2021.10.29 (Fri)

ネットワークとは？お役立ち情報をご紹介（第４回）

VPNのセキュリティの仕組みとは？安全性やリスクを紹介

　VPNは一般的にセキュリティが高く、企業におけるデータのやりとりでも安全とされています。しかし、VPNにもセキュリティリスクがないわけではなく、ビジネスインフラとして利用する際には注意や対策が必要です。

　今回の記事では、VPNのセキュリティを支える仕組みやセキュリティリスク、導入・利用時の対策について説明していきます。

◆目次
VPNとはそもそも何か？
VPNのセキュリティの仕組み
 VPNのセキュリティリスク
 無料VPNの危険性
 VPNを利用する時のセキュリティ対策
 まとめ

VPNとはそもそも何か？

　VPNとはVirtual Private Networkの略で、日本語では仮想専用線と呼ばれる擬似的なプライベートネットワークのことです。独自の通信経路をインターネット上などに用意して、通信内容を暗号化し、認証を受けた人のみがやりとり可能となります。拠点と拠点を直接繋ぐ専用線よりもセキュリティはやや落ちますが、比較的低コストで複数拠点での暗号化通信が可能であるため、テレワークなどでもインターネット回線をそのまま利用するよりセキュアな通信が可能です。

VPNとは？仕組みや導入メリット・専用線との違いを紹介

VPNのセキュリティの仕組み

　VPNがプライベートな通信を可能にしている仕組みについて説明します。

VPNのセキュリティ技術

　VPN上の通信は、トンネリング、暗号化、認証によって成り立っています。データを通信するためのトンネルで外部からのアクセスを遮断し、やりとりされるデータは暗号化されます。また認証がないとデータを送受信することができません。この仕組みによって、オープンなインターネット環境でも擬似的なプライベート通信が可能となります。

プロトコル

　上記に加えて、通信方法のルールであるプロトコルにも種類があり、それぞれによってセキュリティレベルは変化します。VPNはサービスによってこのプロトコルの種類が違います。

　設定が複雑ですがセキュリティ性の高いIPsec-VPN、ひとつのトンネルで複数アクセスが可能なL2TP、通信速度が早いけれどセキュリティがやや劣るPPTP、設定がしやすく低コストに暗号化が可能なSSL-VPNの4種類です。

接続方法の違い

　プロトコルは通信方法ですが、さらに接続するための方法にも種類があります。すでに利用しているインターネット回線に接続するインターネットVPNと、通信事業者が用意している独自の閉域ネットワークを利用するIP-VPNはセキュリティ面で大きな違いがあります。

　公衆回線であるインターネットではVPNといえど不正アクセスされる可能性がありますが、IP-VPNは回線自体がプライベートで、VPNの利用ユーザーと通信事業者しかアクセスできません。そのため、セキュリティレベルがより高いです。

　インターネットを利用しないVPNとしては、ブロードバンド回線を利用するエントリーVPNや、IP-VPNよりもプロトコルの種類が豊富な広域イーサネットなどがあります。

インターネットVPNと IP-VPNの違いは？

安定のプライベートネットワーク「フレッツ・VPNプライオ」

VPNのセキュリティリスク

　VPNは安全性の高い通信ですが、一定のセキュリティリスクもあります。

機器やシステムの脆弱性

　VPNのネットワークはハッカーなどから外部攻撃を行われる可能性があり、日々新たな手法での攻撃に対抗するため、セキュリティシステムの更新を行っています。

　システムの脆弱性が発見された場合、パッチを当てて更新する必要がありますが、この対応スピードはサービスによって違いがあります。脆弱性への対応が遅いサービスではその分のセキュリティリスクが高まります。

事業者から情報が漏れる可能性

　VPNを提供するサービス事業者が利用者のデータにアクセスすることは基本的にありませんが、レアなケースではあるものの不正なデータ販売などに悪用される可能性があります。とくに後述する無料のVPNで信頼性が低いものはこのリスクが高まります。

端末の紛失や盗難

　VPNはネットワークとしての安全性はありますが、それを利用する端末自体のセキュリティには関与しません。そのため、VPNの接続情報を保持している端末の紛失や盗難による不正アクセスのリスクがあります。また、端末自体に保存されているローカルデータの不正利用の可能性もあります。

マルウェアなどのウイルス感染

　VPNを利用する端末が、VPN以外の通信方法によりマルウェアなどのウイルスに感染するリスクがあります。その端末経由で、プライベートなネットワークであるVPNの回線やそこに接続されたサーバーまでウイルスが拡大する可能性もあります。

なりすましによる不正アクセス

　上述のように端末の紛失や盗難、またはパスワードの使い回しなどによって、VPNの認証情報が外部に漏えいした場合、なりすましによる不正アクセスを受ける可能性があります。重要なデータが保存された社内サーバーへの不正アクセスを許してしまえば、機密情報漏えいなどにつながる危険性も。

フリーWi-Fi利用による情報漏えい

　インターネットVPNでは既存のネットワーク回線を利用するため、そのネットワーク自体の安全性によってはセキュリティリスクが高まります。

　特に公共のフリーWi-Fiは注意が必要です。通信内容が同じWi-Fiの他の利用者に傍受される可能性があり、VPNのアクセス情報がわかれば不正アクセスを許してしまいかねません。

無料VPNの危険性

　VPNの中でも無料のものは別の意味でセキュリティにおける危険性が高いです。善意で提供している無料VPNだけでなく、営利目的でユーザー以外から利益を得ている場合は特に注意が必要です。

不正アクセスの可能性

　無料のVPNは、有料のものよりもセキュリティレベルが低いケースが多いです。そのため外部からの不正アクセスのリスクが高まります。古い技術をそのまま利用していて、暗号化のレベルが低い、脆弱性への対策が遅いなどの理由があります。

事業者によるデータの不正利用のおそれ

　無料VPN事業者の収益源として、データの不正販売の可能性があります。有料VPNはサービスの利用者から収益をあげていますが、無料の場合はVPN事業者がユーザーの通信内容を取得して不正販売することで、収益をあげているケースがあります。

　不正に利用される可能性のある内容には、ブラウザの閲覧履歴やIPアドレスなどの情報から、フォームに入力した電話番号・メールアドレス・銀行の口座番号・クレジットカード番号・住所などの個人情報なども含みます。

アドウェアなどの感染

　アドウェアとは不正に広告を表示することで収益を得るタイプのマルウェアです。無料VPN事業者の収益源のひとつとしてアドウェア経由の広告収入が挙げられます。場合によっては表示された広告経由で別のマルウェアに感染することもあります。近年ではVPNを装ったアドウェアなども多くの事例があります。

VPNを無料で利用する方法は？メリットやデメリットも紹介

VPNを利用する時のセキュリティ対策

　VPNをより安全に利用するために意識したい対策を紹介します。

認証システムの強化

　VPNの不正ログインを防ぐためにサーバーとの認証を二段階認証などにしましょう。ID、パスワードによるログインと、利用するデバイスの認証があれば、片方が流出しても第三者がアクセスすることはできません。

ウイルス対策

　利用するデバイスにVPNのログイン情報を盗まれないようにウイルス対策ソフトを導入しましょう。また新たな脆弱性への対策がされた場合に備え、最新のソフトウェアへのアップデートはかかさず行いましょう。

利用履歴の定期的なチェック

　情報システム担当者はVPNの不正利用がないかを、利用履歴などのログデータから定期的にチェックしましょう。

利用ソフトの制限

　端末への不正アクセスやマルウェア感染を防ぐために、会社で承認していないソフトはダウンロードできないようにしましょう。ソフトウェア経由で端末への不正アクセス、VPN認証情報の取得、VPNへの不正アクセスなどのきっかけになる可能性があります。

フリーWi-Fiの利用禁止

　前述の通りフリーWi-FiはVPNを利用していてもセキュリティリスクが高いため、そもそも利用を禁止して、会社支給やVPN事業者が提供するモバイルルーターやスマートフォンのテザリングなどを活用する形が望ましいです。

個別の端末にデータを保存しない

　VPNへの接続情報を持っている端末の盗難・紛失への対策として、そもそも個別の端末にデータを保存しない方式もあります。テレワークで利用されるリモートデスクトップなどは、オフィスにあるパソコンアクセスし操作するため、個別のパソコンにはデータが保存されません。

従業員のリテラシー向上

　ルールの策定だけでなく、実際に利用する従業員への注意喚起や研修の実施などを行いましょう。専用線を利用していた場合は、安全性が高いため一人ひとりがそれほど意識せずともセキュリティは保たれていましたが、VPNでは利用者個人の使い方によって安全性も左右されます。リテラシーやセキュリティへの意識向上が必要です。