COLUMN

1. VPNのセキュリティの仕組み

VPNには、①トンネリング、②カプセル化、③認証、④暗号化の4つのセキュリティに関する仕組みがあります。それぞれ以下のような機能があります。

わかりやすく説明をすると、専用通路を使用して通信を行う際、中のデータが通信の途中で外部から読まれないようにするために、データを別のデータで覆ったり、正当な権限を持っていない利用者がアクセスできないようにしたり、そのデータを暗号化して内容を解読されないようにしたりする仕組みがあります。

1-1.VPNの種類とセキュリティ強度

VPNには、大きく分けてインターネットVPNとIP‐VPN、エントリーVPNと広域イーサネットの4種類があります。これらは種類によってセキュリティの高さが異なります。

• 横にスクロールします

以上のように、VPNの種類によって、情報漏えいのリスクを抱えているものもあれば、セキュリティ性が高いものもあり、さまざまなメリット、デメリットが存在します。

企業にとって今後どういったVPNを選ぶかは、実際利用する環境や状況、今後の利用方針などを踏まえ、適切に選ぶことで企業にとってプラスの価値を生み出してくれます。

そのため、VPNの機能や性能を理解することが必要となります。

VPNの仕組みやメリット・デメリットについては、以下の記事でも説明しています。より詳しく知りたい方はぜひ参考にしてください。

VPNとは？仕組みやメリット・デメリット、おすすめの利用シーンを解説

クラウドへの代表的な4種類の接続方法である、インターネット、インターネットVPN、閉域ネットワーク・専用線での接続について、それぞれの概要や特徴などをご紹介している「比べて納得！クラウドへの接続方法」はこちらよりダウンロードできますので、ぜひご確認ください。

2. VPN利用時に注意すべきセキュリティリスク

VPNはセキュリティを高めるための仕組みではありますが、リスクも顕在化しています。

ここでは、VPN利用時に注意すべきセキュリティリスクを3つ紹介します。

2-1.VPN機器の脆弱性によるもの

1つ目は「VPN機器の脆弱性によるもの」です。

2019年ごろから複数社でVPN機器の脆弱性が報告され、それを狙ったサイバー攻撃が発生しました。

この問題は、本来メーカー側からリリースされたアップデートにより解決できるものでしたが、導入企業側のアップデートへの対応が遅れ、脆弱性を放置したまま運用していたことでゼロデイ攻撃などのサイバー攻撃を受けるきっかけとなりました。

対策としては、使用しているVPN機器のセキュリティパッチの情報を定期的に確認し、配信されていたら早急に適用することです。すぐセキュリティパッチをあてるのが難しい場合でも、メーカーから恒久対策として別の手段が掲載されていることがあります。

また、緊急性や危険性の高い脆弱性については、IPAやJPCERT/CCをはじめとする信頼性の高い機関からも発信されるため、合わせて確認できるとよいでしょう。

脆弱性への対応は、企業や保有している情報を脅威やリスクから守ることにもつながります。そのため、早急な対応を行う必要があります。

2-2.無料VPN・無料Wi-Fiの利用

2つ目は、「無料VPN・無料Wi-Fiの利用」です。

無料VPN・無料Wi-Fiは、無料で利用ができるとても便利なサービスです。

しかし、通信が暗号化されていない、認証にパスワードがないなどといったセキュリティが非常に低く、危険なサービスも多くあります。これらは、適切に運営されていない可能性があるものもあるため注意が必要です。

また、カフェやホテル、駅などの店舗や施設で設置されている公衆回線を利用する際は、どこで誰に通信を傍受されているかわかりません。最悪の場合、公衆回線を利用したことで、情報漏えいにつながり、会社に損害を与える可能性があります。

そのため、機密情報や企業秘密などの情報の送受信を公衆回線でやりとりするのはやめましょう。

2-3.ウイルス感染端末によるもの

3つ目は、「ウイルス感染端末によるもの」です。

VPNは仮想的な専用線を敷設し、機器間の通信をセキュアな状態にするものです。しかし、通信する機器がウイルスに感染していたら、相手の機器やほかの機器にも影響を与える可能性があります。

たとえば、2019年頃から猛威を振るっているマルウェア「Emotet」は、メールに添付されていたオフィスファイルを開封したことによって感染を広めました。こうした経路で感染した場合、例えVPNを利用していたとしても感染拡大に加担してしまうリスクがあります。

また、VPNはセキュリティ機器とはいえ、ウイルス対策ソフトのようにウイルスを検知したり、駆除したりといった機能は持ち合わせていません。そのため、情報セキュリティ対策ソフトの導入もしっかりと行う必要があります。

3.VPNを狙ったサイバー攻撃事例

VPNはインターネット上で安全に通信するための技術です。しかし、それ自体がサイバー攻撃の標的になることもあります。

VPNを狙ったサイバー攻撃は、過去に以下のような事例がありました。

3-1.VPN機器の脆弱性を狙ったサイバー攻撃事例

VPN機器とは、VPN接続を実現するための専用の機器です。

VPN機器には、ソフトウェアのバグや設定ミスによって、不正なアクセスを許してしまう脆弱性が存在する場合があります。サイバー攻撃者は、このような脆弱性を突いて、VPN機器を乗っ取ったり、内部ネットワークに侵入したりすることができます。

ある自治体では、VPN機器の脆弱性を狙ったサイバー攻撃が発生しました。

それにより、そのシステムに格納されていた市民情報が外部に漏えいするといった被害が発生しました。また、格納されていた市民情報は暗号化され、復旧するまでに時間がかかってしまいました。

このように、VPN機器の脆弱性を狙ったサイバー攻撃は、情報漏えいやサービス停止などの深刻な影響を及ぼす可能性があります。

3-2.パスワードの管理不備

VPN接続には、通常、ユーザー名とパスワードなどの認証情報が必要です。

しかし、認証情報の管理に不備があると、サイバー攻撃者によって盗まれたり、推測されたりするリスクがあります。サイバー攻撃者は、不正に入手した認証情報を使って、VPN接続を行い、内部ネットワークに侵入することができます。

ある企業では、社内システムがランサムウェアに感染し、複数のサーバーが暗号化され、機能が停止するといった事象が発生しました。原因を調査したところVPN機器におけるパスワードが外部に漏えいしており、それが元で不正アクセスされていました。

パスワードの管理不備は、サイバー攻撃者にとって格好の餌食となります。また、パスワードが弱い場合や、同じパスワードを複数のサービスで使っている場合も、サイバー攻撃者によるブルートフォース攻撃やパスワードリスト攻撃などによって、VPN接続が危険にさらされる可能性があります。

3-3.端末からVPNへの感染拡大

VPN接続を行う端末には、ウイルス感染やマルウェア感染などのリスクがあります。

特に、端末が感染していると、VPN接続を通じて、内部ネットワークにも感染が拡大する恐れがあります。

ある組織では、従業員がノートパソコンを組織外インターネットに接続した際に、マルウェアに感染しました。マルウェアに感染していたことに気づかなかった従業員は、組織内インターネットに接続後、マルウェアのワーム機能により社内のVPN機器を介して組織内のサーバーおよびパソコンに感染が拡大しました。

このように、端末からVPNへの感染拡大は、ネットワークの機能やデータの安全性を脅かす可能性があります。

4. VPNを安心して使うために行うべき情報セキュリティ対策

VPNを安心して使うためには、次のような情報セキュリティ対策が必要です。

• 利用する従業員のセキュリティ意識を高める
• 端末にセキュリティソフトを導入する
• 二要素認証を導入する

詳しい内容をチェックしておきましょう。

4-1.利用する従業員のセキュリティ意識を高める

情報セキュリティ対策の効果を上げるには、VPNを利用する従業員のセキュリティ意識を向上させることが必須です。

VPNを導入したとしても、従業員のセキュリティ意識が低いと、

• IDやパスワードなどの管理がずさんで漏えいする
• アップデートを忘れて脆弱性が放置される
• 不審な添付ファイルを安易に開いてウイルスをダウンロードする

などが発生し、情報漏えいする危険性があるからです。

VPNで情報セキュリティ対策をしたから大丈夫だろうと油断するのが一番リスキーなので、研修や利用ルールの共有を通じて、従業員のセキュリティ意識を高めるようにしましょう。

4-2.端末にセキュリティソフトを導入する

セキュリティソフトを導入するなど、パソコンやタブレットといった使用する端末自体の情報セキュリティ対策を別途行いましょう。

なぜならVPNで対策できるのは、ネットワークのセキュリティだけだからです。いくら通信の安全性を高めても、端末がウイルスに感染すれば、簡単に情報漏えいは起こります。情報セキュリティ対策は1つ導入すれば安心と思わずに、多層的に行うことを心がけましょう。

また、インストールしたセキュリティソフトの効果を発揮させるためにも、セキュリティソフトの定期的なアップデートを忘れないようにしてください。

4-3.二要素認証を導入する

VPNルーターに接続時の認証は、二要素認証にしておくことをおすすめします。ルーターの脆弱性（セキュリティの弱い部分）を狙って攻撃を仕掛けられることがあるからです。

二要素認証とは、ID・パスワードに加えて、生体認証やPINなどを組み合わせる認証方法です。二要素認証を設定しておくことで、万一IDやパスワードが漏えいしても、不正アクセスを防ぐことができます。

ルーターが攻撃され認証情報が漏えいしてしまうと、せっかく悪意ある第三者をシャットアウトするために構築したVPN内に、アクセスし放題になってしまうのです。

万が一、脆弱性を狙われた時でも情報漏えいしないようにするため、認証は多層化しておきましょう。

5.クラウド環境への接続もセキュリティに考慮する必要がある

2021年度に総務省が公表した「クラウドセキュリティガイドライン活用ガイドブック」によるとクラウドサービス選定時に考慮すべきリスクとして以下のように記載されています。

クラウドサービス選定時には、クラウドセキュリティガイドラインに従い、適切な情報公開や機能の実装を行っている事業者を選定しましょう。

また、複数のクラウドサービスを併用する場合は、クラウドサービスごとに「企業と提供事業者の責任範囲」をきちんと明確にし、それに沿った対策を講じていく必要があります。

出典：クラウドセキュリティガイドライン活用ガイドブック

6.クラウド環境へのセキュアな接続なら閉域ネットワークがおすすめ

クラウド環境との接続でVPNを検討している場合は、よりセキュリティ性の高い閉域ネットワークで結ぶサービスもおすすめです。

閉域ネットワークとは、インターネットとは別の専用のネットワークであり、第三者に傍受されたり、改ざんされたりするリスクが低いという特徴があります。

NTT東日本では、閉域ネットワークでAWSやGoogle Cloud Platform、Microsoft Azureなどのクラウド環境との接続を実現するサービスとして、「クラウドゲートウェイクロスコネクト」を提供しています。

このサービスでは、NTT東日本の閉域ネットワークサービスから、仮想的に独立したネットワークからセキュリティの高いクラウドサービスとの接続が可能です。

また、クラウド事業者が提供する接続サービスを利用する場合に必要な通信回線・ラック・機器等をパッケージ化してレディメイドで提供することにより、お客さまの手間を削減し、スピーディーな利用開始につなげることができます。

不明点や気になる点がありましたら、ぜひお気軽にご相談ください。

クラウドに関するご相談・お問い合わせフォーム | NTT東日本 (ntt-east.co.jp)

7. まとめ

VPNはセキュリティ製品ではありますが、インターネットとスマートフォンやパソコンの間を仮想専用線でトンネルのようにつなぐことで、悪意のある第三者からの侵入や攻撃を防ぐ技術であり、マルウェアやウイルスなどからの被害を防ぐことはできません。

実際にVPN機器の脆弱性を狙ったサイバー攻撃や情報漏えい、サービス停止などの被害が発生した事例があります。

そのため、インターネットにおけるウイルス対策や従業員のセキュリティ教育実施、二要素認証の導入などを行い、企業全体でサイバー攻撃に対し、強固な組織にならなければなりません。

VPNは、インターネットを利用する際に、安全に通信するための技術です。しかし、VPNにも情報セキュリティ対策は必要です。VPNのセキュリティに関する基礎知識や実際の事例、対策方法などを参考にして、安全に使いこなしましょう。