VPNは安全？仕組みからセキュリティリスクまで一挙に紹介

VPNとは？セキュリティに配慮した通信技術

VPNとは、Virtual Private Network（バーチャル プライベート ネットワーク）の頭文字を取った略語です。インターネット上に自分専用の通路を構築し、他者からデータを守り安全に情報をやりとりできる道のようなもので、仮想の専用通信回線を構築することにより、安全な拠点間接続を実現する技術です。

一般的なインターネット回線は意図しない外部からのアクセスなど一定のセキュリティリスクがある環境です。特に不特定多数の方が自由に利用できるオープンなWi-Fiのなかには、セキュアな通信が確立されていないネットワークなどもあり、セキュリティリスクが一層高まります。リモートワークのほか、出張先やお客様のオフィスへ往訪する途中などで、やむを得ずそのような環境に接続してしまうことで情報が危険にさらされてしまうこともあります。

そのような通信時のセキュリティリスクを低減するために、多くの企業で取り入れられている手段がVPNです。認証情報を知っている関係者のみが接続できる仮想専用通信回線には、暗号化をはじめとするさまざまなセキュリティが施されており多拠点間を安全に接続することができる技術といえます。

VPNの仕組み

ここからは、なぜVPNは安全性が高いといわれているのか、VPNの仕組みを交えて紹介します。VPNには一般的に、トンネリング・カプセル化・暗号化といった技術が用いられます。

トンネリング

接続元から接続先へ専用の通信経路を構築し、この経路をトンネルのように覆い隠す技術です。これにより、外部からのアクセスが遮断された状態になります。

カプセル化

通信経路をトンネルで覆い隠すだけでは、万が一トンネル内に侵入されてしまったとき、トンネル内を通る送受信データが覗き見られてしまうリスクがあります。それを防ぐために、送受信データにカプセル化という処理を施します。これにより、トンネル内を通るデータそのものが保護された状態になります。

暗号化

さらに複合的な手法で情報を保護するために、カプセル化に加えて暗号化を施します。これにより、正当な受信者以外はそのデータを理解できない状態に加工されます。

このように、二重三重のセキュリティ対策が施されていることが、VPNによるデータ通信が通常の通信環境と比較してセキュアだといえる背景です。

VPNの種類

VPNは大きくインターネットVPN・エントリーVPN・IP-VPN・広域イーサネットの4種類に分類されます。
以下、VPNを選ぶ際のポイントとなるコスト・セキュリティ・通信速度に関する一般論を取りまとめた比較表です。

※サービス提供元によって異なります

インターネットVPN

インターネットVPNは、一般のインターネット回線を使ってVPNを構築する方法です。
既存の回線を利用するため安価に導入できる点がメリットです。

ただし、一般のインターネット回線を使用するという性質上、他の種類と比較するとセキュリティ強度は一般的。また、“ベストエフォート型”が採用されているため、通信速度は回線の混雑状況によって左右されるというデメリットも併せ持ちます。
どなたでも、比較的容易に導入できるVPNサービスです。

なお、インターネットVPNにはSSLVPN^＊1とIPsecVPN^＊2があり、一般的には後者の方がセキュアであると言われます。

＊1　SSLVPN：ウェブブラウザを使い、安全なリモートアクセスを提供するVPN
＊2　IPsecVPN：ネットワーク層で暗号化して、安全な通信を提供するVPN

エントリーVPN

エントリーVPNは、インターネット回線に閉域網（関係者のみが接続できるクローズドなネットワーク）を構成し、VPNを構築する方法です。
一般のインターネット回線を利用するため安価に導入できるといわれています。また、閉域網を構成することにより、一定のセキュリティ強度を担保できる点もメリットとして挙げられます。ベストエフォート型のため、回線の混雑状況によって通信速度が左右される点がデメリットになることがあります。

IP-VPN

IP-VPNは、通信事業者が持つ閉域網にVPNを構築する方法です。 閉域網を用いることにより、インターネットVPNと比較するとセキュリティ強度が高くなるという点と、“ギャランティ型（帯域保証型）”の採用により、一定の通信速度が保証されているという点がメリットとして挙げられます。（サービス提供元によってはベストエフォート型の場合もあります）

デメリットは、インターネットVPNやエントリーVPNと比較するとコストが高くなるという点です。
後述する広域イーサネットとは異なり、ネットワークの運用・保守は通信事業者に任せることもできるため、自社の負担を軽減しつつ多拠点間でセキュアな通信を実現したい場合に適しているVPNだといわれています。

広域イーサネット

IP-VPNと同様に、通信事業者が提供する閉域網にVPNを構築する方法です。そのためメリット・デメリットはおおよそIP-VPNと同様ですが、使用できるプロトコに違いがあります。IPプロトコルのみのIP-VPNに対して、広域イーサネットはマルチプロトコルに対応しており、よりカスタマイズ性に優れているといわれています。
セキュリティ強度の高さが必要な場合かつ、高度な設定、運用・保守が可能な場合に活用できるVPNだといえるでしょう。

VPNのセキュリティリスクとそれを狙ったサイバー攻撃事例

VPNはセキュリティに優れた通信手段ですが、完璧ではありません。
VPN機器の脆弱性を狙う“ネットワーク貫通型攻撃”と呼ばれるサイバー攻撃手法も確認されており、省庁やIPA（独立行政法人情報処理推進機構）では注意喚起をしています。

VPNに関連するセキュリティリスクとそれを狙ったサイバー攻撃事例を紹介します。

VPN機器がランサムウェアの感染経路に

ランサムウェアの感染経路としてVPN機器からの侵入が71%を占めているとのデータもあります。
警察庁によると令和5年上半期には、リモートデスクトップを含むリモートアクセス用の機器やソフトウェアがランサムウェアの攻撃の感染経路の8割を占めているという発表がありました。

出典：警察庁『令和5年度上半期におけるサイバー空間をめぐる脅威の情報等について』

VPNへの不正アクセス

VPNへの認証情報が何らかの原因で流出してしまうと、第三者がVPNを利用することができる状態になります。また、利用中のサービスに脆弱性がある場合も同様に不正利用のリスクがあります。悪意を持った人に情報が渡ると、侵入、攻撃につながり被害を及ぼすリスクが高いでしょう。

以下は、VPN機器の脆弱性を悪用するコードが公開されたことによるサイバー攻撃の被害事例です。

Pulse Secure製VPN機器の脆弱性が悪用されたサイバー攻撃の事例

2020年8月、Pulse Secure製VPN機器の脆弱性が悪用され、日本国内だけではなく国外も合わせて900以上の事業者からVPNの認証情報が流出する被害が発生。

Fortinet製FortiOSの脆弱性が悪用されたサイバー攻撃の事例

2020年11月、Fortinet製品では、脆弱性の影響を受ける約5万台に関して、IPアドレス、ユーザーアカウント名、平文パスワードなどの情報が公開される被害が発生。

どちらのケースでも、ネットワーク内に侵入された可能性があるため、侵害有無の確認や、パスワード変更などの事後対応に追われる事態となりました。

VPNのセキュリティリスクにも“ASM”

セキュアな通信を実現するためにVPNは現状有効な手段です。
一方で、VPN機器の脆弱性を狙ったサイバー攻撃事例が発生している以上、ほかのセキュリティ対策も同時に実施する必要があると考えられます。
セキュリティ対策を実施するためには、まずセキュリティリスクを可視化すること。インターネットからアクセスできる情報資産のセキュリティリスクを包括的に管理するためにはASM（Attack Surface Management）が有効です。

ASMは、インターネットからアクセスできるIT資産を継続的に監視し、脆弱性や攻撃の糸口となる部分を網羅的に検知し対策していくプロセスです。例えば、VPN機器が外部に公開されている場合は、攻撃者からサーチされ標的にされるリスクが高い状態と言えます。

VPNを外部にさらさない、脆弱な状態を放置しない、認証情報が漏洩しても悪用されない対策（二要素認証）を導入する、といった直接的な対策は当然行いつつASMを組み合わせることで多角的なアプローチが可能になり、より高いセキュリティが構築できます。

まとめ

VPNは、リモートワークをはじめ、オフィスの外でネットワーク接続をする機会も多い現代においてよりセキュアな通信を確保する手段の一つです。
しかし、悪意のあるハッカーにとってはVPNも有効な攻撃の対象であり、常に攻撃の糸口を探しています。
攻撃を防ぐために重要なのは、「何が・どこが攻撃の糸口になり得るか？」を包括的に管理することです。
まずは、ASMの初回無料診断で自社に潜むセキュリティリスクの可視化を試してみることをおすすめします。

• 『MS&ADサイバーリスクファインダー』の初回診断はこちらから