法人のお客さまに起こりがちな状況
企業規模に関係なく、出張時にカフェや空港の公衆無線LANから会社の社内サーバに接続するケースはよくあります。
その際に気になるのが「公衆無線LANはセキュリティが弱いため簡単に盗み見られてしまう」という点です。
当然、企業としてはよりセキュアな接続方法をする必要があり、結果としてVPNによるセキュアな接続を選択・担保するケースが数多くあります。
最近では新型コロナウイルスの流行によりテレワークに取り組む企業が増え、自宅と会社の社内サーバの接続用途としてもVPNを利用する場合が増えています。
今回はVPNとは何なのか?と言った基本的なところから活用事例、仕組みや課題などについて説明し、理解を深めてもらいたいと考えています。
専用線を持たなくてもセキュアな接続が可能になるVPN
VPNは「Virtual Private Network」の略称で、仮想専用線などと訳されます。
これはインターネット上に仮想の専用線を構築し、接続元と接続先でセキュアな通信を行えるようにできる技術です。
元々、官公庁や金融機関などの機密性の高い情報を扱う企業などは拠点間通信にクローズドな回線を利用していました。
現在でも警察電話や消防電話などの分野ではこの方法が活用されています。
しかし、この専用線を用いる方法では敷設に時間もコストも非常にかかってしまうことが課題とされてきました。
そんな中ブロードバンド化の波に伴いインターネットが普及し、この中で仮想的に専用線を敷設できないか研究された結果生まれたのがVPNとなります。
これにより機密性の高い情報についても安心してやり取りすることができるようになったのです。
VPNを利用するためには社内にVPN対応ルータを導入する必要があります。
無料のVPN接続サービスもありますが、機密性を考えるのであればできれば自社で構築したほうが安全性は高まります。
拠点間通信や出張、テレワークなどVPNの主な活用事例
実際にVPNが活用されている代表的なケースは次のようなものです。
拠点間通信
最も活用されている例が拠点間通信です。
東京本社のサーバにある機密データを大阪支社から参照するなど、各拠点間での通信に使われます。
ほぼ固定の事業所間でのやり取りです。
出張時の社内データ参照
営業担当の人や客先でカスタマーサポートを行う人など、事業所外で仕事をする人もVPNの利用者としてよく挙げられます。
国内だけではなく、海外からの接続などもよくあります。
特徴はモバイルルータだけではなく公衆無線LANなどのパブリックなネットワーク経由でアクセスするケースが多いことです。
テレワークでの社内データ参照
新型コロナウイルスの流行によって今年になってから一気に増えてきたのがこのテレワークです。
特徴は各社員それぞれの自宅からの接続になるケースが多いことです。
会社によっては社員の私物PCを使用して接続している場合もあります。
また、WEBサイトの管理画面に自社のIPによるアクセス制限をかけている場合などVPNを経由することで自社からのアクセスであるように見せかけ、アクセスの一元化を行うこともできたりします。
VPNの重要な仕組み:カプセル化・トンネリング・暗号化
VPNは大きくは3つの技術によってそのセキュリティを担保しています。
やや専門性の高い内容になりますが、自社で利用するシステム・サービスがどういった仕様なのかを把握することは、情報セキュリティの強化につながります。
聞きなれない単語は調べるなどして、ぜひ理解を深めてください。
カプセル化
VPNは、ポイントトゥポイント接続です。このプロトコルとしてはPPP通信がありますが1to1接続でしか使えません。
そこでインターネットプロトコル(IP)のヘッダー情報の中にPPPのフレームを埋め込んで送信し、受信側で元のPPPフレームに戻す仕組みが考案されました。
IPのカプセルの中にPPPフレームを入れるということでこれを「カプセル化」と呼びます。
トンネリング
カプセル化によってPPP接続が可能になり、その結果PPPが持つユーザー認証機能などが利用可能になります。
このように、ある通信プロトコル(この場合はインターネットプロトコル)環境の上に別の通信プロトコルを透過的に流すことを「トンネリング」と呼び、このプロトコルをPPTP(Point to Point Tunneling Protocol)と呼びます。
このトンネリングによって自身の端末と対象となる拠点をつなぐために疑似的な専用線を構築します。
暗号化
PPTPは暗号化の機能を持っていません。
カプセル化したデータ自体はそのままでは盗み見られてしまう可能性が高い状態でやり取りされてしまいます。
そのため別のプロトコルで暗号化を行います。
ここまで実装して、ようやく安全なVPN回線が利用できるようになるのです。
VPNは回線速度やコストが課題になりやすい
セキュリティ面においては高い安全性を持っているVPNですが、デメリットも当然存在します。
デメリットは速度とコストの2つに大別されます。
VPNは暗号化通信を行うため、回線速度が社内でのやり取りに比べてどうしても遅くなってしまいます。
専用機器を導入しているケースなどであれば問題ない場合もありますが、ルータのスペックによっては回線速度が社内接続をかなり下回っていることがほとんどです。
出張時など一時的なものであれば割り切って使うこともできますが、問題はテレワークです。
テレワークを行っている社員の人数分VPNでの暗号化通信が発生してしまうために通常よりもかなり負荷が高まるうえ、通常業務で社内サーバへの接続が遅くなると全体としての効率が落ち込んでしまいます。
また、速度のボトルネックを解消しようと専用機器を検討する場合もありますが、導入に初期コストがかかってしまうこともあり、二の足を踏んでしまう会社も多くなっています。
加えて、コストにおいても金銭面と管理面の2つにおいて課題が発生します。
金銭面としては、主にハードウェアが問題となります。
ルータ(VPNの機能が付いたもの)を買い替える場合は当然現行の機器より上位版でリプレースする必要があります。
もうひとつの選択肢としてVPNの専用機器の導入が挙げられますが、こちらも機能とコストとの相談となってしまいます。
管理コストとしても上記のようなルータのリプレースや専用機器の設定、そして各ユーザーの認証周りなど細かい作業が多々発生し続けることになってしまいます。
情シス担当や経営者はこうしたVPNのメリットとデメリットを比較したうえで現実的な解決策を模索する必要があるのです。
VPN接続だけでセキュリティは担保できない
接続の安全性だけを見ているとVPNは非常に有用ですが、運用全体を見ると単純にVPNを導入しただけでは安心できません。
端末側のセキュリティレベルが低いと、端末自体がクラックされVPNでノーチェックのまま機密情報にアクセスできる環境を外部の人間に持たせてしまう可能性も出てきてしまいます。
また、VPNが遅いことに業を煮やして自分の個人端末に機密データを保存してしまうことにより機密情報の漏えいが発生してしまうケースも存在します。
本末転倒な結果にならないよう、運用については注意しなければならないのです。
大事なのはVPNだけに頼らない総合的なセキュリティ体制の確立
VPNは安全な接続方式ではありますが、それ単体でセキュリティを担保できるわけではありません。
VPN接続と併せて、端末のセキュリティレベルの向上やサーバ側のセキュリティレベル維持などを並行して行わなければセキュリティレベルが低い場所から情報漏えいがされてしまう可能性を持っています。
多面的にセキュリティを判断し、VPNと並行して活用していくのが正しい情シスとしての在り方です。
セキュリティポリシーなどの設定を含め、ルール、教育、そしてシステムを整備しぜひセキュリティレベル全体向上に努めてください。
トレンドマイクロからのアドバイス
VPN接続時のセキュリティレベルを上げるには、まずは端末の保護、そしてそこから接続される各種アプリケーションやサーバに対するセキュリティ対策も必要です。
トレンドマイクロでは、現時点で不足しているポイントに対して効果的な対策を行えるさまざまなソリューションをご用意しています。
自社の体制をご確認のうえ、不足している点がありましたらぜひご検討ください。
VBBSS:ウイルス・スパイウェア対策からデバイスコントロールまでオールインワン
ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は、中小企業・中堅企業に求められるセキュリティ機能をオールインワンで持ち合わせ、さらに管理者の負担を軽減できる「軽くて・強くて+管理負担が少ない」セキュリティ製品です。
Trend Micro Cloud One - Workload Security™:パフォーマンスを損なわずにDC、クラウド、 コンテナ保護
Trend Micro Cloud One - Workload Security™は脆弱(ぜいじゃく)性や不正プログラム及び不正な変更などの脅威から、仮想・物理・クラウド及びコンテナ環境のハイブリッド環境を防御できるソリューションです。