昨今の働き方改革や、テレワークの普及により、場所を問わず働ける環境の整備が進みました。
また従来の自宅、カフェ、商業施設のみならず、レンタルブース、共用ワークスペース、Web会議用の貸会議室など、サテライトオフィスサービスも急増しています。旅行と仕事を兼ねるワーケーションなども注目されていますよね。
では、このような遠隔地からのリモートアクセスは、「VPNを利用していれば安全」と考えている方が多いのではないでしょうか。
実際それは間違いがあるとは言い切れません。しかし、VPNにも理解しておくべきセキュリティリスクがあるのです。
今テレワークをしている人もVPN接続していれば安心してしまう人も多いようですが本当にセキュリティに問題が愛といえるのでしょうか。
例えば、下記のような心配はありませんか。
- データを盗聴されていませんか?
- つながってるWi-Fiは大丈夫ですか?
- 見知らぬ第三者に不正に覗かれていませんか?
- 100%安全といいきれますか?
このようにVPNで接続していても社内のデータは常にリスクにさらされているのです。この記事ではVPNを導入したからといって安心できない理由としてVPNのセキュリティリスクと、その対策について解説します。
VPNのセキュリティリスクを理解することで、よりVPNを安全に利用することができるようになります。
また、テレワークの導入に伴い、安易にVPN環境を構築してしまっているような企業様も、この記事をご一読ください。
IT業務のお悩みやお困りごと、コスト削減をお考えなら、まずはITのことならなんでも無料で相談できるITボランチへご相談ください。お問い合わせはこちらから
Contents
そもそもVPNとは?
まず前提となるVPNの基礎知識を解説します。一般的に機密性の高いデータをやり取りする場合、拠点間を物理的な専用線で繋ぐ閉域網の利用が最も安全な経路です。しかし現代において物理的な専用線を敷設することはコストが高く、多くの中小企業において現実的なソリューションではありません。
そこで、公衆網(インターネット回線)を利用して仮想的な専用線を再現し繋ぐ方法が誕生しました。それがVPN(Virtual Private Network)です。
直訳すると「仮想的な専用ネットワーク」であり、その言葉通り通信は暗号化され、セキュリティ上安全な状態でデータのやり取りが可能です。また物理的な専用線よりも安価なコストで構築が可能な技術です。
セキュアなネットワーク構築のためのVPNについての詳細は「セキュアな環境構築に重要なVPNとは?テレワークのセキュリティ対策は万全?」の記事で紹介しています。
インターネットVPNとは
VPNには様々な種類や接続方式が存在します。通信事業者から提供される閉域網を利用するIP-VPNや、公衆網とよばれるインターネット回線を利用するインターネットVPNに大分されます。
IP-VPNは通信事業者が保有する閉域網を経由します。実際の専用線接続とは異なりますが、MPLS(Multi-Protocol Label Switching)方式と呼ばれ、IPパケットにラベルを付加する通信方法です。セキュリティ性と、通信の安定性を高める技術です。
しかしこのようなIP-VPNはインターネット回線とは別の回線が必要なため、コストも高くなる傾向があり、多くの中小企業ではインターネット回線と併用が可能なインターネットVPNを利用する企業が増えています。
また昨今の働き方改革やテレワークの普及によるリモートワーク導入率が急上昇していることを鑑みると、働く場所を選ばない環境ではインターネットVPNの方が導入メリットは大きいと言えるでしょう。
インターネットVPNの種類
それではインターネットVPNにはどのような種類があるのでしょうか。代表的な接続方式について解説します。
PPTP(Point to Point Tunneling Protocol)
VPNが開発された初期から利用されている方式です。
その歴史は古く、90年代にMicrosoftが開発し、Windows95から搭載されています。ほとんどのデバイスに対応し、暗号化の処理負荷も軽く、処理速度が速いためのストリーミング系のサービスで利用されています。
しかし、PPTPは暗号化の強度や安全性に問題があり、今では一部の利用にとどまるレガシーなVPN方式です。
IPsec-VPN(IP Security Architecture VPN)
IPsec-VPNはIPパケットごと暗号化をしたうえでインターネットに接続する方式です。
IPパケット単位で暗号化して通信するので、柔軟かつ高い安全性を確保出来ます。
拠点間を接続する事を目的に開発されたVPN方式で、接続する双方に共通鍵による相互認証の設定が必要です。
L2TP over IPsec-VPN(Layer 2 Tunneling Protocol over IPsec-VPN)
L2TPはPPTPの後継として1999年に開発されました。
L2TP自体には暗号化や認証機能はないため、IPsecと併用されます。
L2TPはPPTPに比べて安全ですが、データをL2TPに変換してからIPsecで暗号化するという2つの過程が発生するため、通信速度に影響を及ぼす可能性がある方式です。
SSL-VPN(Secure Sockets Layer VPN)
SSL-VPNは、インターネット上のデータを暗号化して送受信するSSL(Secure Sockets Layer)を用いるVPN技術です。
SSL技術で通信のセキュリティを確保しているので、片方向の認証による1対多の通信に対応しやすいVPNと言えるでしょう。Webブラウザに元々組み込まれているSSLが利用できるので、導入は比較的容易です。
現在、多くのVPNソリューションではセキュリティの強度や設計の柔軟性の観点からIPsec-VPN、SSL-VPNが用いられています。
把握しておくべきVPNのセキュリティリスクとは
これだけVPNの利用企業が急増している背景では、VPNを狙ったサイバー攻撃も多発しています。
ではVPNを利用していれば安全と言えるのでしょうか?実はそうとも言い切れません。先述した通りIP-VPNは閉域網を経由するため一定のセキュリティは担保する事ができるでしょう。
しかしインターネットVPNは公衆網を経由しておりセキュリティリスクは存在します。ここからはVPNのセキュリティリスクとサイバー攻撃事例について解説します。
公衆Wi-Fiを利用する際のリスクとは
公衆Wi-Fiは通信事業者が有料で提供するものもあれば、共用スペースで無料接続できるものも存在します。特に注意が必要なのが、無料であり認証を必要としない公衆Wi-Fiです。
そのようなWi-Fiアクセスポイントはパソコンとアクセスポイントの間で暗号化設定がされていない場合があります。
またアクセスポイント経由した際のログデータから、情報が盗まれる可能性があります。悪質なのが、無料かつ認証がないとなるとパソコンやスマホの設定次第では、次回以降自動的に接続されるなど接続設定が固定されてしまうケースがあります。
例えば、アクセスポイントを経由するデータから個人情報が漏洩する可能性があります。またVPNの認証情報であるID・パスワードや鍵情報が盗まれる可能性もあり、その場合、なりすましによる社内への不正アクセスが発生する可能性があり、大きなリスクとなります。
Wi-Fiと無線LANの違いなどについての詳細は「いまさら聞けないWi-Fiと無線LANの違いとは?知っておくべきIT知識」の記事で紹介しています。
ネットワーク機器(VPN機器)の脆弱性によるリスク
拠点間の接続やユーザーからの接続を受け付けるVPN機器の脆弱性情報にも注意が必要です。近年、このような企業向けのVPN機器の脆弱性を狙ったサイバー攻撃が増加しています。
大手ベンダーが提供する製品も対象となっており、実際に攻撃被害も多く報告されています。またテレワークが普及したことで家庭用のルータも標的となっています。
家庭用のルータも製品によっては外部からのVPN接続やWi-Fi機能を搭載しており、同様に注意が必要です。
例えば、VPN機器に対し任意のコードを実行できるファイルを埋め込む、管理機能を悪用し、機器のRoot権限を奪うなどして、不正アクセス、接続認証情報の盗難、遠隔からの乗っ取りなど、非常に大きなリスクと言えるでしょう。
リモートワークしているPC端末のリスクとは
リモートワークの普及により、働く場所を選ばずインターネットVPN経由で業務データにアクセスできるようになりました。つまり、どこにいても社内(オフィス)同等のセキュリティを担保しなくてはいけません。
例えば、在宅勤務中にSNSサイトからダウンロードしたファイルでPCがウィルス感染し、VPN接続することで社内(オフィス)へ感染を広げてしまった事例があります。
また、街中のカフェのようなオープンスペースで仕事をしていて、肩越しに情報を除かれてしまうショルダーハッキング、Web会議の声漏れ、ちょっとした離席中にパソコンの盗難など、セキュリティリスクは後を絶ちません。
特にVPN経由で業務データにアクセスしていた場合など、情報漏洩、不正アクセス、情報搾取の温床となる為、情報管理には細心の注意を払う必要があります。
考慮しておくべきセキュリティ対策方法
公衆Wi-Fiの利用は避ける
公衆Wi-Fiではなく、通信事業者が提供する認証付きの有料Wi-Fiルータか、テザリング機能を利用することが重要です。
オープンスペースや移動中などの時間を活用する際に、Wi-Fiは必要不可欠なインフラです。通信事業者が提供する信頼性の高い正規のWi-Fiサービスか、スマホのテザリング機能を利用しましょう。また、パソコンやスマホでも信頼できない接続プロファイルは削除しましょう。
ネットワーク機器(VPN機器)のファームウェアは最新の状態に保つ
企業向け、家庭用問わず、ネットワーク機器は常に外部(インターネット)に接続されていることを意識しましょう。
脆弱性情報を個別に追いかけるのは専門的な知識が必要ですが、メーカーが提供するファームウェアのバージョンを常に最新に保つことで、脆弱性のリスクを緩和する事が可能です。
また、管理機能へのアクセスを限定する(外部からのアクセスは無効とする)、初期パスワードを変更するなど、基本的な対策で大きな効果があります。Wi-FiやVPNよりも広義な範囲となりますが、IPAが推奨する「ネットワーク機器としてのセキュリティ対策」等も参考になりますので是非ご一読ください。
●参考:日常における情報セキュリティ対策
リモートワークにおけるセキュリティリテラシーの向上に努める
この点についてはVPNに限らず、リモートワーク時のルール周知、セキュリティの基本的な教育を定期的に行う必要がります。IPAなどからテレワークにおける情報漏えいや不正アクセスなどの被害に遭わないよう対策を学ぶコンテンツが公開されています。このようなコンテンツを活用し定期的にセキュリティ対策を学びましょう。
ID/パスワードの管理徹底、多要素認証の導入を検討する
また管理者側で考慮すべきセキュリティ対策も存在します。多くのVPNソリューションは接続時に認証を行う事が一般的です。この点においては、他のシステム同様、IDとパスワードを厳重に管理する必要があると言えるでしょう。
またパスワード認証に加え、SMSやトークンを利用した複数要素で認証する多要素認証など実装しているVPNソリューションも存在します。さらに昨今ではIDaaS(ID統合管理サービス)などで、VPNアプリケーションを連携させることで、シングルサインオン、多要素認証、デバイス認証などを行うことも可能です。
近年ではこのようなサービス型のソリューションも多く、大変便利で効率的な管理が可能です。是非、基本的なセキュリティ対策と共にご検討ください。
セキュリティリスクを回避して安全な環境を構築するには?
ここまで解説した通りVPNには様々な種類が存在します。そしてそれぞれにセキュリティリスクが存在します。それらに対するセキュリティ対策を考慮し、継続的に運用可能なリモートワーク環境を構築する必要があります。
テレワークの普及による場所、デバイスの進化による端末の多様性など、現代の働き方を総合的に考慮した場合、VPNだけでは安全なリモートワーク環境の実現は困難です。
用途や目的が明確であるならば、アプリケーション型のVPNソリューションを検討するのも有効ですが、リモートワークのルールを整備しながら、VPN以外のソリューションも検討するべきでしょう。
例えば、VPN装置のようなネットワーク機器はファームウェアを定期的にリリースする大手ベンダー製品を選択する。通信ログ、認証ログは必ず取得し一定期間保管する。ID/パスワードの認証管理を徹底する。IDaaS利用や、そもそもVPNを必要としないSaaS型のサービスを検討するなど、統合的な環境を前提に設計を行うべきです。
リモートワークやふハイブリッドワークについての詳細は「いま注目のハイブリッドワークが働き方のトレンドとなる?課題や注意点も解説」の記事で紹介しています。
まとめ
2021年12月現在、新型コロナウィルスの新規感染者数も落ち着いてきていることもあり、一部の企業ではテレワークを廃止し従来のオフィス勤務形式に戻った企業もでています。しかし、大手企業を含め、リモートワークを継続して導入している企業が増えています。いまやリモートワークはニューノーマルな働き方の1つとして一般化したと言えるでしょう。
そのような環境下、インターネットVPNは現代の働き方に欠かせない要素となってきており、VPNという言葉もよく耳にするようになりました。そしてなんとなく「VPNは安全」というイメージが定着しています。
間違っているとは言えませんが、公衆網を利用するインターネットVPNは、必ず安全だとは言い切れないことはお分かりいただけたと思います。VPNに内在するセキュリティリスクをしっかりと把握し、対策をすることで多くのことは防ぐことができます。
また昨今、情報漏洩、不正アクセス、ウィルス感染による身代金、詐欺行為などセキュリティ事故は後を絶ちません。このような企業の情報管理、セキュリティ対策については世間の関心度も高まっています。
企業としてセキュリティリスクを把握し、従業員への教育、セキュリティ対策の方針を決定することは最早必須事項となっています。
VPNについて詳しく理解しないまま利用していると、いつかサイバー攻撃の標的となった場合、成す術なく情報漏洩してしまうなんてことになってしまいかねません。
万が一発生した場合、企業は利益の損失のみならず、信頼も失う可能性もあり企業経営にとって重要な課題と言えるでしょう。新しい働き方と情報管理を両立し、VPNを可能な限り安全に利用できるリモートワーク環境を手に入れるため、十分な対策をしましょう。
自社でVPNに関するノウハウ、知見が無いという場合は、信頼できるIT保守企業へアウトソーシング(業務委託)するというのも1つの手段です。
リモートワークを導入している企業にとって、セキュリティリスクがあるのはVPNだけではありません。その他にも多くのリスクを内包しており、1つ1つのセキュリティ対策を自社で検討するのは現実的とは言えないでしょう。
そういったことからも、多くの企業の保守、サポートをしている情シス業務をアウトソーシングできる企業は最新の情報やノウハウを持っており、相談する先としては非常に有効です。
特に企業規模によっても、取るべきセキュリティ対策は違ってきますし、ご予算には限りがあると思います。
アウトソーシングを検討される場合、中小企業に特化しているような情シス業務、社内IT業務のアウトソーシング企業を選定するのが良いでしょう。
中小企業に特化したIT保守業務を10年以上運営しており、400社以上の社内IT環境をお預かりした実績をもつ「ITボランチ」でしたら、リモートワークの導入時に気をつけるべきポイントやセキュリティ対策として貴社に必要と思われることをご提案することが可能です。
また、IT保守業務をアウトソーシングしようとすると、非常に高価な見積がでてくるというお話を耳にします。
ITボランチは中小企業様に特化していることもあり、月間5万円から保守サービスをアウトソーシングいただけます。また、定期的な保守業務は必要ないという企業様にも、現在必要な対応のみをスポット対応として個別にご依頼いただくことも可能です。
まずは、現在のお困り事や課題など、ITボランチへご相談してみませんか。ご相談は無料ですのでお気軽にご相談くださいませ。
