テレワークなどで利用する機会が増加したVPNですが、そのセキュリティリスクについてご存知でしょうか。閉域網で安全な通信が可能なVPNですが、その脆弱性が近年ランサムウェア攻撃の対象になっています。重大なセキュリティ事故に繋がる恐れがあるため、VPNのセキュリティリスクと対策を十分に理解する必要があるでしょう。本記事では、VPNのリスクとその対策について、解説します。
目次
VPNとは
VPNは「Virtual Private Network」の略で、日本語では仮想専用回線という意味になります。拠点間に物理的な個別の回線を構築することで、その間の通信を安全に大容量で行えるといったサービスやシステムを専用回線と呼びます。専用回線は企業など、重要な情報を拠点間でやり取りする必要がある組織に主に利用されています。
VPN(仮想専用回線)とは、その専用回線をインターネット上や通信業者の所持している閉域網などに仮想的に設けることで安全な通信を可能にする技術のことです。VPNを利用することで、拠点間の接続やリモートアクセスを安全に行うことが可能になります。1990年代から広まり始めた古い技術ではありますが、最近のテレワークの急速な普及によって再び注目を集めています。
VPNに関する記事はこちら「VPNとは?〜概要や仕組み、メリットなどをわかりやすく解説〜」
VPNのセキュリティリスク
VPNにはセキュリティ上のリスクが存在しますが、本記事では代表的な3つをご紹介します。
VPNの脆弱性を狙ったサイバー攻撃
VPN機器の脆弱性を狙ったサイバー攻撃は年々増加しており、企業において深刻な被害を出ています。攻撃者はVPNの脆弱性を利用し、不正アクセスや情報漏洩などのセキュリティインシデントを発生させます。特に近年ではVPN経由でのランサムウェア攻撃の被害が拡大しています。警察庁が発表した「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェア攻撃の被害にあった47件のうち、約半数の22件はVPN経由でした。VPNの脆弱性は悪用されやすいため、適切な管理運用が求められます。
マルウェア感染の可能性
マルウェアに感染した端末でVPNに接続することで、社内ネットワークがマルウェアに感染する可能性があります。社内ネットワークに感染が広がると、重要なデータの漏洩や社内システムの破壊される等の被害が生じる恐れがあります。VPNはマルウェア感染を探知する機能を持ち合わせていないので、別途でマルウェアの対策を講じる必要があります。
公衆Wi-Fiや無料VPNの利用による情報漏洩
公衆Wi-Fiや公共のネットワークを利用しているときにVPNに接続すると、VPNの認証情報が抜き取られる恐れがあります。また、無料のVPNは暗号化されていない場合もあり、安全性が低いでしょう。公衆Wi-Fiや無料VPNは安全性が担保されていないので、業務で使用する端末では利用しないといった社内ルールを徹底化することが重要です。
VPNのセキュリティリスクに対する対策は?
以上のようなセキュリティリスクにはどのように対応すればよいのでしょうか。具体的なセキュリティ対策をいくつか紹介します。
VPNのアップデートを定期的に行い、最新の状態にする
利用しているVPNのアップデートを定期的に行い、最新の状態にすることでセキュリティ対策になります。特に脆弱性情報が公開された場合は、速やかに対処することが必要でしょう。VPN経由のランサムウェア攻撃の被害事例に脆弱性を放置していたことで被害にあったケースもあります。日頃からアップデートを定期的に行うことで、セキュリティリスクを下げることができるでしょう。
運用方法を確立し、トラブル発生時の対処法を周知する
VPNの運用方法についてのルールを確立し、社員に共有することも重要です。VPN接続時のルールを設けることで、社内端末を起因とした情報漏洩を防ぐことができるでしょう。特に多くの従業員がVPNを利用する場合、全てを監視することは難しいです。一人ひとりがセキュリティに十分気を付けることが大切です。
多要素認証(MFA)を必須にする
VPN経由の場合、IDとパスワードのみの認証が原因で感染していると考えられます。そこで、IDとパスワードだけでなく、生体認証なども使用する多要素認証の導入が1つの対策となります。これにより、業務に関連する人のみが認証される可能性が高くなり、ランサムウェアの感染リスクを抑えることができます。
ZTNAに移行という選択も
ZTNAとは、「全トラフィックを疑う」という考え方のもと、全ユーザがアプリケーションやサービスに安全にアクセスするためのIT技術を指します。ゼロトラストは、毎回必ず認証することで、全ユーザが安全に利用できる仕組みです。 VPNを用いた境界型制御ではセキュリティ面の課題が残ります。セキュリティ事故を防ぐためにも、VPNからZTNAに移行し、VPNへの依存度を下げていくことも選択肢の一つでしょう。
ゼロトラスト・ZTNAに関する記事はこちら「ZTNA(ゼロトラストネットワークアクセス)とは?」
まとめ
本記事ではVPNのセキュリティリスクについて解説しました。 VPNはリモートアクセスや拠点間接続で使用されてきました。しかし、セキュリティや運用上の観点から、デメリットも多くあげられるようになりました。特にVPN経由でのランサムウェア攻撃の被害の事例が増加しているので、運用する上でセキュリティを強化する必要があるでしょう。
かもめエンジニアリングでは、脱VPNに向けたZTNAサービスとして、ゼロトラスト接続サービスKeygatewayC1を提供しております。日本企業が使いやすく、かつコストパフォーマンスの高いサービスを用意しております。ご興味をお持ちの方は、下記お問い合わせフォームよりお気軽にご相談ください。
事業・商品・サービスに関するお問い合わせ
製品に関するお問い合わせはこちら
※フリーメールでのお問い合わせは受け付けておりません。