VPNは本当に安全? 知っておきたいリスクや対策

テレワークの普及もあり、VPNを利用する企業も増加傾向にあるようです。VPNは安全な通信のために利用されますが、VPNに関わるセキュリティ事故も報告されており、安全性について気になっている方も多いのではないでしょうか。
この記事では、VPNは本当に安全なのか、安全といわれる理由やセキュリティリスク、安全に利用するための対策について解説します。

VPNが安全といわれる理由

VPN(Virtual Private Network)は、トンネリングや暗号化技術を用いて2拠点間を仮想的な専用線でつなげる技術で、仮想専用線とも呼ばれています。通信内容は暗号化されており、VPNを利用するためには各拠点から認証を受けたユーザーのみが利用できます。

そのため、インターネットなどの公共のネットワークが普及し、どこからでもあらゆるネットワークに接続できる現代において、VPNを利用することで安全な通信経路の確保につながるといわれています。

VPNは本当に安全なのか

VPNには複数の種類があり、大きく分けるとインターネットVPNとクローズドVPNがあります。よりセキュリティリスクが高いとされるのはインターネットVPNですが、クローズドVPNよりも安価に構築できるため、利用される頻度が高いといえるでしょう。

インターネットVPNはインターネット網に仮想的な専用線を構築するものであり、クローズドVPNはISP(インターネットサービスプロバイダ)が用意する閉域網に仮想専用線を構築します。

両者は、開かれたネットワークと閉じられたネットワークという違いがあるため、開かれたネットワークであるインターネットを利用する場合のほうが、セキュリティリスクが高くなってしまいます。

いずれにせよ、VPNはあくまでも「安全な通信経路」を構築するための技術です。VPN自体がセキュリティ対策になるというわけではないため、適切に運用できなければどちらのVPNにもセキュリティリスクが存在することは覚えておきましょう。

VPNでも注意すべきセキュリティリスク

VPNを利用する際に特に注意したいセキュリティリスクとしては、次のようなものがあげられます。

  • ソーシャルエンジニアリング
  • 社員のリテラシー不足
  • 公衆無線LANの利用
  • VPN機器の脆弱性

ソーシャルエンジニアリングとは、通信技術を使わずにパスワードなどの重要情報を盗み出す方法です。例えば、パスワードを書いた紙を盗んだり、「ショルダーハッキング」と呼ばれる肩越しにキー入力を盗み見たりするものなどが該当します。VPNはオフィス外で利用する機会が多いため、周りの目を意識していないと、不正アクセスにつながる可能性があります。

同様に、社員のリテラシー不足による認証情報の漏洩にも注意が必要です。認証情報をパソコン内に保存したり、マルウェアやスパイウェアに感染したパソコンを利用してVPN接続したりすることで、社内ネットワークへの侵入を許してしまうこともあります。定期的に研修を行い、ルールを徹底するなど、リテラシーを向上させるための教育も欠かせません。

また、外出先などで誰でも利用できる公衆無線LANが増えていますが、なかには安全対策がしっかりできていなかったり、情報を盗み出すためのアクセスポイントが設置されていたりする可能性もあります。社員のリテラシー向上と合わせて、公衆無線LANを利用する際の注意喚起も必要です。

最後に、VPN機器の脆弱性対策を忘れないようにしましょう。脆弱性とはセキュリティ的に弱い部分であり、定期的なソフトウェアやミドルウェアのアップデートで対応します。2020年8月には、VPN機器の脆弱性が原因で国内38社が不正アクセスの被害に遭うセキュリティ事故も報告されています。

VPNでセキュアな通信環境を保つための対策

VPNを安全に利用するために重要なことは、「ルール」「人」「技術」のバランスの取れた対策を取ることです。

まず、ソーシャルエンジニアリングなどの危険に対しては、パスワードなどを紙に残したりパソコン上に保存したりしない、公衆無線LANは原則利用しないなどのルールを定めて周知徹底します。

さらに、それらのルールはどのような危険を回避するためのものなのか、ルールを破ることでどのようなリスクを負うことになるのか、などを含めて社員へのセキュリティ教育を実施しましょう。これを通して社員のリテラシーを向上させることもセキュリティ対策になります。

技術の観点では、VPN装置の脆弱性対策やVPNのアクセスログの収集・監査、VPNを利用するすべてのパソコンにセキュリティ対策ソフトを導入するなどの対策が必要です。

テレワークが普及したことで、VPNは企業にとって欠かせない技術の一つとなりました。VPNは安全に遠隔地をつなぐための技術ですが、セキュリティリスクがゼロとはいえません。VPNの安全性を高めるためには、「ルール」「人」「技術」の観点からバランスよく対策を実施することが重要だといえるしょう。