VPNとのかかわり方 ~仕組みを知り、安全な運用を~
みなさんこんにちは。シーイーシーセキュリティオペレーションセンター(CEC SOC)セキュリティアナリストの永藤です。本コラムでは、近年のリモートワーク浸透に伴い普及しているVPNに焦点を当て、仕組みやサイバー攻撃の事例と対策ついて解説します。
VPNの概要
VPNとはVirtual Private Networkの略で、特定の人、端末だけが利用できる仮想の専用ネットワークを設けてデータをやり取りする技術です。
コロナウイルスの影響もあり、多くの組織でリモートワークが導入されましたが、組織外から組織内ネットワークに接続する際、フリーのWi-Fiや公衆のネットワークを使用すると情報の改ざんやデータを盗聴されるリスクがあるため、VPNを使用することで安全に接続することができます。
VPNを構成する要素として「トンネリング」、「カプセル化」、「認証」、「暗号化」などの技術が活用されています。それぞれの要素について簡単に紹介します。
【トンネリング】
一般の回線から隔離された仮想的な通信通路(トンネル)を形成する仕組みです。トンネリングにより、第三者による外部からのデータ盗聴や改ざんなどを防ぐことができます。
【カプセル化】
カプセル化は、トンネリングした通信内容を別の通信用の規格で包むことをいいます。
第三者がトンネル内に不正アクセスした場合、通信内容を盗み取られるリスクがあるため、カプセル化し、もともとの性質を隠して通信を行います。
【認証】
第三者がトンネル内に不正アクセスすることを防ぐため、トンネルの利用者が正しいユーザーであるかを確認します。VPNで使用される主な認証方式には「ID/パスワード認証」や「多要素認証」などがあります。
【暗号化】
カプセル化に加え、通信内容を暗号化することで、VPN通信のセキュリティをさらに向上させることができます。仮に通信内容を盗み取られとしても、内容までは解読されにくくなります。
暗号化を実現するための主なプロトコルは以下のとおりです。
これまで紹介した各技術を組み合わせて利用することで安全な通信を実現し、利用者は組織内ネットワークに安全に接続することができます。
VPNを利用するメリットと注意点
前章にて紹介した技術によってVPNが形作られ、より安全な通信が容易に確立できるようになりました。本章ではこのVPNを利用する場合のメリットと注意点についてご紹介します。
【メリット】
1. 場所を問わず安全に組織内ネットワークへの接続が可能
遠く離れた場所であっても安全に組織内ネットワークへ接続できるため、企業の国際化や働き方改革、コロナウイルスいった想定外の事態への対処などが可能になります。
2. 低コストで導入が可能
VPNには複数種類が存在し、一般のインターネット回線を使用するインターネットVPNなどは物理的な専用線を敷設する必要がないため、低コストで導入できます。
VPNの主な種類は以下のとおりです。
【注意点】
1. 情報漏えいのリスクがある
インターネット回線を活用する場合、情報漏えいの可能性がゼロにはならないことを理解しておく必要があります。またVPNの種類によってセキュリティ強度に差があるため、リモートワークに使用するVPNを選択する際には、情報漏えいのリスクを考慮し、セキュリティ強度の高いVPNを選択することが重要です。
2. 通信速度が低下することもある
一般のインターネット回線を使用するインターネットVPNなどは通信速度が一定ではありません。時間帯によって多くの人が同時に利用するとVPN装置に負荷がかかり、通信速度が遅くなることがあります。
VPN機器の脆弱性と対策
前述のように、VPNは多くのメリットが得られる反面、正しく利用しなければ不正アクセスを簡単に許してしまうこともある技術です。
以下に示すのは、VPN機器の脆弱性を悪用したサイバー攻撃の事例です。この事例について、問題点と対策を解説します。
【事例】 某医療センターのランサムウェアによるシステム障害
IT事業者が遠隔での保守のために設置したVPN機器の脆弱性が悪用され、内部ネットワークへの侵入を許し、およそ2,200のPCがランサムウェアの被害を受けました。
結果として、ランサムウェアにより病院のシステムデータが暗号化され使えなくなり、救急診療や外来診療などの病院業務に大きな支障が出てしまいました。
この事例は、VPN機器の脆弱性が放置されていただけでなく、ネットワーク機器やPCのパスワードも共通化されていたなど、脆弱性や認証に関するITガバナンスが欠如していたために発生したと考えられます。
本件の対策としては、以下が挙げられます。
・こまめなアップデートの確認・適用
・機器ごとに個別のパスワードを使用
・多要素認証の導入
VPNに限らず、使用する機器やソフトウェアの脆弱性に関する情報はこまめに収集し、早急に対策をすることが重要です。
まとめ
本コラムでは、近年のリモートワーク浸透に伴い普及しているVPNに焦点を当て、仕組みやサイバー攻撃の事例と対策ついて解説しました。
VPNには活動の幅を広げるメリットがある反面、悪用され大きな被害を生むリスクを抱えていることもまた事実です。
VPNの持つ特徴を知り、適切な脆弱性対策を施して利便性と安全性の両立を図ることが、今の我々にとって重要となります。