近年、企業の安全なデータ通信を可能にする技術としてVPNに注目が集まっています。しかし、VPNでは公共のネットワークを使用することもあるため、本当に安全であるのか心配だという方も多いのではないでしょうか。
本記事では、前半に「VPNの基礎知識」、後半に「VPNは本当に安全といえるのか、ウイルス感染のリスク」について触れながら解説します。
そもそもVPNとは
まずは、VPNの概要や仕組みを確認しておきましょう。
VPNとは?
VPNとは、既存のインターネット回線上に、契約者だけが利用できる仮想の通信網を構築する技術のことを指します。正式名称を「Virtual Private Network」といい、安全かつプライベートな社内ネットワークを構築できることがメリットです。
VPNを利用するシーン
VPNは、本社以外の拠点や社外など、あらゆる場所でのデータ通信に活用できます。
リモートワーク
VPNの主な利用場面としては、リモートワークが挙げられます。自宅や出張先などの場所を問わずリモートアクセスが可能になれば、業務効率化や多様な働き方の実現にもつながるでしょう。
無料WiFiを使うとき
VPNは、無料Wi-Fiのようなオープンなネットワークでも安心して利用できます。無料Wi-Fiは便利ですが、データのやり取りを行うにはセキュリティリスクが伴います。しかし、VPNなら、第三者から見えない形で通信を行うため、他社に情報を傍受される心配がありません。
遠隔地の拠点と通信するとき
本社と支社、支社と支社など、遠く離れた拠点間で通信する場合にもVPNが有効です。VPNを使えば、セキュリティレベルを維持しつつ、よりプライベートな通信が可能になります。
VPNの種類
VPNには、次の4つの種類があります。それぞれの特徴を確認しましょう。
インターネットVPN
インターネットVPNとは、公衆のインターネット回線上に専用のネットワークを形成するVPNです。既存のインターネット回線を使用するため、少ないコストで手軽に導入できる一方、回線の混雑時は通信速度が急激に低下してしまいます。
エントリーVPN
エントリーVPNは、光回線やLTE回線、ブロードバンド回線を利用したVPNです。安価で閉域的な光ブロードバンド回線を使うため、セキュリティ性が高く導入コストを抑えられますが、通信速度が不安定になりやすい点がデメリットとして挙げられます。
IP-VPN
IP-VPNは、通信業者が保有する閉域IP網を使用したVPNです。エントリーVPNのように通信業者独自の回線でネットワークを構築するため、高セキュリティな通信を実現できます。SLA(サービス品質保証)があるIP-VPNなら、通信帯域を他者に侵されることなく、快適な通信環境を確保できるでしょう。
デメリットは、導入コストがやや高いことです。
広域イーサネット
IPアドレスを使うIP-VPNに対し、IP以外のプロトコルも使えるのが広域イーサネットです。広域イーサネットでは、IP-VPNと同じく通信業者の閉域網を利用します。セキュリティ性や通信品質に優れている他、必要に応じてプロトコルやネットワークを自由に設定できる点がメリットです。
しかし、ネットワークを構築するには複雑な設定が必要となり、コストも高い傾向にあります。
VPNの4つの仕組み
VVPNの4つの仕組みについて解説します。
トンネリング
「トンネリング」とは、インターネット回線上に仮想の通信経路を形成すること、またはその技術を指します。VPN構築の基盤ともいえる仕組みで、形成されたトンネルを介してデータの送受信が行われるイメージです。トンネリングによって作られた通信経路は、契約者以外の人には見えません。トンネル内を通るデータそのものも見えなくなることで、情報の傍受や改ざんなどのリスクを回避できます。
カプセル化
「カプセル化」は、通信データの内容が見えないよう、カプセルのように包み込むことを意味します。
1度カプセル化されたデータは、相手に届くまで解除されないため、仮に不正なアクセスがあったとしても、第三者が情報を閲覧することは不可能です。
暗号化
IPsecやSSLなどのプロトコルにより、データを解読できない文字列に変換することを「暗号化」といいます。暗号化されたデータは、特定のパスワードを入力することで解除が可能です。パスワードは受信者のみに通知されるため、第三者がデータの中身を盗み見ることはできません。
認証
VPNでは、IDやパスワードを使った「認証」システムにより、通信相手が正しいかどうかを判断します。また、ワンタイムパスワードなどの多要素認証が採用されているものもあり、製品によって認証方法やセキュリティ強度が異なるのが特徴です。
VPNのセキュリティリスク
ここからは、VPNを利用する際に考えられる主なセキュリティリスクを解説します。
暗号化されていない通信を併用する
VPNには、無料または低価格で利用できるサービスも多く、なかにはデータの暗号化を行わないものも存在します。そうしたVPNサービスを導入した場合、情報の機密性が失われることにより、情報漏洩のリスクが高まります。
VPN機器の脆弱性
VPN機器の脆弱性をついたサイバー攻撃は年々増加しており、機器の性能が上がるほど手口も巧妙になっています。脆弱性を放置したまま使用を続けると、不正アクセスや情報漏洩のリスクはますます高まるでしょう。
ウイルス感染の拡大
VPN接続を行う端末自体がマルウェアなどのウイルスに感染していた場合、社内ネットワークにも感染を拡大させる危険性があります。特に、リモートワークなどで個人の端末とVPN接続を行う場合に注意が必要です。
VPNのセキュリティ対策方法
VPNは、正しく使えば企業の大切な情報を守るための強い味方になります。VPNのメリットを最大限に活かすためにも、万全なセキュリティ対策を行いましょう。 ここからは、VPNを利用する際に企業が行うべきセキュリティ対策の方法を解説します。
こまめなアップデートや更新
VPNのセキュリティ対策には、VPN機器のこまめなアップデートや更新を行うことが欠かせません。
VPNにおける情報漏洩やマルウェア感染などの被害は、ほとんどのケースが機器のアップデートや更新を行わずに使用したことが原因です。メーカーが都度提供するパッチの適用やアップデートを行えば、脆弱性が解消され、これらのセキュリティリスクを回避できるでしょう。
従業員の情報リテラシーを向上させる
社内ネットワークをマルウェアなどの感染から守るため、従業員の情報リテラシーを向上させることも大切です。特に、リモートワークなどでVPN接続を行う場合、従業員が使用する端末側と会社側でセキュリティレベルを合わせる必要があります。従業員の情報リテラシー教育を通して、会社全体でセキュリティ意識を高められれば、安全で効率的なITの運用・管理ができるでしょう。
運用方法の確立とトラブル時の対応を決める
事前にVPNの運用方法やトラブル時の対応を決めておけば、万が一不正アクセスや情報流出があった際も迅速に対処できます。方法としては、VPNの利用に関するガイドラインを作成し、社内ルールを明確に定めることが有効です。確実なセキュリティ対策を行うためにも、ガイドラインは必ず従業員に周知し、定期的に見直すようにしましょう。
セキュリティソフトの導入
VPNを導入するだけでは、ウイルスを検知・ブロックすることはできません。必ずセキュリティソフトも導入し、マルウェア感染を防止するための対策を行いましょう。その際は、アンチウイルスソフトやファイアウォールなどのセキュリティ製品を組み合わせて、多層防御できる体制を整えることが重要です。
VPNサーバーの認証とパスワードの強化
不正アクセスを防止する点では、認証システムやパスワードを強化することも重要です。認証システムやパスワードを強化する方法には、次のようなものがあります。
- 電子証明やワンタイムパスワードなどの多要素認証・2段階認証を導入する
- パスワードを長くする
- 大文字の英字や数字・記号を組み合わせた複雑なパスワードを設定する
- パスワードを定期的に変更する
組織端末での公共Wi-Fi利用を制限する
VPNをより安全かつ効果的に利用するには、組織端末での公共Wi-Fiの利用を制限することも方法の一つです。
無料Wi-Fiなどの公共回線は、誰でも手軽に使えるメリットがあるものの、不特定多数のユーザーが利用するため、完全に安全とはいえません。たとえVPNで専用のネットワークを構築できたとしても、他者に通信を侵害されたりデータを傍受されたりする可能性は捨てきれないでしょう。
可能な限り情報漏洩のリスクを低減するためにも、公共Wi-Fiなどのセキュリティが脆弱な回線の利用は避け、自宅や会社など特定のネットワークでのみVPN接続を行うことが大切です。
VPNの被害状況について
ランサムウェアの侵入経路はVPNが多い
警視庁発表の「令和4年におけるサイバー空間をめぐる脅威の情勢等について」によると、令和4年で確認されたランサムウェアの被害は230件だったといいます。この内VPNを感染経路とするものは6割と最多です。また、令和2年7~12月の発生件数は21件に留まっていましたが、令和3年には146件となり、半期だけで換算したとしても約3倍増加しています。
闇市場でも狙われている
サイバーセキュリティのプラットフォームであるトレンドマイクロ社の調査では、VPN機器の脆弱性や認証システムなどの情報が、闇市場で広く流通していることも確認されています。令和3年以降増え続けているVPN機器へのサイバー攻撃との関連性も指摘されており、適切なセキュリティ対策を講じなければ、今後もさらに被害が拡大していくと予想されるでしょう。
復旧に必要なコスト
警視庁では、ランサムウェアによるシステム被害の復旧にかかったコストについても調査しており、回答した企業の内約半数が1,000~5,000万円の高額な費用がかかったと答えています。復旧にかかった期間としては即時~1週間未満と1週間~1か月未満がそれぞれ約25%を占めており、サイバー攻撃を受けると企業活動に深刻なダメージを負ってしまうことがわかります。
バックアップについて
上記の調査でランサムウェア被害を受けた企業のうち、システムや機器のバックアップを取得していた企業は8割を超えており、全体的に危機意識の高さが伺えます。しかし、元の水準まで復元できた企業はわずか2割に留まり、被害に遭うと復旧できない可能性のほうが高いと考えられるでしょう。
まとめ
企業のデータ通信においては、大切な情報を守るためにも、スピーディーで安全な通信ができるシステムの導入が欠かせません。VPNを導入する際は、自社に合った構築方法を検討することはもちろん、セキュリティ対策も適切に行い、万全なアクセス環境を整えましょ