VPNを導入するためには、接続したい拠点ごとに専用の機器・装置を用意する必要があります。機能や性能、価格はさまざまであり、自社のニーズに適した機器・装置を見極めることは容易ではありません。そこで本記事では、VPNの基礎知識から、接続に必要な機器の選び方、導入方法まで、必要な情報をわかりやすく解説していきます。
VPNとは?
VPN(Virtual Private Network)は、離れた拠点間を仮想的なプライベートネットワークで安全に接続する技術です。VPNを利用することで、外部ネットワークからオフィスのネットワークに安全にアクセスして、アクセス制限のあるクラウドサービスやサーバーに接続できます。
VPNは、通信内容の漏洩防止によるセキュリティー向上と、通信品質の確保を目的として利用されます。VPNの構築には、送信者と受信者の拠点にVPN用のソフトウェアやハードウェア(機器)の設置が必要不可欠です。
VPNでは、データを「パケット」と呼ばれる小さい単位に分割して、以下の3つのプロセスを通じてセキュリティーを確保しています。
- カプセル化:データを安全に送受信するために、データパケットを別のプロトコルで包み込み、元のデータを保護します。
- トンネリング:カプセル化されたデータを送信元から送信先まで安全に運ぶための仮想的な通路(トンネル)を作成します。
- 暗号化:カプセル化されたデータを暗号化し、第三者による傍受や解読を防ぎます。
これら3つのプロセスは通常、次の順番で実行されます。まずデータがカプセル化されます。次にカプセル化されたデータが暗号化され、最後に暗号化されたデータがトンネルを通じて安全に送信されます。
VPNでは、IPsec(Internet Protocol Security)やSSL/TLSなどの暗号化技術を用いることで、より強固な安全性を確保しています。カプセル化、トンネリング、暗号化を組み合わせることにより、たとえ悪意のある人物にデータが傍受されたとしても、情報の中身は分かりません。
暗号化技術の仕組み
暗号化技術には2つの仕組みが存在します。それぞれについて詳しく解説します。
共通鍵暗号化方式
共通鍵暗号化方式とは、送信者と受信者が同じ鍵を持ち、通信を暗号化する仕組みです。秘密鍵暗号化方式とも呼ばれます。この方式では、専用の鍵を用意し、相手に鍵の詳細を伝える必要があるため、通信内容を見ることができる人が限られ、安全性は高くなります。
しかし、送信者と受信者が離れている場合に問題が生じます。何らかの方法で通信に使う鍵の情報を伝える必要があり、その際に鍵の情報が盗まれてしまう可能性があるのです。そのため、鍵の受け渡しには十分な注意が必要不可欠です。
また、共通鍵暗号化方式では、送信者と受信者が同じ鍵を共有するため、鍵の管理が難しいという欠点が存在します。特に、通信相手が多数になる大規模なネットワークでは、各通信相手との間で異なる鍵を管理する必要があるため、鍵の管理が非常に複雑になってしまいます。そのため、共通鍵暗号化方式は大規模なネットワークでの使用には適していないとされています。
公開鍵暗号化方式
公開鍵暗号化方式は、公開鍵と秘密鍵の異なる2種類の鍵を使用する仕組みです。公開鍵は誰でも使用できますが、秘密鍵は本人のみが使用可能となっています。この方式では、送信者は受信者の公開鍵を使って情報を暗号化し、受信者は自分の秘密鍵でその情報を復号します。つまり、公開鍵で暗号化された情報は、対応する秘密鍵でのみ開封できるため、鍵のやり取りが不要で安全性が高いのです。
ただし、公開鍵暗号化方式は処理に時間がかかるため、大量のデータ処理を必要とする回線には不適当だと言えます。そのため一般的には、データの暗号化には処理速度の速い共通鍵暗号化方式が使われ、重要な鍵情報のやり取りには公開鍵暗号化方式が使われています。
注意するべきセキュリティーリスク
VPNは適切に利用することができれば通信の安全性を高めることができますが、注意すべきセキュリティーリスクも存在します。VPNを過信せず、日頃からセキュリティー意識を持って利用していきましょう。特に注意するべき、3つのセキュリティーリスクについて解説します。
VPN機器の脆弱性
VPNは、インターネット上での通信のセキュリティーを高めるために欠かせない技術ですが、VPN機器やネットワーク機器自体に潜む脆弱性にも十分注意する必要があります。これらの脆弱性は、その構成要素である部品やプログラミング言語に由来することが多く、サイバー攻撃や不正アクセスの窓口となり得るのです。
特に、古いVPN機器では脆弱性が大量に存在している可能性が高く、放置するとセキュリティーホールになってしまう恐れがあります。実際、2019年以降、複数の企業がVPN機器の脆弱性について報告しており、これを狙ったサイバー攻撃が頻発しています。これらの脆弱性は、メーカーがリリースするセキュリティー更新を適用することで解消できます。しかし、更新の適用が遅れると、未解消の脆弱性がゼロデイ攻撃などの対象となるリスクがあります。
そのため、使用するVPN機器のセキュリティーパッチ更新の情報を定期的にチェックして、リリースされた場合は直ちに適用することが求められます。また、重大な脆弱性については、IPA(独立行政法人情報処理推進機構)やJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)などの信頼できる機関からのアナウンスも行われるため、こうした情報も迅速に入手して対処しましょう。
VPN機器の設定ミス
VPN機器の設定ミスは、セキュリティー上の重大なリスクにつながる可能性があります。特に注意すべき点として、VPN機器の管理インターフェースが外部からアクセス可能な状態に設定されていることが挙げられます。このような設定は、不正アクセスのリスクを生み出す原因となります。
また、予測しやすいパスワードや脆弱な認証情報を使用していると、ブルートフォース攻撃に遭うリスクが高まります。加えて、VPN接続に使用するサーバー証明書が偽装されていた場合、中間者攻撃のリスクも生じかねません。VPNを安全に活用するためには、適切な設定を行い、強力な認証情報を用いることが大切です。
端末のウイルス感染
リモートワークの普及に伴い、VPNを介した企業ネットワークへのアクセスが増加している一方で、ウイルス感染端末から企業システムへの感染拡大リスクが高まっています。2019年に蔓延し始めたマルウェア「Emotet」では、メールの添付ファイルを開くことで感染が広がりました。VPNを通じた通信では、こうした感染まで完全に防ぐことは難しいのが現状です。
加えて、従業員の端末におけるセキュリティーポリシーがバラバラな場合、各端末のウイルス対策を徹底することが難しく、社内システムへのセキュリティーホールを生じさせる恐れがあります。VPN自体にはウイルスを検知したり除去したりする機能がないため、セキュリティー対策ソフトの適切な使用が必要不可欠です。企業は従業員の端末のセキュリティー状況を把握し、必要なウイルス対策ソフトのインストールや設定を徹底させる必要があります。
VPNを導入するメリット
VPNを導入することには、さまざまなメリットがあります。いくつかの観点から詳しく解説していきます。
安全な外部アクセスの実現
VPNを利用することで、出張先や外出先から安全に公共のWi-Fiネットワークに接続することが可能になります。公共のWi-Fiは不特定多数のユーザーが利用するため、第三者にデータを傍受されるリスクが存在します。しかし、VPNを利用することで、暗号化技術によりデータの盗み見や個人情報の流出のリスクを抑制できます。加えて、VPNによるアクセスの匿名化で、IPアドレスを第三者に特定される心配もなくなります。
さらに、VPNクライアントをインストールすれば、出張先や外出先からの社内サーバーへのアクセス、モバイル端末からのファイルのダウンロードや転送など、リモートアクセスでVPN接続を活用できます。このようにVPNを導入することで、安全かつ効率的なリモートワークが実現し、ビジネスの生産性向上につながります。企業にとってVPNの利用は、セキュリティー対策と業務効率化の両面でメリットがあると言えるでしょう。
企業間での機密データの安全な共有
VPNを使用することで、企業間でインターネットを介した機密データの安全な共有が可能になります。例えば、共同研究における仕様書や設計書の交換、生産管理でのトランザクションや情報伝達、製品流通に関する情報共有、大口顧客との受注や付加価値サービスの提供、電子商取引などに活用できます。これにより、企業間のコラボレーションや取引をスムーズかつ安全に進めることが可能となり、ビジネスの効率化と機密情報の保護を同時に実現できます。
離れたオフィス間でのLAN構築
地理的に離れたオフィス間でのLAN環境の構築が可能となります。各拠点にVPN専用ルーターを設置して、仮想専用回線を利用することで、同一サーバーへの安全なアクセスやファイルの共有が実現するのです。
通常、離れたオフィス間に専用回線を敷設する場合、多大なコストがかかりますが、VPNならば導入・運用コストを抑えながら、拠点間のネットワーク構築ができます。また、部門間で機密性の高い通信を行う必要がある場合や、オフィス、事業所が分散している場合でも、VPN接続を利用することでセキュアかつ効率的にデータをやり取りできるようになるのです。スムーズな情報共有やコミュニケーションによる、業務の生産性向上が見込めるでしょう。
情報統制国からのアクセス確保
情報統制国では、インターネットへのアクセスが厳しく制限され、検閲も行われています。そのような国からでもインターネットへ安全にアクセスするには、VPNの導入が有効です。VPNを使用することで、通信内容を暗号化し、検閲を回避できるのです。
ただし、情報統制国側もインターネット検閲の技術を年々強化しているため、使用するVPNによっては通信が遮断されたり、速度が低下したりするなどの問題が発生することがあります。そのため、情報統制国でビジネスを展開する企業は、そのようなデメリットを受けずに利用できる信頼性の高いVPNを慎重に選択することが重要となります。
VPN接続に必要な3つの機器・装置
VPN接続を利用するうえで、VPNゲートウェイ、VPNルーター、そしてVPNクライアントソフトは不可欠です。それぞれの役割を理解して、適切に設定・運用することが、VPNを活用する上で重要となります。これら3つの機器・装置について詳しく解説していきます。
VPNゲートウェイ
VPN接続を行うには、各拠点にVPNゲートウェイを設置することが必要不可欠です。VPNゲートウェイは、外部ネットワークと内部ネットワークの境界に設置され、データの「カプセル化」、「暗号化」、「トンネリング」といった重要な役割を担います。これらの技術については、すでに解説済みではありますが、大切な内容のため、改めて紹介します。
「カプセル化」は、パケット単位でデータを保護する技術です。データの状態が外部から分からないようにカプセル状に覆うことからその名が付けられました。カプセル化されたデータを暗号化します。「暗号化」では、第三者からデータを読み取られないように、特定のアルゴリズムを用いてデータを変換します。最後の「トンネリング」では、IPsecやL2TP/IPsec、PPTP(Point-to-Point Tunneling Protocol)などのプロトコルを用いることで、インターネットや閉域網上に暗号化されたデータが通る仮想の専用回線を構築します。
VPNは不特定多数が利用するネットワークを経由するため、外部ネットワークを通過する際にデータを第三者から隠匿することが必須となります。そのためにVPNゲートウェイの存在が不可欠なのです。
VPNルーター
VPN接続を行うためには、VPN機能を搭載したルーター(VPNルーター)やファイアウォールを使用するのが一般的です。VPNルーターを利用することで、安全かつ容易にVPN接続を行うことが可能です。一般的なルーターにVPN機能を追加する方法もありますが、専用のVPNルーターを使用するほうが、設定が簡単で安全性も高くなります。
VPNルーターは、内部ネットワーク(LAN)と外部ネットワーク(インターネット)の間に設置され、LANからインターネットへアクセスする際には必ず経由する必要があります。VPN機能が最初から搭載されているため、専用のソフトウェアをインストールする手間は不要ですが、適切なルーター設定が求められます。
必要となる機能や性能、予算などを総合的に判断して、最適なVPNルーターを選びましょう。
VPNクライアントソフト
社員が各自の端末から社内ネットワークへアクセスするには、VPNクライアントソフトを利用する必要があります。VPNクライアントソフトとは、VPNサーバーと連動し、デバイスとサーバー間の安全な接続を確立するソフトウェアです。
モバイル通信の場合、端末側にルーターがなく、端末自体がVPNクライアントの役割を担います。IPsecやPPTPでリモートアクセスVPNを構築する際にも、VPNクライアントソフトが必要です。一方、SSL-VPNはWebブラウザー上で動作するため、端末側での特別な処理は不要で、VPNクライアントソフトの導入は必要ありません。企業や大規模な組織では、VPNクライアントソフトの代わりに、同じタスクを実行するハードウェアデバイスを使用することもあります。
VPNルーターの選び方
これからVPNルーターの選び方について詳しく解説します。セキュリティーや対応プロトコルなど、さまざまな要素を考慮する必要があります。製品によって特徴も異なるため、自社の用途に合った製品を見極めましょう。
セキュリティー要件
VPNルーターは、LANと外部ネットワークの出入り口となるため、セキュリティー対策が非常に重要です。もしVPNルーターのセキュリティーに不備があった場合には、外部からの攻撃を受ける可能性が高くなります。そのため、VPNルーターを選ぶ際は、ファイアウォールやアンチウイルス機能の有無を確認することが必要不可欠です。
ただし、社内のインフラに情報セキュリティーシステムが備え付けられている場合は不要となる可能性もあります。VPNルーターの導入前に、社内の情報セキュリティー状況を確認しておきましょう。
VPNパススルー
VPNパススルーとは、LANからインターネットへVPNデータ(カプセル化されたデータ)を送信する仕組みです。VPNでは、安全な接続を確立するために「カプセル化」という手法が使われています。通常の方法では、このカプセル化されたデータをインターネットへ送信できません。そこで、VPNパススルーを経由する必要がでてきます。
ただし、VPNのプロトコルによってカプセル化の方法は異なるため、必要なパススルー機能も違いが生じます。したがって、使用予定のVPNのプロトコルを確認して、それに対応したパススルー機能を備えたルーターを選択することが必要となります。具体的には、一般的なVPNプロトコルであるPPTP、L2TP/IPsec、OpenVPN、SSTPなどに対応したパススルー機能を持つルーターを選ぶ必要があります。ルーターの製品情報や仕様書で、対応しているVPNパススルーの種類を確認しましょう。
対応プロトコル
VPNルーターを選ぶ際には、対応しているプロトコルの確認が欠かせません。プロトコルとは、VPN接続における暗号化やカプセル化の方法を定めた通信規格のことです。代表的なものとして、PPTP、IPsec、OpenVPNなどが挙げられます。
PPTPは設定が容易である一方、セキュリティー面での脆弱性が指摘されている古いプロトコルです。対して、IPsecは高度な暗号化とデータの完全性を備えた、安全性の高いプロトコルとして知られています。また、オープンソースのOpenVPNは、高い安全性と柔軟性を兼ね備えています。ただし、ルーターによっては、OpenVPNなどの新しいプロトコルに非対応の場合もあるため、事前確認が必要不可欠です。目的や環境に合わせて、適切なVPNプロトコルに対応したルーターを選ぶことが重要です。
【接続方法別】VPN機器・装置の導入方法
VPN機器・装置の導入方法は、接続方式によって異なります。主な接続方法毎に詳しく解説します。
インターネットVPN
インターネットVPNは、インターネット回線を利用してVPN接続を実現する方法です。専用のネットワークが不要なため、コストを抑えられる点が特徴です。しかし、公衆回線を用いるため、適切なセキュリティー対策を講じないと情報漏えいのリスクが高くなります。
導入には、VPN機能が搭載されたルーターが必要で、レンタルか購入のどちらかで用意する必要があります。レンタルには保守管理を委託できるメリットがありますが、運用コストがかかります。一方、購入した場合はランニングコストはかかりませんが、自社で保守管理を行う必要があります。
各拠点にルーターを設置して、接続する端末ごとにVPN接続の設定をすることで、インターネットVPNを利用できます。これにより、離れた拠点間でも同一のサーバーへのアクセスやファイル共有が可能になります。また、VPN専用ルーター自体がデータを暗号化するため、デバイスの負担を軽減できるというメリットもあります。
ただし、通信品質がインターネット回線に依存するベストエフォート型となります。回線の利用状況によって、通信速度や通信品質が変化します。そのため、重要な業務に使用する場合は、回線の品質に注意が必要です。
IP-VPN
IP-VPNは、通信事業者が提供する閉域IP網を活用した接続方式です。閉域IP網は一般的なインターネット回線とは異なります。導入にあたっては、通信事業者との閉域IP網の利用契約が必須であり、回線の利用コストが発生する点に注意してください。
IP-VPNでは、高いセキュリティーの確保が可能で、データを暗号化する必要がなく、通信速度も速いのが特徴です。また、通信事業者によって監視されているため、回線品質は安定しており、トラフィックが増えても通信が切れることはありません。しかし、IP-VPNの運用コストは、他のVPN接続方法と比べて高価である点がデメリットとして挙げられます。
プロバイダ側の提供する回線には、プロバイダ側から提供されるCEルーター(Customer Edge Router)を通して接続し、そのルーターのレンタル料もかかります。そのため、IP-VPNを導入する際には、コストと必要なセキュリティーレベルを十分に検討する必要があります。
広域イーサネット
広域イーサネットは、通信事業者が提供する専用回線や閉域IP網を利用して、VPN接続を実現する方法です。IP-VPNと同様の接続形態をとりますが、通信プロトコルがIPに限定されないため、より柔軟にカスタマイズできるのが特徴です。そのため、企業独自のニーズに合わせた、高品質なネットワーク構築に適しているといえるでしょう。
ただし、広域イーサネットは複雑な設定が必要なため、高度な技術スキルが求められます。また、導入コストも比較的高価になりがちなので、予算面での考慮も欠かせません。
エントリーVPN
エントリーVPNは、通信事業者が提供する光回線やADSL回線を活用して、閉域IP網へ接続する方法です。インターネットVPNと比べ、特定のユーザーのみが利用可能な閉域網を採用しているため、セキュリティー面での優位性が特長となっています。加えて、閉域VPNの中でも比較的低コストで利用できる点も魅力の1つです。
ただし、エントリーVPNで用いられるブロードバンド回線には「帯域保証がない」という側面もあります。そのため、インターネットVPNと同様に「ベストエフォート型」のサービス形態となっている点には留意が必要でしょう。安定的な通信品質やスピードを重視する用途においては、適さないケースもあります。
VPNを導入する際の注意点
VPNの普及により、自社でVPNを構築する企業が増加しています。近年のVPN機器は手頃な価格で基本的な機能が使え、設定作業も比較的簡単になっているためです。しかし、VPNの導入の容易さとは対照的に、安全に運用、管理していくことの難易度は高まっています。特に、ランサムウェア攻撃の多くがVPNの脆弱性を標的にしていることもあり、セキュリティーリスクが高まってきています。
安全な運用のためには、脆弱性対策を含めた包括的なセキュリティーポリシーの策定と厳格な運用ルールの実施が欠かせません。データ通信は企業にとって基本的で重要なインフラです。導入して終わりではなく、維持・管理しながら、必要に応じて改編していくことも求められます。そういった点では、技術進化のスピードがとても早い通信技術を常に反映して、安全で効率的な環境を維持し続けることは容易ではありません。自社独自でのVPNの構築と管理だけでなく、専門知識を持つ外部の専門業者とも協力することで、安全かつ効率的な運用を実現しましょう。
セキュリティー対策
具体的に、セキュリティー面では次のような対策が求められます。まず、従業員のセキュリティー意識の向上が重要になります。IDとパスワードの適切な管理や定期的なアップデートを徹底することで、情報漏えいのリスクを低減できるでしょう。
次に、端末自体へのセキュリティー対策も必要不可欠です。VPNはあくまでネットワークのセキュリティーを強化するもので、端末までカバーしているわけではありません。そのため、端末にはセキュリティーソフトを導入して、その更新を定期的に行うことが求められます。
さらに、二要素認証の導入も有効な手段です。VPNルーターへの攻撃を防ぐため、IDとパスワードだけでなく、生体認証やPINコードなどの追加認証手段を併用することで、セキュリティーをさらに強化できます。万が一IDやパスワードが漏洩した場合でも、追加の認証があれば不正アクセスを防げるでしょう。
まとめ
VPNの導入には、VPNゲートウェイや専門機能を備えたルーターなどの機器選定が非常に重要です。各企業の環境に応じて適切な選定を行うことで、業務の安全性と効率を大幅に向上させることが可能となります。一方で、VPNの運用に誤りがあると情報漏洩のリスクも伴うため、正しい導入と定期的な運用確認が必要不可欠といえるでしょう。また、接続方法によって導入方法が異なるため、自社に適した接続手段や導入方法を検討することが求められます。
特にインターネットVPNの導入を検討している企業は、近年増加しているランサムウェア攻撃への対応も考慮に入れる必要があります。具体的には、VPNソフトウェアやファームウェアを最新の状態に保つことや、未使用のポートやサービスを無効化して攻撃対象面を減らすこと、アクセス制御やログの監視・分析などの対策が有効とされています。その他の面では、自社のセキュリティーポリシーや業務要件の考慮も欠かせません。
このように、VPNの導入と運用には多くの検討事項があり、専門知識が求められる難易度の高い業務です。特にランサムウェア対策を含む高度なセキュリティー対策が必要な場合には、専門知識を持つ外部業者への委託も視野に入れて検討することをおすすめします。専門家のサポートにより、最新のセキュリティー脅威に対する継続的な対策とVPNの安全かつ効率的な運用が可能になるでしょう。