VPNのネットワークセキュリティリスクとゼロトラストの役割を解説

VPNとは、「Virtual Private Network」の略のことで、「仮想専門線」と訳されます。
VPNは、送受信側がそれぞれ「カプセル化」と呼ばれる処理をすることで、仮想トンネルを形成し通信する仕組みです。

VPNでは、通信時に認証を行う事で正規のユーザーかどうか確認をし、さらに万が一仮想専門線内に侵入された際にも備えて、通信内容を暗号化して送信するなどの技術を併せることで、高いセキュリティ性を担保しています。

VPNには主に、「認証」「暗号化」「トンネリング」の3つの仕組みがあります。これら1つ1つについて解説していきます。

1. 認証

   VPNでは、通信を行う際に仮想的なトンネルでデータのやり取りをしますが、送受信者が正しいユーザーであるかどうか、認証することで高いセキュリティ性を担保します。

2. 暗号化

   暗号化では、形成したトンネル内でやり取りしているデータに鍵をかけ、高いセキュリティ性を担保しています。万が一、他人に侵入されても情報漏洩や改ざんを防ぐための仕組みです。

3. トンネリング

   トンネリングは、カプセル化という技術を用いて送受信双方に仮想的なトンネルを形成する仕組みです。トンネル内へ他人が侵入するのを防ぎ、高いセキュリティ性を担保します。

上述したように、高いセキュリティ性を持つVPNですが、それでもデータが漏洩してしまったり、改ざんされてしまう可能性があります。ここでは、VPNが持つ危険性について解説します。

暗号化されていないVPN

VPNは非常に多くのサービスがある為、中には暗号化せずに通信を行っているものもあります。この際に、仮にトンネル内に侵入されてしまった場合情報漏洩やデータ改ざんのリスクが生まれてしまいます。

また、カフェやレストランなどで利用できる「フリーWi-Fi」などの公共回線を利用する場合、VPNに接続する際にログインIDやパスワードなどの認証情報を窃取される可能性があります。

VPNを利用する端末のウィルス感染

VPNはデータを送信する側と受信する側で安全なトンネルを形成してやり取りをする仕組みです。その為、VPNを利用するデバイスがウイルスに感染している場合は、そこを経由して社内全体にネットワークが感染する危険性があります。

このような経路で感染した場合には、たとえ高いセキュリティ性を持つVPNでも感染を広げてしまう危険性があります。

VPN機器本体の脆弱性

VPNの専用機器本体の脆弱性を狙ったサイバー攻撃もあります。専用機器の脆弱性を狙い、マルウェアを経由して、認証情報を窃取されるリスクがあります。

特に旧型のVPN専用機器の場合、ソフトウェアアップデートが行われていない場合にこのようなリスクが増大します。

テレワークの普及やクラウド技術が発達した現代、VPNは様々な場面で利用されますが、上述したように危険性もあります。その課題を解決するために「ゼロトラスト」の技術が注目されています。ここでは、VPNの課題を解決するゼロトラストの役割を紹介します。

セキュリティリスクの軽減

VPNでも元々認証を行いますが、ゼロトラストを導入することでアクセスのたびに様々な認証を実行するので、セキュリティリスクを軽減してくれます。また、ゼロトラストを導入することで、アクセスログが保存されるため、アクセス解析を実行することもできます。

セキュリティ対策の一元管理

現代では、攻撃者の手段も多様化していることからその種類やネットワークに応じてセキュリティ機器も多様化しており、それらを管理することは煩雑なものになりました。ゼロトラストを導入することで、様々な設定をクラウド上で一元管理できるため、同一のセキュリティポリシーを実現できます。

社内外からのアクセスを可能にする

ゼロトラストを導入することで、社内と社外どこからでもアクセスできるようになり、区別がなくなります。従来はアクセスする際にセキュリティ機器がボトルネックになる可能性がありましたが、そのような可能性も軽減できます。

現代では、ゼロトラストの必要性が高まっているため、非常に多くのソリューションが存在しています。そこでここでは、ゼロトラストを実現するために必要な主要なソリューションを4つ紹介します。

1. ユーザー認証：IDaaS

   「ユーザー認証」は、ログインする際に必要なユーザーIDやパスワードを管理、認証するソリューションです。代表的なものとしては、「IDaaS」（Identity as a Service）というクラウド上で認証情報を管理するソリューションです。

   もし1つのログインIDやパスワードで複数のサービスを利用したい場合は、「シングルサインオン」の機能を備えたソリューションもあります。

2. クラウドセキュリティ：CASB、CSPM

   「クラウドセキュリティ」とは、仮想化されたIP、データ、アプリケーションやサービスなどに関連するインフラストラクチャを保護するソリューションです。

   例えば、クラウドサービスの利用状況を可視化したり、制御するCASB（Cloud Access Security Broker）、利用するクラウドサービスの安全性を確認するCSPM（Cloud Security Posture Management）等があります。

3. ネットワークセキュリティ：SWG、SDP、SD-WAN

   「ネットワークセキュリティ」は、ネットワーク内の様々なアクセス権限を設定できると同時に、セキュリティ性を高めてくれるソリューションです。

   例えば、危険なサイトを検知しアクセスを遮断してくれるSWG（Secure Web Gateway）、リアルタイムでそのネットワークに接続可能か判断してくれるSDP（Software Defined Perimeter）等があります。

   また、さらにセキュリティ性を高める方法として、ネットワークをSD-WAN化することで、データを暗号化して第三者からの閲覧・盗聴を防ぐことができ、不正アクセスやポリシー違反の通信を専用のダッシュボードから停止することもできます。

4. エンドポイントセキュリティ：EDR、EPP

   エンドポイントとは、ユーザーが実際に利用しており、ネットワークの末端にある機器のことで、例えばパソコンやモバイル端末などのデバイスがこれに該当します。「エンドポイントセキュリティ」とは、これらのデバイスを保護してくれるソリューションです。

   例えば、デバイスを監視するEDR（Endpoint Detection and Response）、ウイルスからの感染を保護してくれるEPP（Endpoint Protection Platform）などが挙げられます。

まとめ

本コラムでは、VPNの抱える危険性とネットワークセキュリティを見直すべき理由について解説してきました。セキュリティ性が高いことで知られるVPNですが、ものによってはセキュリティレベルが低い可能性もあり注意が必要です。

また、紹介してきたVPNの課題を克服するにはゼロトラスト等の技術が、必要になります。更に、そのゼロトラストを実現するためにある主要な4つのソリューションを紹介してきました。

本コラムを参考に、自社で使っているVPNやネットワークセキュリティについて考え直し、セキュリティ性の向上を検討してみてはいかがでしょうか。