性の低さや、VPNのセキュリティの高さについての認知度が上がっても、その結びつきや更なる対策に結びつくにはまだ時間がかかりそうです。万が一、個人情報が抜き取られてしまった場合、アカウントの不正利用や、なりすましなどによる被害に遭うことも想定されます。VPN接続に関するリスクにはさまざまなケースがあり、何かあった際に企業の責任が問われるのはもちろんのこと、社員の自己責任になってしまうこともあるでしょう。社外にPCを持ち出しVPNで社内ネットワークにアクセスすることは、便利であると同時に、いかに会社の機密情報が外部にさらされるリスクが高いかという点において、定期的な社員教育と、運用管理者はリスクマネージメントの徹底を実施することが必須です。
コストを重視して通信障害、業務に遅延
VPNプロバイダーには、大手からほとんど認知度のないような提供者まで様々あります。中には、通信の盗み見や改ざん、ウイルスを組み込む悪質なサービスもあるため、提供元が信頼できるサービスであることを確認することが必須となります。データが暗号化されているとはいえ、インターネットに接続される以上、情報漏洩などのリスクはゼロではありません。信頼できる有料サービスを選択して適切に運用することで、手軽にある程度までの安全性の確保が実現します。無料のVPNは、特にリスクが高く企業での利用は現実的ではありません。また、低価格のVPNは、通信が混み合う時間に遅延が多発するなど、作業の妨げになることも考えられます。トラブルが発生しても、修復までに時間がかかったり、カスタマーサポートの対応が不安定だったりするなど、低価格であると同時に、さまざまなデメリットが伴うことを覚えておきましょう。とくに、VPN同時接続の制限数により可用性の低下や、通信障害は業務続行の妨げになるなど、企業の大きな損害に繋がりかねず、ある程度の費用がかかっても、安定した通信環境の確保は必要でしょう。
リテラシーの低さから顧客からクレーム
VPN導入時にわからないことが多いと、業者の言うままに進めてしまうこともあるかと思います。中途半端な知識をもとに決断するよりも、詳しい営業担当に任せておいたほうが確実だろうと思うかもしれませんが、それは間違いです。思わぬ導入ミスを起こしかねません。先に述べたように、プロバイダーにはさまざまな規模やサービス形態をもつ会社があり、また、それらの会社の営業担当においても、知識の質はまちまちです。自社の機密情報を守るセキュリティシステムに関わることは、導入する側もしっかり理解した上で判断をすることが重要です。とくに、費用面での制限がある場合は、価格を抑えても、必要なパフォーマンスが見込めるかを入念に確認しておきましょう。利用規約を読んだり評判を確認するなどぬかりない事前準備をすることが大切です。旧来の専用線からVPNに移行する場合は、必ずしもこれまで通りの回線速度が保たれるとは限りません。とくにエンドユーザーにとって不便がおきないよう、あらかじめ検証しクレームにならないように備えましょう。最悪の場合、専用線に戻すという事例も存在しています。とくに速度に関しては、クレームの一番の原因となりがちです。利用目的を考慮し、導入するVPNの種類もよく検討が必要でしょう。
コンピュータウィルスに感染するリスク
VPNを導入することで、外部からのアクセスを防ぐことができるため、ウィルス感染のリスクは低くなると言えるでしょう。ただ、VPNを使っていても、ウィルス感染のリスクはゼロではありません。VPNを通して通信するデータは暗号化されているので、たとえ情報が流出されたとしてもプライバシーの保護は確保されますが、基本的にはウィルスを見分けてはじき出すような機能はないので、万が一ユーザーがウィルスや詐欺サイトにアクセスした場合には、VPNによってウィルス感染を防ぐことはできません。さまざまな種類のVPNがあり、セキュリティに関してもそれぞれで異なります。昨今の働き方改革により、リモートワークが急増しVPNの利用が大幅に拡大されたことで、システムの脆弱性を修正するアップデートが難しくなり、サイバー攻撃の対象になるケースもあります。導入時に、十分な事前準備なく慌ててリモートワークを開始してしまったせいで、もともと脆弱なシステムを採用しているケースも多くみられます。また、そもそもVPNプロバイダーが悪質業者で、あらかじめVPNソフトにウィルスを仕込んでいるケースもあります。導入の際は正しい専門知識をもとに、無名のプロバイダーを使う際は、信頼できる業者であるかの確認を怠らないようにしましょう。
通信ログが漏れる可能性もある
悪質なプロバイダーによるコンピュータウィルス感染リスクのほかに、通信ログの流出があります。通信ログとは、ネットワークに接続した際の記録です。ログを保存しているVPNを使用する場合、ユーザー情報の他にこの記録をたどることで、ユーザーがいつ通信を行ったか、どのようなWebサイトにアクセスしたかという情報を得ることができます。VPNに接続する際、一般的には、サービス提供元のサーバーを経由します。そのため、プロバイダーのもとには、ユーザーのアクセス記録などの通信内容が蓄積されるのです。もちろん、本来であれば、プロバイダーはそれらの通信ログを一切保持しないことになっていて、保管されることもなければ、盗み見されることもありません。しかし、悪質なプロバイダーは、ユーザーの通信記録を取得し、外部へ販売するなど悪徳行為に利用するケースもあるので注意が必要です。
米国国家機関が警告!
世界中でコロナによるリモートワークが実施されるようになってから、企業のシステム環境は今までとは違った体制が必要になっています。特に影響が大きい米国では、VPNの導入は必要であり、それにあたりより一層強化なセキュリティ体制の徹底を呼び掛けています。
VPNを狙った攻撃が増加中
- VPNの利用拡大により、より多くの脆弱性が発見されサイバー攻撃の標的となる。
- VPNは24時間稼働しており、最新のセキュリティ更新プログラムを適用することが困難になる。
- 在宅勤務者を対象としたユーザー名とパスワードを盗むフィッシングメール攻撃の増加。
昨今ではテレワークの推奨によるリモートワークの増加とともにVPNの利用が増えています。自宅などの社外から社内のネットワークに安全に接続するためのツールとしてのVPNですが、しかしそのVPNを実現するための機器の脆弱性を狙って悪用するサイバー攻撃が増えています。ベンダーにより直ちにその脆弱性は修正され、バージョンアップすることによって改善されるように対策が取られても、使用者側ですぐにその更新作業が実行できずに遅れてしまうと、それら攻撃の被害を受けるという事態が起きてしまいます。また、在宅勤務者に対するパソコンやネットワークを使用するうえでのルールが曖昧なままで、個々のパソコンやソフトウェアの更新作業が遅れてしまい、最新の攻撃への対策が不十分となり、詐欺メールを受信してしまった場合、その中のリンクから詐欺サイトへ誘導され、アカウント情報やクレジットカード情報などの重要な個人情報が盗み出だされてしまうフィッシング詐欺の被害も増加しています。
とくに、今までリモートワークを導入していなかった企業が、十分な知識や準備期間もなくテレワークの実施により必要に迫られてVPNを急遽導入したケースも多く、こうした企業が対象となり、サイバー攻撃は世界中で急増しています。トラブルに対応する管理者の業務にも影響を及ぼします。
多要素認証の必要性が叫ばれる
このような状況を回避するため、米国国家機関はVPNやネットワークインフラ機器、リモート接続で使用する機器では最新のセキュリティパッチを適用するとともに、全てのVPN接続で多要素認証を実装することを推奨しています。パスワードのみを必要とする一要素認証に対して、多要素認証とは、認証の3要素である知識情報(パスワード、PINコード、秘密の質問など)、所持情報(携帯電話番号、ハードウェアトークン、ICカードなど)、生体情報(指紋、声紋など)のうち、2つ以上を組み合わせて認証するものです。たとえば、昨今では、ユーザー名とパスワードに加えて、携帯番号などの所持情報を設定するケースも主流となりました。さらに、パスワード自体も、より強力で複雑なものにして、ログインに一定回数失敗した場合はアクセスできないようにするなど、より厳重な対策が必要になります。
VPNとウイルスソフトを併用する
VPNの導入によりセキュリティ対策は完璧だと言われたり、ウイルス対策ソフトをインストールしていることによりすべての脅威から守られているような安心感を得られたりしますが、実際にはそれぞれの得意分野や役割分担のようなものがあります。VPNもウイルスソフトもともに「なりすまし」の脅威を防止してくれますが、その防止策がそれぞれ違う場所で働きます。
VPNでは、ネットワークの入り口で監視したり、データを暗号化することでプライバシーを保護し、情報の盗難や改ざんを防ぐことが可能ですが、ウイルスや詐欺サイト見分けて阻止する機能はありません。誤ってウイルス感染するウェブサイトにアクセスしてしまい、ウイルスのプログラムがVPNを通過してPCに入り込んでしまった場合には有効ではありません。
ウイルス対策ソフトでは、デバイスで受信するデータを監視し、悪意あるあらゆるプログラムを阻止することが可能です。マルウェアをはじき出し、ダウンロードされたものが脅威を含むものである場合には阻止してくれますが、通信されるデータの暗号化はしないので、直接的にデータやプライバシーを保護することには有効ではありません。
VPNとウイルス対策ソフトとの両方ともを組み合わせて使用することでで最高レベルセキュリティを手に入れることがが可能になります。
VPNで安全性を強化
セキュリティに絶対的なものはありません。VPNの導入に関していえば、パソコンや通信を使用する際の一部分であるネットワークという限定された領域に対するセキュリティ対策の一つになることができます。VPNの中でも専用回線を使用するIP-VPNは安全性とさらには安定性をも確保できますが、コストが高く、誰もが導入できる方法ではないと言えます。インターネットVPNではトンネリングや暗号化などによりセキュリティを強化していますが、それでも一般的なインターネット回線を使用するわけなので、コストも低く導入しやすいですが、一般的に利用できる回線を使用しているところに注意を払う必要があるでしょう。VPNをよく理解して正しく適切に利用し、さらにあらゆる方面からのリスクを考慮したうえで他の対策を併用するなどにより、トータル的に強固なセキュリティ対策手に入れましょう。