VPNのセキュリティは安全ではない？ VPNの仕組みとリスク対策について解説

VPNのセキュリティの仕組み

VPN接続は、本社や拠点となるオフィスに専用のルーターを接続し、公衆回線を通じて通信を行います。この際に、セキュリティ対策の一つとして有用な機能が「トンネリング」です。

トンネリングとは、データ送信者とデータ受信者の間に、トンネルのように閉鎖された仮想通信路を構築する手法です。そのため、VPNで通信すると、情報漏えいやウイルスの侵入を防ぎやすくなります。

トンネリングには、「カプセル化」「暗号化」「認証」といった仕組みが利用されます。これは、発信者や受信者、データ内容などを解読されないようにカプセルに包み込み、鍵をかけてやりとりをするイメージです。特定のユーザーにのみ送受信可能な認証機能が備えられているため、第三者の解読は不可能になります。

また、VPNの原理に近いものとして「専用線」が挙げられます。専用線は本社と拠点を一対一でつなげる方法で、セキュリティが非常に高いというメリットがありますが、拠点間で接続できないほか、本社と拠点をつなぐ距離の長さに比例してコストが高くなるデメリットがあります。

一方、VPNは本社を介さない拠点同士での接続が可能で、距離によるコストの変動もないことなどから、導入する企業が増えています。

VPNは本当に安全なのか？

VPNは大きく4種類に分類されますが、既存の通信回線、または限られたユーザーのみ使用可能な「閉域網（クローズドネットワーク）」のどちらを利用するかによっても、セキュリティリスクは異なります。

例えば「インターネットVPN」はコストを抑えることができますが、誰もが利用できるインターネット回線を利用するため、セキュリティ面で不安が残ります。高いレベルのセキュリティを構築するには、通信事業者が独自に構築した閉域網を利用する「IP-VPN」や「エントリーVPN」、セキュリティ環境を自由に構築可能な「広域イーサネット」の利用がおすすめです。

しかし、閉域網を利用したVPN環境を導入したからといって、情報漏えいのリスクを100%避けられるとは言い切れません。「接続するネットワークやサーバーが信頼のおける環境ではない」「運用方法に問題が生じた」「セキュリティリスクに対しての認識不足が社内で発生した」など、さまざまな原因によってセキュリティが脆弱（ぜいじゃく）な状況に陥ることもあります。

VPN接続とは？ 安全なネットワークを実現するVPNの仕組みと活用法を初心者向けに分かりやすく解説

VPN機器そのものの脆弱性

2019年から2020年にかけて、複数社のVPN機器の脆弱性が報告され、それを狙ったサイバー攻撃が発生しました。この問題は、本来メーカー側からリリースされたアップデートにより解決できるものでしたが、導入企業側のアップデートが遅れ、脆弱性を放置したまま運用していたことがサイバー攻撃を受けるきっかけとなったようです。

このようなケースの対策には、導入したVPN機器の脆弱性についての報告があるかを確認することが大切です。これらの情報は、JPCERT/CCをはじめとする信頼性の高い機関やベンダーから提供されます。利用しているVPN機器が報告されていた場合、アップデートを実行することはもちろんですが、過去にサイバー攻撃を受けた形跡がないかどうか調査することも重要です。

テレワーク端末のマルウェア感染

VPNのセキュリティ対策というと通信経路を注視しがちですが、通信端末にも気を配らなければなりません。暗号化された通信はプライバシーの保護には役立つものの、アンチウイルスソフトのようにウイルスを発見して排除するような機能は持ち合わせていません。そのため、端末がウイルスに感染しないように常に気を配る必要があります。

ウイルスに感染した端末をそのままVPNから社内ネットワークに接続してしまった場合、社内ネットワーク全体に感染が広がる恐れがあります。また、端末に機密事項などの重要なデータが残されている場合、マルウェアの感染によって不正取得されてしまう危険性があるでしょう。それらを防ぐために、各ユーザーの端末ごとにセキュリティ対策を行う必要があります。

無料VPNや公衆回線の利用

オープンネットワークを利用する「インターネットVPN」は、場所を問わず簡単にネットワークに接続できるうえに、構築コストがあまりかからないことから、無料提供されている場合もあります。ただし、これらの中には「通信が暗号化されていない」「ログデータを記録される可能性がある」など、適切に運営されていない可能性があるものもあるため注意が必要です。

また、カフェやホテル、駅などでフリーWi-Fiを提供している店舗や施設もありますが、このような公衆回線を利用する際にも個人情報やトラフィックの流出といった情報漏えいやトラブルに巻き込まれる可能性が高まります。

さらに、無料または低価格のVPNを利用すると、混雑する時間帯では通信速度が低下してしまうなど、通信障害が発生することも少なくありません。安定した動作環境を求めるのであれば、無料VPNやフリーWi-Fiの利用は選択肢から外すことをおすすめします。

VPN機器へのサイバー攻撃例

2020年8月、米国のメーカー製のVPN機器を導入していた日本国内外の900社以上からVPN情報などが流出するサイバー攻撃が発生しました。同社のVPN機器は、2019年4月ごろに脆弱性が指摘されており、同社はセキュリティパッチをリリースし各企業にアップデートを行うよう注意喚起をしていました。しかし、一部の企業では脆弱性の高い更新前のVPN機器を使用し続けていたことで、情報漏えいにつながる一因となってしまいました。

ログイン情報の管理不足による不正アクセス

2018年、複数のオンラインゲームのタイトルをリリースする日本企業の子会社において、VPNを経由した同社サーバーへの不正アクセスが確認されました。ゲームユーザーの個人情報漏えいは確認されませんでしたが、実に13タイトルものゲームがサービスを停止する事態となり、企業は大きな損失を負いました。原因は、ビジネスチャットツールのログからVPNのログインに関する情報が収集され、悪用されたと報告されています。

自社に合わせたVPNを選択

VPNは、低コストで構築可能なインターネットVPNや閉域網を利用するIP-VPNなど、さまざまな種類があります。さらにVPNを提供する企業は、大手から中堅・中小企業まで多岐にわたっており、提供元の企業が信頼に値するかを事前に確認することで、導入後のトラブルを軽減させることができるでしょう。

例えば、仮にセキュリティ対策への安全性が担保されていたとしても、万が一トラブルが発生した際の対応が不十分であったり、修復に時間がかかったりなど、通常業務に支障が出ないかどうか把握しておくべきでしょう。

また、コストがかからないことを売り文句にしているVPNの場合、通信速度などのサービス品質保証に難があることも少なくありません。一般的に、通信回線サービスには通信速度を保証しない「ベストエフォート型」と、ある程度の保証がある「帯域保証（確保）型」の2種類がありますが、前者の場合は利用価格とサービス品質が比例していることも多いため注意が必要です。
コストを優先して考慮するのではなく、自社の規模やVPNの用途、サポート体制の有無などに合わせて導入を決定しましょう。

認証システムの強化

VPN利用時には、不正にログインされないように強固な認証システムを使う必要があります。

例えば、ログイン時にはスマートフォンなどの端末による二段階認証を取り入れることで、ログインIDとパスワードのみよりも不正ログインをされにくい形で認証手続きを求めることができます。

二段階認証には端末上での承認を行う方式や、端末に表示される番号を入力する方式などがあり、運用フローを踏まえたうえで導入することとなります。

運用管理や保守の徹底

社内ネットワークを適切に運用するためには、VPNを導入するだけでなく、運用管理もしっかりと行いましょう。

例えば、テレワークやコワーキングスペースでの働き方を推奨するならば、社用端末の持ち出しや社内ネットワークへの接続時のルールを明確にしておくことが必要です。具体的には、「端末内に不要な社内データを保存しない」「万が一紛失や盗難に遭った際のためにデバイスや記憶媒体に暗号化を施す」「パスワードは可能な限り複雑で悪用されにくいものに設定する」「アンチウイルスソフトなどセキュリティ対策ソフトを各デバイスにインストールする」などが考えられます。

また、管理するサーバーや貸し出す通信デバイス、利用しているソフトウェアなどは常に最新の状態にアップデートすることも大切です。アップデートすることにより、安定してデバイスやソフトウェアを利用できるほか、バグや脆弱性の修正パッチとして機能する場合もあります。そのため、定期的にバージョンを確認しましょう。

さらに、ペーパーレス化や電子化によって管理した文書をシステムでしっかり保管するなど、VPN導入前に体制を整えておくことも大切です。

ペーパーレス化の詳しいメリットやデメリットについては「ペーパーレス化とは？　メリット・デメリットや導入効果を解説」の記事を、文書管理をシステムで保管するには「文書管理とは？ 社内文書を整理し業務効率向上を図るポイントをご紹介」の記事をご参照ください。

ペーパーレス化とは？　メリット・デメリットや導入効果を解説

文書管理とは？ 社内文書を整理し業務効率向上を図るポイントをご紹介

端末利用者のセキュリティ意識の向上

これまで解説したトラブルの内容には、VPN機器や各種デバイスが原因のケースがありました。しかしそれらの対策を講じても、VPNを利用するユーザーがセキュリティに対する意識を高めなければ、結果としてセキュリティリスクを高めることとなります。

例えば、トラブルの要因には「無料のVPNの利用は通信が暗号化されていない場合がある」「端末のセキュリティソフトの更新をおろそかにする」などが挙げられます。これらはVPN機器やデバイスが直接的な要因なのではなく、利用するユーザーが少し意識すれば避けられるものです。トラブルを少しでも回避するためには、社員それぞれがセキュリティ対策に対する意識を高めることが必要です。

場所を選ばずに働けるテレワークやサテライトオフィスを活用した働き方は便利ではあるものの、企業の機密情報が漏えいする危険性を高めるということを、社内教育を通じて周知させることが重要です。

VPNサービス（O-CNET）

業種や業態、規模に関係なく要望に応える各種ネットワークサービスです。お客様のご要望や経営環境などさまざまなニーズに対応するトータルソリューションをワンストップでご提供しています。

VPNサービス（O-CNET）

リモートアクセスソリューション（O-CNET AIRシリーズ）

安全かつ安価にリモートアクセスを可能にするサービスです。インターネットを介さずに直接イントラサイトへの接続などが可能になります。

リモートアクセスソリューション（O-CNET AIRシリーズ）

どこでもコネクト

物理的な閉域網や仮想専用線で、安全で快適なプライベートクラウド環境を安価かつ手軽に構築できるサービスです。サーバー運用の手間を減らしたい方や、災害を考慮してデータセンターを利用されたい方におすすめです。

また、大塚商会では、検討時や導入時はもちろん、導入後のアフターケアまでお任せいただけます。既存システムやデバイスとの連携から、安心のセキュリティ対策、万が一のトラブル発生時も充実したサポート体制を整備しています。

どこでもコネクト