VPNはネットワーク上に仮想の経路を構築し、安全なデータ通信を実現する技術です。VPNの導入時に確認したい安全性やセキュリティリスク、対策などを解説します。
VPNの安全性は?企業担当者が知るべきセキュリティリスクと対策
業務のデジタル化やテレワークの普及に伴い、近年、企業におけるネットワークの接続環境はセキュリティを考慮して、VPNと呼ばれるサービスを利用するのが一般的です。VPNには大きく分けて「インターネットVPN」と「閉域VPN」の2種類があり、閉域VPNの中にも「エントリーVPN」「IP-VPN」などの種類が存在します。それぞれセキュリティの強度や通信速度に差があるため、VPNの導入前にその違いについてきちんと理解しておくことが重要です。
本記事では、企業のセキュリティ担当者が知っておくべき各種VPNの特徴のほか、それぞれのセキュリティリスクとその対策などについて解説します。
VPNとはネットワーク接続のセキュリティを高める技術のこと
VPNはVirtual Private Networkの略称で、日本語では「仮想専用線」と訳されます。インターネットや通信事業者が法人向けに提供する閉域のネットワーク上に経路を仮想的に構築し、安全に保護されたデータ通信を実現する技術のことです。
VPNを使えば、本社と支社といった拠点間において、機密性の高いデータを安全に送受信することができます。最近ではテレワーク(リモートワーク)で、自宅など社外で使用するパソコンやスマートフォンから、社内ネットワークや社内サーバーへ安全に接続するためにも用いられています。
VPNと専用線の違い
VPNと同じく、企業間のネットワークを構築する仕組みに、「専用線」と呼ばれるものがあります。仮想の専用線であるVPNと通常の専用線は、何が異なるのでしょうか。両者の特徴とその違いについて解説します。
VPNの特徴
VPNには、「インターネットVPN」と「閉域VPN」の2種類があり、それぞれ接続方法が異なります。前者がインターネット回線を利用するのに対し、後者は通信事業者の閉域ネットワークを利用します。
・インターネットVPN
インターネットVPNは、既存のインターネット回線にVPN機器を接続するなどして、ネットワーク上に独占的に使用できる経路を構築して通信する仕組みです。インターネットVPNと呼ばれるこの方式では、暗号化やトンネリング、カプセル化といった技術を使うことでセキュアな通信が可能になります。
インターネットVPNの通信品質はベストエフォート型のため、利用するインターネット回線の遅延の影響を受けることがあります。ベストエフォートとは、最良の条件がそろっている場合にのみ技術規格上の最大通信速度に達することを指し、日本語では「最大限の努力」という意味を持つ言葉です。回線が遅延や不安定になる可能性がある分、低コストで導入することができ、管理も比較的容易とされています。
・閉域VPN
インターネットを使用せず、代わりに特定の通信事業者が保有する閉域網を利用して、拠点間を接続するのが閉域VPNです。閉域網は、通常のインターネットから物理的に分離されたネットワークで、閉域VPNの利用は契約した特定のユーザー(企業)のみに限定されます。そのため、一般的に閉域VPNはインターネットVPNよりも高いセキュリティ強度を持つのが特徴です。
専用線の特徴
専用線とは、特定の2つの地点間を物理的に結ぶ、専用の通信回線のことです。インターネット回線のような公衆回線ではなく、文字どおり専用の回線なので、ほかの通信回線の干渉を受けることはありません。そのため、高速かつ大容量の通信が可能で、セキュリティも高いのが専用線の特徴です。
専用線は高い通信品質とセキュリティ強度を実現できる反面、契約する帯域や拠点間の距離によってコストが変わります。近年は技術の進歩やサービスの多様化により、以前よりも比較的低価格で導入することが可能になりました。
VPNのセキュリティの仕組み
VPNのセキュリティの仕組みやレベルは、VPNの種類によって変わります。続いては、インターネットVPNと閉域VPNのセキュリティの仕組みを通じて、VPNの安全性について解説していきましょう。
インターネットVPNのセキュリティの仕組み
インターネットVPNのセキュリティは、「暗号化」「カプセル化」「トンネリング」「認証」という技術によって構築されることで、通信の安全性を高めています。それぞれの技術とセキュリティの仕組みについて解説します。
・暗号化
データを読み取り不可能な形式に変換するのが暗号化技術です。インターネットVPNでは、暗号化キーを使用して元のデータ(平文)を暗号文に変換し、インターネットを介して送信します。
暗号文は、仮に途中で傍受されたとしても、暗号キーがなければ読み取ることができません。受信側では受け取ったデータを、共有された暗号キーを使用して元のデータに戻します。
・カプセル化
暗号化されたデータは、カプセル化という処理をされて送信されます。カプセル化とは、送信するデータを特定のヘッダーやフッターで包み込むことで、外部からのアクセスや傍受から保護する技術です。カプセル化とカプセル化の解除は、下記で紹介する「トンネル」の両端で自動的に行われます。
・トンネリング
カプセル化されたデータ(パケット)は、トンネルを通じて送信されます。トンネルとは、VPNクライアント(送信元)とVPNセンター(送信先)のあいだに作る閉鎖された仮想の通信経路です。トンネルを通じて送信されたデータは、インターネット上のほかのデータから隔離され、送信元から送信先へ直接転送されます。このトンネリング技術により、データの傍受を防ぎ、IPアドレスも隠すことが可能です。
・認証
インターネットVPNを利用する際には、ユーザー名とパスワードなどによるログイン認証を行います。これにより、第三者からの不正なアクセスを防ぎ、通信の安全性を向上させることが可能です。
閉域VPNのセキュリティの仕組み
閉域VPNは、インターネット接続と分離された専用の閉域網を利用することで、高いセキュリティを確保しています。クローズドな通信回線を使用するため、第三者による不正アクセスやマルウェア感染といったリスクを最小限に抑えることが可能です。
また、閉域VPNは、閉域網に接続するための回線の種類によって、IP-VPNとエントリーVPNに分けられます。それぞれの特徴は次のとおりです。
・IP-VPN
IP-VPNは、大手通信事業者が保有する帯域確保型回線を利用して、閉域網に接続する通信方式です。帯域確保型回線とは、通信事業者の運用によってできるだけ契約帯域に近いものが確保される回線のことを指します。
IP-VPNは、エントリーVPNよりもさらに高品質な通信が可能で、かつ高セキュリティです。高速通信を実現するため、MPLS(Multi Protocol Label Switching)という送信データにラベルを付与する技術を採用しており、IP-VPNが速度遅延に悩まされることはほとんどありません。そのため、VPNとしてはエントリーVPNの上位的な存在になり、コストはエントリーVPNより高いケースがほとんどです。
・エントリーVPN
エントリーVPNは、光ブロードバンド回線を使って閉域網に接続する通信方法です。企業の拠点から通信事業者の閉域網までのアクセス回線に、国内に広く敷設されていて安価に利用できる光ブロードバンド回線を使用します。
エントリーVPNは、低コストでありながら、契約した限られたユーザーのみが利用できる光ブロードバンド回線を使用するため、高いセキュリティを確保できます。ただし、光ブロードバンド回線は元々インターネット接続用であり、ベストエフォート型の回線です。したがって、実際の速度は契約帯域よりも遅くなり、エントリーVPNの速度もそれに準じます。なお、IP-VPNよりも後発のエントリーVPNが広く普及したことにより、今ではエントリーVPNのことをIP-VPNと呼ぶこともあります。
VPNのメリットとは?
VPNの導入を検討するには、事前にどのようなメリットがあるか確認しておくことが大切です。インターネットVPNと閉域VPNのメリットについて、それぞれ見ていきましょう。
インターネットVPNのメリット
VPNの仕組み、メリット・デメリットを理解したうえで、自社に必要なVPNはどのように選べばよいのか。具体的な項目を見ていきましょう。
・暗号化により安全な通信が可能
VPNでまず挙げられるメリットは、暗号化などの技術によって安全な通信ができることです。信頼性の高い暗号化アルゴリズムを使用していれば、ユーザーが送受信するデータを第三者が盗み見ることはかなり困難になります。また、ユーザーのIPアドレスも隠されるため、オンラインでの行動が匿名化されるのもメリットです。
・リモート環境からも安全にアクセスできる
リモート環境での安全性は、公共のWi-Fiスポットといったセキュリティが弱い環境から通信する際に役立ちます。カフェやコワーキングスペースなどでテレワークをするとき、VPN接続することで安全性を確保することが可能です。自宅からの接続も含め、さまざまな場所からセキュアな通信ができることもVPNのメリットといえます。
また、VPNはスマートフォンやタブレットなどのモバイル端末でも利用可能なので、より柔軟な働き方に対応することができます。
・低コストで導入が可能
VPNは専用線に比べて低コストでの導入・運用が可能です。特に、インターネットVPNは運用コストが安く、通信を行う距離が長くなってもコストが増えることはありません。VPN機器も安価な製品が増えているので、初期費用もさほど負担にならないでしょう。
閉域VPNのメリット
閉域VPNでは、閉域網というネットワーク環境そのものがメリットになります。不特定多数が利用するインターネットVPNと違い、契約者以外の利用者がいないため、安全性が高く、回線が安定的であるからです。・セキュリティに強く情報漏洩リスクが低い
閉域VPNのメリットは、セキュリティレベルが高いことです。閉域網を利用しているのがその最大の理由で、インターネットから切り離された回線のため、不正アクセスや情報漏洩のリスクは大幅に低減されます。特にIP-VPNは、暗号化をしなくてもセキュアな通信が可能です。
・安定的な回線で高速・大容量のデータ通信が可能
通信が安定していて、高速である点も閉域VPNのメリットです。エントリーVPNよりIP-VPNのほうが通信品質も高く、画像や音声、動画といった大容量データのやりとりもストレスなく行えます。
VPNのデメリットとは?
VPNの利用には当然ですが、デメリットもあります。インターネットVPN、閉域VPNのそれぞれにどのようなデメリットがあるのか、十分に把握しておくことが重要です。
インターネットVPNのデメリット
インターネットVPNのデメリットは、セキュリティや通信品質の問題を挙げることができます。セキュリティの強度は、事業者が提供するVPNサービスの品質やユーザーの使い方によって変わるため、導入前にしっかりと確認しておくことが重要です。
・情報漏洩リスクがゼロではない
VPNの安全性が高いといっても、悪意ある第三者からの攻撃でセキュリティが破られるリスクはゼロではありません。暗号化アルゴリズムの品質に問題がある場合、あるいはVPN設定にミスがあった場合などは、情報漏洩といったインシデントが起きるおそれがあります。
・通信が不安定になることもある
インターネットVPNを使用する際には、すべてのデータの送受信がVPNセンターを経由するため、機器の過負荷によって接続速度が遅くなることがあります。また、インターネット回線の混雑具合によって、通信が不安定になるケースもあるでしょう。
・VPNのサービス次第ではコストが高くなることも
コストに関しても、VPNサービスの内容やサービスを提供する事業者によっては安価とはいえない場合があります。通常、高品質なVPNサービスで、リモートから多数のデバイスを接続して利用する場合は、導入・運用コストもそれだけ高くなる場合があります。
閉域VPNのデメリット
一般的に、閉域VPNはインターネットVPNと比べて、コストと運用面での負担が大きくなりやすい点がデメリットといえます。閉域VPNは、よりセキュアで安定的な環境を構築できる分、費用が高額になり、運用する企業側の担当部門にも専門的なスキルが必要です。・インターネットVPNよりもコストがかかる
アクセス回線やIP-VPN網の使用料がかかり、拠点数のほか、接続する機器やデバイスが多くなるほど費用が必要です。ただし、アルテリア・ネットワークスでは、インターネットVPNと同じ程度の価格帯で閉域VPNを提供しているため、導入前にコスト感を確認しておくといいでしょう。
・リソースへの負荷がかかる
近年、SaaS利用などのクラウド化が進んだことで、多くの企業でネットワークへの負荷が急増しています。閉域VPNでは、センター拠点を介してインターネットに接続する構成が一般的なため、アクセス集中により機器や帯域への負荷がかかりやすいことがデメリットです。
ただ、特定の通信を、センター拠点を経由せずに直接インターネットに接続させる「ローカルブレイクアウト」という方法により、回線の負荷を軽減することができます。アルテリア・ネットワークスでは、各拠点から直接クラウドサービスに接続するためのソリューションとして、定額制インターネットサービス「ブロードバンドアクセス(クロスパス)」の提供も可能です。
今、閉域VPNが求められる理由
近年、企業におけるデジタル化やDXの推進に伴い、テレワークの普及や複数の離れた拠点間での情報共有、コミュニケーション、タスク連携などの必要性が増しています。こうした時代のニーズにより、安全で高速なネットワークに対する需要が拡大中です。ビジネスでのやりとりでは、インターネットを使うことによる情報漏洩などのリスクを常に警戒する必要があり、情報セキュリティ対策も不可欠なものとなっています。
閉域VPNは、こうした需要に応えるセキュアな通信を実現するための、理想に近い技術のひとつです。インターネットVPNよりも安全性が高く、高速で、専用線よりもコストを抑えられるのが、閉域VPNの強みといえます。
事業者もさまざまなタイプのVPNサービスを提供しており、閉域VPNはその中でも主要なサービスとして位置付けられています。
閉域VPNと広域イーサネットの違い
ところで、閉域VPNと比較されることの多い拠点間接続の方法に、「広域イーサネット」があります。広域イーサネットは、企業が複数の拠点間で、高品質・高セキュリティな通信を実現したいときの選択肢のひとつです。複数のユーザーでネットワークを共有するという点でVPNと似ていますが、それぞれ異なる技術に基づいています。
広域イーサネットは、本社と支社など、地理的に離れた場所にあるLAN同士を、通信事業者のイーサネット網を使って接続します。これは、「データリンク層(レイヤ2:L2)」のWANサービスと呼ばれるもので、離れた拠点のLAN同士をつないで広大な1つのLANのようにして利用するイメージです。複数の拠点同士を速い通信速度で接続することができます。
対して、エントリーVPNやIP-VPNは「ネットワーク層(レイヤ3:L3)」で動作し、プロトコルはIP(インターネットプロトコル)のみを使用するという違いがあります。
VPN導入後のセキュリティリスク
ここからは、VPNを導入した後のセキュリティリスクについて見ていきましょう。VPNには具体的に、下記のようなセキュリティリスクが存在しています。VPN機器の脆弱性を利用した不正アクセス被害のリスク
VPNは外部や拠点から安全に社内ネットワークに接続するための方法として、多くの企業に利用されています。その一方で、VPNのハードウェアやソフトウェアの脆弱性が、企業に大きなダメージを与えるケースも少なくありません。VPN機器に脆弱性が存在すると、攻撃者がそれを利用してネットワークに不正アクセスし、情報を盗む、システムを破壊するといった可能性があります。
VPN機器の脆弱性は、セキュリティ上の大きな問題です。同時に、脆弱性が発見されたときに配布される修正プログラムが、ユーザーによって必ずしもすみやかに適用されないことも、被害を広げる原因となっています。
テレワーク端末のマルウェア感染リスク
テレワークでVPNを利用している場合には、接続する個々の端末のセキュリティが保たれているかどうかにも気を配るようにしましょう。もし、ユーザーのパソコンなどがマルウェアに感染していると、マルウェアがVPNを介して企業ネットワーク全体に広がるおそれがあります。特に、個人所有の端末を使用している場合は、その端末がマルウェアに感染していないかどうかを厳しくチェックすることが重要です。
また、会社所有の端末であっても、不審なメールや添付ファイル、記載されているURLをクリックすることでマルウェアに感染することがあります。会社の機密情報を盗む目的などで行われる標的型攻撃など、悪意ある者による攻撃方法も巧妙化しており、注意が必要です。
無料VPNやフリーWi-Fi利用での情報漏洩リスク
無料のVPNサービスも、セキュリティリスクをもたらすことがあります。無料VPNの収入源は広告によるものであるため、そのバナー広告にはIPアドレスや位置情報、閲覧情報などを収集する「トラッカー」が仕込まれているかもしれません。その広告をクリックすることで個人データが知らないうちに収集され、売買されている危険性もあります。
また、フリーWi-Fiは、なりすましアクセスポイントの設置により、通信内容を覗き見されるなどの危険性があることが指摘されています。これらのリスクを回避するには、信頼できる事業者が有料で提供するVPNサービスや、管理された安全なWi-Fiを利用するべきです。
VPN利用時のセキュリティ事故事例
VPN利用時のセキュリティ事故には、どのようなものがあるのでしょうか。テレワークによるマルウェア感染、VPN製品の脆弱性に起因するセキュリティ被害の事例について、それぞれご紹介します。テレワークで起きたセキュリティ被害の事例
ある大手企業の社員がテレワーク中、VPN接続している仕事用のパソコンから社外のSNSに接続したところ、マルウェアに感染するというアクシデントに見舞われました。しかし、社員はそのことに気づかず、同じパソコンでそのまま社内ネットワークに接続したため、社内に感染が拡大してしまうことに。さらにその後、これをきっかけに、会社で保有するサーバーに対する不正アクセスを受ける重大な被害へと発展することになったのです。VPN製品の脆弱性が悪用されて起きたセキュリティ事故の事例
2020年8月、あるVPN製品の脆弱性が悪用され、その製品を利用していた企業38社が不正アクセスを受けるというセキュリティ事故が発生しました。各社が不正アクセスを受けた結果、VPNにアクセスするためのログイン情報の漏洩が発覚します。問題のVPN製品は、その前年に脆弱性が指摘されて修正プログラムが公開されていたにもかかわらず、一部企業は修正プログラムを適用せずにそのまま利用しており、その結果として、不正アクセスを受けた可能性が高いといえるでしょう。VPNの安全性を確保するためのセキュリティ対策
セキュリティリスクを回避し、VPNの安全性を確保するためには、どのような対策が有効なのでしょうか。ここでは、企業のセキュリティ担当者やVPNを利用するすべての従業員が取り組むべき対策を5つご紹介します。最新のセキュリティ情報を常にキャッチアップする
VPNの安全性を確保するには、常に最新のセキュリティ情報をチェックし、新たな脅威や攻撃手法について最新の知識を得ることが求められます。特に、VPN機器の脆弱性に関しては定期的な評価と、ファームウェアのアップデートが欠かせません。ベンダーなどから脆弱性に関するアナウンスがあった場合は、すみやかに修正プログラムを入手し、パッチの適用を実行することも必要です。利用する従業員のセキュリティ意識向上
VPNの安全な運用は、ユーザーである従業員のセキュリティ意識に大きく依存します。パスワードの管理、不審なメールへの警戒意識、安全なインターネット利用に関する知識などが必要といえるでしょう。従業員一人ひとりがセキュリティについての理解を深めることで、企業全体のセキュリティレベルを向上させることができます。セキュリティトレーニングや教育プログラムを定期的に実施し、従業員が常にセキュリティに対する高い意識を持つことが不可欠です。
端末にセキュリティソフトを導入
VPNを通じて接続するパソコンやスマートフォンなど、端末自体のセキュリティもVPNの安全な運用に影響します。端末がマルウェアに感染すると、そのマルウェアがVPNを通じて企業ネットワークに広がる可能性があるからです。対策としては、マルウェア感染の危険性があるような端末の使い方をしないことはもちろん、すべての端末に信頼性の高いセキュリティソフトを導入し、パターンファイルなどを常に最新の状態に更新しておくことが求められます。「MDM(Mobile Device Management)」と呼ばれるモバイル端末を管理するツールの導入も有効です。
テレワーク時はVPN接続が必須
テレワーク時は、必ずVPNを使用するのが鉄則です。テレワーク用の端末でVPNを介さず通常のウェブサイトやSNSなどへアクセスすると、第三者による通信の傍受やマルウェア感染、フィッシング攻撃などの被害に遭う危険性があります。また、カフェなどでWi-Fiを使用する際も、VPNを使用することで通信内容が第三者に漏れるリスクを軽減することが可能です。2段階認証の導入
2段階認証は、ユーザーのパスワードだけでなく、携帯電話へのメッセージ、生体認証など、もう1つの要素を必要とする認証方法です。VPNへのログイン時に2段階認証を導入することで、たとえパスワードが漏洩していたとしても、攻撃者がネットワークにアクセスするのが困難になります。法人向けVPNサービスを選ぶポイント
VPNの安全性を高めるには、事業者およびVPNサービスを慎重に選ぶことも重要です。そこで、法人向けVPNサービスを選ぶ際の7つのポイントについて解説します。
自社の目的に合ったVPNを選ぶ
VPN事業者やサービスを選ぶ際、まずは自社の具体的な目的とニーズの明確化が必要です。テレワークの実施、外部拠点との連携強化、データセキュリティの向上など、目的によって適したVPNの機能やサービス内容は異なります。
自社の目的に合ったVPNかどうかを確認するには、サービス内容に関する資料を集めて比較検討するといったプロセスも必要です。候補を絞ったらVPN事業者の営業担当などに相談し、疑問点などを解消しましょう。
セキュリティの高さで選ぶ
同じVPNでも、インターネットVPNより閉域VPNのほうがよりセキュリティは高くなります。ただし、インターネットVPNも一定以上のセキュリティレベルはクリアしており、リスクが高いというわけではありません。自社がVPNサービスを使用するにあたって、どの程度のセキュリティ強度を求めているのかも、あらためて検証する必要があります。
同時接続できるサーバー数、端末台数の多さで選ぶ
VPNを使って同時に接続するサーバー数の端末台数についても、事前に確認しておきましょう。大規模な企業や多拠点での運用を考えている場合には、多数のサーバーや端末を同時に接続可能なVPNサービスを探さなくてはなりません。今後、台数が増える可能性が高いかどうかも検討しておくことが重要です。
監視や保守、サポートの充実度で選ぶ
VPNサービスの品質に大きく影響するのが、VPN機器やシステムの監視・保守に加え、サポートの充実度です。24時間365日のサポートや専門の技術者による保守サービスが提供されているか、故障やトラブルに対して迅速に対応する体制が整っているかなど、事業者のサービス内容の詳細を確認しましょう。
通信速度や回線の安定性で選ぶ
通信速度と回線が安定しているかどうかも重要な選択基準です。これまで述べてきたように、一般的にインターネットVPNよりも閉域VPNのほうが通信速度は速く、回線が安定しています。特に、大量のデータ転送を行う場合や、ウェブ会議システムを多用する場合などは、快適な通信のために通信速度と回線の安定性が欠かせません。
対応デバイスの多さで選ぶ
企業によっては、パソコンだけではなくスマートフォンやタブレットなど、さまざまなデバイスからVPNに接続できることも選択肢のひとつとなるでしょう。モバイル端末からでもインターネットを経由することなく、閉域型で社内ネットワークに接続できるサービスや、セキュアにクラウドへ接続可能なサービスもあります。
料金・コストで選ぶ
予算に合うVPNを選ぶことも重要です。料金は、一般的にインターネットVPNが最も安価で、続いてエントリーVPN、IP-VPNの順で高くなります。使用する機能やサービス、リモートアクセスによる同時接続可能な端末数などによっても価格が変動するため、事前にしっかり見積もっておくことが大切です。VPNサービスを提供する事業者によっても価格は変わりますので、自社の予算に合ったサービスを選びましょう。
大容量でセキュアな環境を作るアルテリア・ネットワークスのVPNサービス
アルテリア・ネットワークスのVPNサービスは、大容量でセキュアな拠点間ネットワークを構築するための、多彩なラインナップが好評です。特に閉域VPNでは、アクセス回線を組み合わせて利用できるマルチキャリア対応のサービスや、デバイスや場所を問わず閉域ネットワークに接続可能なサービスを提供するなど、さまざまなニーズに合わせてご利用いただけます。
アルテリア・ネットワークスは、インターネットVPN、閉域VPN共に、さまざまなサービスを取り揃えています。 NFV(Network Functions Virtualization)技術を活用したクラウド型ネットワークサービスの「VANILA」は、お客様がデータセンターやネットワーク機器などの物理的な設備に投資することなく、ミニマムスタートでセキュアな拠点間通信を利用できます。安全な通信の構築・設計に関しましては、お気軽にご相談ください。