COLUMN

VPNにもセキュリティリスクはある!仕組みや注意点・対策などを解説

クラウドサーバーやネットワークなど、クラウドに関する情報満載のNTT東日本メールマガジンはこちらからご登録ください。

VPNとはVirtual Private Networkの略称で、ネットワーク接続のセキュリティを高める技術の1つです。仮想専用線とも呼ばれ、暗号化など複数のセキュリティ対策を施すことで、インターネットなどの他ユーザーと共用の回線を利用しながらも、安全に情報をやり取りすることができます。

ただし、VPNのセキュリティも万全ではなく、情報漏えいのリスクはあることに注意が必要です。「VPNを導入したから何の心配もないだろう」と油断していると、思わぬトラブルに巻き込まれかねません。

VPNのセキュリティリスクには、

  • VPNサーバーをサイバー攻撃される
  • IDやパスワードが漏えいする

など、さまざまなものがあります。

VPNを本当に安全に使うには、どのようなセキュリティ上のリスクがあるのかを把握し、適切な対策をとっておくことが大切です。

VPNを安心して使うために行うべきセキュリティ対策の例
  • 利用する従業員のセキュリティ意識を高める
  • 端末にセキュリティソフトを導入する
  • テレワーク時の端末はVPN接続を徹底
  • 二要素認証を導入する

今回は、VPNを安全に使いこなすために知っておかなければならないVPNのセキュリティに関する基礎知識や実際の事例などを解説します。

【この記事のポイント】

  • VPNのセキュリティとは
  • VPN利用時に注意すべきセキュリティリスク
  • VPN利用時のセキュリティに関する事故の事例
  • VPNを安心して使うために行うべきセキュリティ対策
  • セキュリティ以外にもVPN検討時に注意すべき点

このようなポイントを確認しておくことで、VPNのセキュリティについて基本的なことを理解し、適切な回線やセキュリティ対策を選択することができるようになるでしょう。さらに、セキュリティ以外にVPNで注意すべき点も解説していますので、これからVPNの導入や乗り換えを検討中の方も安心です。

デジタル化の進展やテレワークの浸透に伴い、業務の中でネットワークを使う機会は圧倒的に増え、ネットワークのセキュリティ対策の重要性は高まる一方です。この機会にVPNやネットワークのセキュリティ対策について再確認し、情報漏えいなどの危険性を抑えましょう。

クラウドサーバーやネットワークなど、クラウドに関する情報満載のNTT東日本メールマガジンはこちらからご登録ください。

1. VPNのセキュリティとは

VPN(Virtual Private Network)は、ネットワーク経由で情報をやり取りするときの安全性を手軽に高めることができるセキュリティ対策のことです。送受信するデータを暗号化するなど、悪意のあるユーザーから簡単に覗き見できないように加工して安全性を高めます。

企業が自社専用の回線を新たに準備して通信のセキュリティを確保する専用線と異なり、既存の回線を利用するVPNは、コストや導入に要する期間を抑えられるのがメリットです。

その手軽さから、次のとおりさまざまな場面で利用されています。

【VPNの代表的な利用シーン】

  • テレワーク時の社外(自宅など)にある端末と社内サーバーとの接続
  • リモートワーク時のモバイル端末(スマートフォンなど)と社内サーバーとの接続
  • 企業の本社と支社間など拠点間の接続

VPNは気軽なセキュリティ対策としてよく使われていますが、セキュリティリスクはゼロではありません。また、VPNの種類によってセキュリティ強度に差があります。ここでは、VPNのセキュリティについて、その仕組みや種類による違いなど基本を確認しておきましょう。

1-1. VPNのセキュリティを高める仕組み

VPNは、①トンネリング、②カプセル化、③暗号化の3つのセキュリティ対策を重ねて行うことで、通信の安全性を高めています。

  • 横にスクロールします
VPNのセキュリティを高める仕組み
①トンネリング
  • ネットワーク内にトンネルのような専用通路を作り、その中で情報をやり取りする
  • トンネルの中に侵入しない限り、どのような情報が行き来しているのか、外側から見ることができない
②カプセル化
  • トンネルの中を行き来する情報をカプセルのように別のデータで覆う
③暗号化
  • 内容がわからないようにカプセル内のデータを暗号化

上記のとおりVPNでは、

  • トンネルで、情報の行き来が外から見えないようにする
  • 万一トンネル内に侵入されても、カプセルで隠す
  • カプセルを開けられても、やり取りするデータ内容がわかりにくいよう暗号化する

という3層構造で情報のセキュリティを確保しているのです。

1-2. VPNのセキュリティは種類によって差がある

ただしVPNには、大きく分けてインターネットVPNとIP‐VPNの2種類があり、種類によってセキュリティの高さが異なります

インターネットVPNとは、公衆のインターネット回線に仮想の専用回線を設けて通信するVPNです。VPNルーターを準備・設置するだけで導入できるので、リーズナブルに利用することができます。一方、通信の速度や品質はベストエフォート型で、現在契約中のインターネット環境に依存します。

インターネットVPNは、インターネット回線を使う以上、サイバー攻撃のリスクはあると考えておきましょう。

IP‐VPNとは、サービス提供事業者が保有する閉域ネットワーク内に仮想の専用線を設けて通信するVPNです。閉域網を使う分、インターネットVPNより格段にセキュリティが高く、通信の速度・品質の保証があるので、通信環境の快適さも実現できます。

ただし、コストがかさみやすく、インターネットVPNの自社構築なら初期費用としてルーター購入費用として数万円程度で済みますが、IP‐VPNでは導入規模にもよりますが初期費用数万円に加えて月額利用料として数万円はかかるでしょう。

【VPNの種類別おすすめケース】

  • インターネットVPNは、重要な情報(個人情報や機密情報)はやり取りしないなどインターネットを使っても問題がなく、コストをできるだけ抑えたいケースにおすすめ
  • IP‐VPNは、多少費用をかけてでも高いセキュリティと通信品質を実現したいケースに向いている

2. VPN利用時に注意すべきセキュリティリスクの具体例

VPNを導入するだけでは、セキュリティは万全とは言えません。VPN利用時のパスワード管理やデバイス自体のウイルス対策をしておかないと、情報漏えいなどのリスクがあるからです。

VPN利用時に注意すべきセキュリティリスクの具体例
  • VPNを使わなかったときにPC本体がウイルス感染
  • VPN機器の脆弱性を攻撃される

代表的なセキュリティリスクの内容を確認しておきましょう。

2-1. VPNを使わなかったときにPC本体がウイルス感染

日ごろはVPNを利用してやり取りしているPCなども、1度でもVPNを利用せずにインターネットに接続すると、ウイルスに感染するリスクがあります。

テレワークやリモートワークで使うデバイスは、無意識にVPNを使わずにネットワークに接続してしまう可能性があるので、注意が必要です。特に、スマートフォン・タブレットといったモバイル端末や私物のデバイスを仕事で利用する場合は、デバイス本体のセキュリティ対策を徹底しましょう。

【事例】

ある会社の事例では、従業員が在宅勤務中にVPNを利用せずネットを閲覧したことでパソコンがウイルスに感染し、そのパソコンをそのまま社内ネットワークに接続したことで感染が拡大する事態に陥りました。その結果、不正アクセスが起きた被害に発展しています。


【リスクを防ぐポイント】

  • 社外で使用する端末の利用ルールを定め、従業員に徹底する
  • セキュリティ対策ソフトをインストールする

2-2. VPN機器の脆弱性を攻撃される

VPN機器に脆弱性があると、そこを狙ってサイバー攻撃され、IDやパスワードなどの認証情報が漏えいするリスクがあります。

IDやパスワードを盗まれると、悪意の第三者がVPNに自由にアクセスできるようになり、不正アクセスし放題になってしまうでしょう。

【事例】

VPN機器が脆弱性を狙った攻撃を受け、機密情報が8万件以上流出し、他のデータも不正に暗号化され使えなくなるという事案がありました。情報漏えいした情報元への対応業務に加え、セキュリティの強化に数億円以上のコストがかかったとのことです。

脆弱性とは、OSやソフトウェアのプログラム上の欠陥や不具合のことです。放置するとセキュリティが低下し、不正アクセスやウイルス感染のリスクが高くなります。脆弱性を解消するには、アップデートを定期的に行って、速やかに修正プログラムを適用することが必要です。

【リスクを防ぐポイント】

  • VPNサーバーのアップデートをこまめに行う
  • VPNアクセス時の認証に、二段階認証を導入する

3. VPN利用時のセキュリティに関する事故

VPNを利用していたにもかかわらず、不正アクセスなどのセキュリティインシデントが発生した事例は多く存在します。総務省の最新の調査でも、テレワーク時に導入したVPNの脆弱性を狙った不正アクセスが発生していることが指摘されています。

IPAの「情報セキュリティ10大脅威 2022」においても、「テレワークなど新しい働き方を狙った攻撃」が組織の情報セキュリティ上の脅威で第4位にランクインしており、注意が必要です。

4. VPNを安心して使うために行うべきセキュリティ対策

VPNを安心して使うためには、次のようなセキュリティ対策が必要です。

VPNを安心して使うために行うべきセキュリティ対策の例
  • 利用する従業員のセキュリティ意識を高める
  • 端末にセキュリティソフトを導入する
  • テレワーク時の端末はVPN接続を徹底
  • 二要素認証を導入する

詳しい内容をチェックしておきましょう。

4-1. 利用する従業員のセキュリティ意識を高める

セキュリティ対策の効果を上げるには、VPNを利用する従業員のセキュリティ意識を向上させることが必須です。

VPNを導入したとしても、従業員のセキュリティ意識が低いと、

  • IDやパスワードなどの管理がずさんで漏えいする
  • アップデートを忘れて脆弱性が放置される
  • 不審な添付ファイルを安易に開いてウイルスをダウンロードする

などが発生し、情報漏えいする危険性があるからです。

VPNでセキュリティ対策をしたから大丈夫だろうと油断するのが一番リスキーなので、研修や利用ルールの共有を通じて、従業員のセキュリティ意識を高めるようにしましょう。

4-2. 端末にセキュリティソフトを導入する

セキュリティソフトを導入するなど、パソコンやタブレットといった使用する端末自体のセキュリティ対策を別途行いましょう

VPNで対策できるのは、ネットワークのセキュリティだけだからです。いくら通信の安全性を高めても、端末がウイルスに感染すれば、簡単に情報漏えいは起こります。セキュリティ対策は1つ導入すれば安心と思わずに、多層的に行うことを心がけましょう。

また、インストールしたセキュリティソフトの効果を発揮させるためにも、セキュリティソフトの定期的なアップデートを忘れないようにしてください。

4-3. テレワーク時の端末はVPN接続を徹底

テレワーク時の端末はVPN接続を徹底し、安易にVPNなしでインターネットを閲覧しないようにしましょう。

基本的にVPN接続で通信していても、たった1回VPNを通さずにインターネットを利用しただけで、悪質なウイルスに感染する場合があるからです。

自宅でテレワークをしていると、休憩中にVPNを使わずにSNSなどを確認したくなる従業員もいるかもしれませんが、社内のシステムに接続するデバイスは、VPNの利用を徹底させましょう。

4-4. 二要素認証を導入する

VPNルーターに接続時の認証は、二要素認証にしておくことをおすすめします。ルーターの脆弱性(セキュリティの弱い部分)を狙って攻撃を仕掛けられることがあるからです。

二要素認証とは、ID・パスワードに加えて、生体認証やPINなどを組み合わせる認証方法です。二要素認証を設定しておくことで、万一IDやパスワードが漏えいしても、不正アクセスを防ぐことができます。

ルーターが攻撃され認証情報が漏えいしてしまうと、せっかく悪意ある第三者をシャットアウトするために構築したVPN内に、アクセスし放題になってしまうのです。

万一脆弱性を狙われた時でも情報漏えいしないようにするため、認証は多層化しておきましょう。

5. セキュリティ以外にも!VPN検討時に注意すべきこと

VPNをこれから導入しようと考えているなら、次のような点にも注意しましょう。

セキュリティ以外にも!VPN検討時に注意すべきこと
  • 設定や保守管理は自社でできるのか
  • 回線速度(ベストエフォート)について把握できているか
  • コスト削減を目的とする場合、インターネット契約も込みでもコストは抑えられるのか

5-1. 設定や保守管理は自社でできるのか

VPNの導入を検討するときに確認しておくべきなのが、導入後、設定や保守管理は自分たちで対応できるのかという点です。知識的に対応できるのかどうかも大切ですが、そもそも、人的リソースに対応する余裕があるのかという点まで確認しておく必要があります。

特にVPNに切り替えを行うときは、コスト削減効果にばかり目が行って、保守管理の手間などは度外視してしまうケースがあるからです。

「VPNを導入したものの、追加業務が負担になって保守がうまくいかなくなった」ということがないように、導入前に確認しておきましょう。

5-2. 回線速度について把握できているか

特にインターネットVPNを検討している場合に注意したいのが、回線速度です。回線速度とは「100Mbps」などと表示されている数値のことで、大きくなるほど通信速度は早く快適になります。

一般的にビジネス用途であれば、

  • 通常の使用環境であれば10Mbps程度
  • 大きなデータのやり取りを頻繁に行いたいなら50~100Mbps程度

が目安でしょう。ここで注意したいのが、表示されている回線速度がベストエフォートの場合、それは理論上の最大値であって、実際の利用時にその速度がでることを保証する趣旨ではないという点です。

通常のインターネット回線は利用状況によって速度が落ち込む場合も多いので、自社の通信量を踏まえて、インターネット提供事業者に確認しておくようにしましょう。不安があるなら、通信速度が安定しやすい「帯域保証」のプランを検討してみるのもよいでしょう。

5-3. コスト削減を目的とする場合、諸費用込みでもコストは抑えられるのか

コストを削減する目的でVPNを検討しているなら、インターネット回線契約の費用やオプション費用なども含めて試算し、本当にコスト削減効果はあるのか、事前にチェックしておきましょう。

よくあるパターンが、

  • 安いと思ったら、オプション費用が高くついた
  • VPNの速度低下を抑える目的で高品質なインターネット回線を契約したら、コスト削減効果がなかった

というものです。コストはトータルで試算して、導入を検討しましょう。

6. NTT東日本の「閉域ネットワーク」なら安心のセキュリティを提供できます

「簡単に安全なネットワーク環境を整えたい」

「安全性も通信速度も必要だけど、おすすめのVPNサービスは?」

このようにお考えでしたら、NTT東日本の閉域ネットワークを、ぜひご検討ください

NTT東日本なら、150社以上のクラウド導入支援を行ってきた豊富な経験に基づくノウハウと多数の有資格者の確かな知識に基づき、VPN導入だけでなくセキュリティの高い業務環境の構築も、まとめて最適化を実現できます。

NTT東日本だから実現できる!3つのポイント

1. 今あるフレッツ光回線を活かして、簡単に閉域ネットワーク接続を実現!

2. ネットワーク以外の安全なクラウド環境も構築できる

3. 24時間365日の状態監視、障害対応で運用業務を効率化しながらセキュリティ強化

6-1. 今あるフレッツ光回線を活かして、簡単に閉域ネットワーク接続を実現!

NTT東日本のIP‐VPN「クラウドゲートウェイ」なら、次のような課題もスムーズに手間なく解決できます。

  • 横にスクロールします
NTT東日本で解決できる課題の例
①今のネットワークを変更したくない 現在のフレッツ回線を活かして閉域ネットワークを構築できます
②できるだけインターネットを使いたくない インターネットを経由しない閉域ネットワーク環境だから、安全性も通信速度も満足できます
③高速で影響を受けにくい接続 閉域ネットワークだから、他の利用者の影響を受けにくい通信環境です

お気軽にご相談ください。

6-2. ネットワーク以外の安全なクラウド環境も構築できる

NTT東日本では、ネットワークやクラウド、環境構築・設定などすべてを1つの窓口で解決できるワンストップサポートを実施しています。

「閉域ネットワークはA社で導入して、クラウドはB社で手配して…」といった余計な手間は、かかりません。最適な閉域ネットワークの選定・クラウド環境の構築・面倒な設定や運用、すべてNTT東日本にお任せください。

まとめてすべて解決できることで、相談の手間やご担当者さまの負担を最小限にできるから安心です。クVPNの検討を期に、社内の課題をまとめて解決してしまいませんか?

6-3. 24時間365日の状態監視、障害対応で運用業務を効率化しながらセキュリティ強化

「セキュリティを強化したいけれど、業務が増えるのは困る」

「新しいシステムを導入すると、運用担当者の負担が増えて大変」

このようにお考えの方におすすめなのが、NTT東日本の24時間365日対応の保守サポートです。

NTT東日本のクラウド監視・運用代行サービスでは、監視・通知、故障発生時の受付・一次切り分けなどを、NTT東日本が代行。日常的な運用業務を、すべてNTT東日本にお任せいただけます

【NTT東日本のクラウド監視・運用代行のポイント】

  • 24時間365日対応で安心
  • 監視・通知、故障発生時の受付・一次切り分けなど、さまざまな対応が可能
  • 運用計画やご依頼に基づいた、ユーザー追加や設定変更作業なども代行

プランは、選べる3種類。お客さまの「ここまでは任せたいな」に柔軟に対応いたします。

お気軽にお問い合わせください。

7. まとめ

VPNは、通信時のセキュリティを手軽に高められる技術です。コストや導入に要する期間を抑えられるのがメリットで、テレワークや拠点間接続などで利用されています。

ただし、セキュリティ強化できるVPNを使っていても、万全ではありません。VPN利用時に注意すべき主なセキュリティリスクは、次のとおりです。

VPN利用時に注意すべきセキュリティリスクの具体例
  • VPNを使わなかったときにPC本体がウイルス感染
  • VPN機器の脆弱性を攻撃される

VPNを安心して使うためには、次のようなセキュリティ対策をあわせて行いましょう。

VPNを安心して使うために行うべきセキュリティ対策の例
  • 利用する従業員のセキュリティ意識を高める
  • 端末にセキュリティソフトを導入する
  • テレワーク時の端末はVPN接続を徹底
  • 二要素認証を導入する

これからVPNを導入する場合は、セキュリティ以外にも注意すべき点があります。

セキュリティ以外にも!VPN検討時に注意すべきこと
  • 設定や保守管理は自社でできるのか
  • 回線速度(ベストエフォート)について把握できているか
  • コスト削減を目的とする場合、インターネット契約も込みでもコストは抑えられるのか

VPNはネットワークのセキュリティ対策としては効果的ですが、VPNを導入したからといって、すべてのセキュリティリスクを抑えられるわけではありません。VPNには何ができて、どういう弱点があるのかを正しく把握し、適切な対策を組み合わせることが大切です。

ページ上部へ戻る

無料ダウンロード

自社のクラウド導入に必要な知識、ポイントを
このに総まとめ!

あなたはクラウド化の
何の情報を知りたいですか?

  • そもそも自社は本当にクラウド化すべき?オンプレとクラウドの違いは?
  • 【AWS・Azure・Google Cloud】
    どれが自社に最もマッチするの?
  • 情シス担当者の負荷を減らしてコストを軽減するクラウド化のポイントは?
  • 自社のクラウド導入を実現するまでの具体的な流れ・検討する順番は?

初めての自社クラウド導入、
わからないことが多く困ってしまいますよね。

NTT東日本では
そんなあなたにクラウド導入に必要な情報を

1冊の冊子にまとめました!

クラウド化のポイントを知らずに導入を進めると、以下のような事になってしまうことも・・・

  • システムインフラの維持にかかるトータルコストがあまり変わらない。。
  • 情シス担当者の負担が減らない。。
  • セキュリティ性・速度など、クラウド期待する効果を十分に享受できない。。
理想的なクラウド環境を実現するためにも、
最低限の4つのポイントを
抑えておきたいところです。
  • そもそも”クラウド化”とは?
    その本質的なメリット・デメリット
  • 自社にとって
    最適なクラウド環境構築のポイント
  • コストを抑えるため
    具体的なコツ
  • 既存環境からスムーズにクラウド化
    実現するためのロードマップ

など、この1冊だけで自社のクラウド化のポイントが簡単に理解できます。
またNTT東日本でクラウド化を実現し
問題を解決した事例や、
導入サポートサービスも掲載しているので、
ぜひダウンロードして読んでみてください。

クラウドのわからない・
面倒でお困りのあなたへ

クラウドのご相談できます!
無料オンライン相談窓口

NTT東日本なら貴社のクラウド導入設計から
ネットワーク環境構築・セキュリティ・運用まで
”ワンストップ支援”が可能です!

NTT東日本が選ばれる5つの理由

  • クラウド導入を
    0からワンストップでサポート可能!
  • 全体最適におけるコスト効率・業務効率の改善
    中立的にご提案
  • クラウド環境に問題がないか、
    第3者目線でチェック
    してもらいたい
  • 安心の24時間・365日の対応・保守
  • NTT東日本が保有する豊富なサービスの組み合わせで
    ”課題解決”と”コスト軽減”を両立

特に以下に当てはまる方はお気軽に
ご相談ください。

  • さまざまな種類やクラウド提供事業者があってどれが自社に適切かわからない
  • オンプレミスのままがよいのか、クラウド移行すべきなのか、迷っている
  • オンプレミスとクラウド移行した際のコスト比較を行いたい
  • AWSとAzure、どちらのクラウドが自社に適切かわからない
  • クラウド環境に問題がないか、第3者目線でチェックしてもらいたい
  • クラウド利用中、ネットワークの速度が遅くて業務に支障がでている

クラウドを熟知するプロが、クラウド導入におけるお客さまのLAN 環境や接続ネットワーク、
クラウドサービスまでトータルにお客さまのお悩みや課題の解決をサポートします。

相談無料!プロが中立的にアドバイスいたします

クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。