リモートワークの普及に伴い、VPNの導入もまたポピュラーなものとなりつつあります。しかしVPN、とりわけ多くの企業で利用されているインターネットVPNは本当に安全だといえるのでしょうか。インターネットVPNが抱えているリスクと、より高い安全性を確保するための方法について解説します。

インターネットVPNの安全性は信頼してよいのか

リモートワークの普及とともに導入する企業が増えているのがインターネットVPNです。インターネットは誰もが利用できるオープンなネットワークであるためサイバー攻撃や不正アクセスなどのリスクがあり、インターネットVPNはそのセキュリティリスクを軽減させるための仕組みを備えています。PCはもちろん、スマートフォン、タブレットなどでも自宅や外出先から利用でき、比較的安価に導入できるのがインターネットVPNのメリットです。

しかし、インターネットVPNを利用してさえいれば危険が完全に排除されるわけではありません。あくまで通常のインターネットを利用する場合と比べたときに安全性が高いのであり、絶対的なものではありません。インターネットVPNを利用するときはまずこのことを理解しておく必要があります。

そもそも「インターネットVPN」とは

VPNはVirtual Private Networkの略で、仮想的な専用ネットワークを意味します。企業の拠点間に専用回線を敷設する代わりに共用の回線を使って安全性の高い通信を行います。その際、インターネットを用いるのがインターネットVPNです。他に、通信事業者が所有する閉域ネットワークを用いるIP-VPNと呼ばれる種類のVPNもあります。

インターネットVPNではインターネット上に暗号化された専用の通信経路を形成します。暗号化以外にも、トンネリングやカプセル化といった機能を組み合わせることで通信の安全性を高めています。ネットワーク上の2点間に仮想的な直結回線を確立するのがトンネリング、トンネリング経路で通信するデータを通常使用する通信プロトコルとは異なる通信プロトコルで包んで流す方式がカプセル化です。

IP-VPNはセキュリティ強度や通信品質でインターネットVPNに勝りますが、コストは高くなります。そのため重要な拠点間通信のみIP-VPNを利用し、その他の通信はインターネットVPNを活用するといった利用の仕方も考えられます。

インターネットVPN利用に伴うリスク

インターネットVPNを利用する際は、インターネットと社内ネットワークの境界に設置して接続や認証、暗号化/復号を行うVPNゲートウェイや、自宅などに設置するVPNルーターを使用します。また各端末にはVPNクライアントソフトをインストールします。仮にこれらのハードウェアやソフトウェアに脆弱性があると、サイバー攻撃の標的とされることがあります。実際にVPN機器の脆弱性を突くサイバー攻撃は増加しているといわれています。

また、インターネットVPN自体に問題がないとしても、リモートワークで使用しているPCなどの端末がマルウェアに感染すれば、そのことを突破口にして社内ネットワークにも感染が広がる危険性があります。

会社から支給された端末を不注意などでVPNを介さずフリーWi-Fiに接続してしまうことなどからマルウェアに感染するケースも考えられます。また、会社支給ではない個人所有の端末を仕事に使用するBYODを行っていた場合には、BYOD端末がすでにマルウェアに感染しているかもしれません。

あるいは標的型攻撃などによってログイン時のパスワード認証情報を窃取されてしまった場合には、簡単に認証を突破されてしまうことになります。インターネットVPNを利用しているから安心だという過信が、こうした事態を招きやすくするという指摘もあります。

加えて、インターネット回線を利用する場合には契約している回線によって速度や品質が左右されます。またVPNサーバーの性能が低いために負荷がかかって処理が追いつかなくなり、障害が発生するケースも見られます。これらもインターネットVPN利用に伴うリスクに挙げられるでしょう。

インターネットVPN利用していても発生したセキュリティ事故

ここでは、インターネットVPNに関連する被害事例をご紹介します。

ある製造業者では、コロナ禍に伴うリモートワークの実施のためにVPNシステムを稼働させましたが、新しいVPNシステムだけでは対処しきれず、負荷分散のために旧VPNシステムも併用することにしました。ところが、この旧VPNシステムで使用していたVPN機器には脆弱性が存在し、そのことを狙ったサイバー攻撃により社員24人分とVPNシステム管理者用の認証情報が窃取されてしまいました。幸い、そのことによる社内ネットワークへの侵入などの直接被害は受けていないものの、ダークウェブ上で2週間アクセス可能になっていたことがわかっています。

もう1つセキュリティ事故の事例を挙げます。ある企業で、グループのネットワークを利用する従業員などの個人情報、サーバーのログやサーバー設定情報などのIT関連情報が漏えいしたインシデントがありました。注目すべきなのはその経緯です。

リモートワークを行っていた従業員が在宅勤務中、社有のPC端末をVPNに接続せずにSNSに接続したところ、第三者から送られたウイルスを含んだファイルをダウンロードして感染、その後、同従業員が出社して社内ネットワークに接続した際に感染が拡大しました。そのためこの企業では、以降、社有PCを外部ネットワークに接続する際は強制的にVPNに接続するシステムの導入を実施しています。

インターネットVPNをより安全に利用するための対策

以上からもわかるように、インターネットVPNを安全に利用するには、まずPCやVPN機器、ソフトウェアのアップデートを定期的に実施し、脆弱性を極力放置しないようにすることが重要です。

また、リモートワークなどで使用する端末はVPN環境のみで使用するなどのルールを定めて、社員のセキュリティに関するリテラシーを向上させる教育を行うことも必要です。上述した企業のようにVPN強制接続の仕組みを整備するのも効果があるでしょう。BYODに関してはさらに厳格なガイドラインを設けて周知徹底しなくてはなりません。

加えて、インターネットVPNで使用する端末に対しては、社有であっても端末管理システムや仮想デスクトップなどのセキュリティ対策を併せて導入するのが望ましいといえます。

インターネットVPNは安全性を得るために効果的な方法ですが、その運用には十分注意することが求められます。

インターネットVPNにおいて総合的な安全性を確保するには、信頼性が高く機能豊富なIvantiのConnect Secureを導入することをおすすめします。