こんにちは。スプラッシュトップ編集部です。
近年、多くの企業がテレワーク環境の構築にVPNを利用しています。しかし、VPNにはさまざまなセキュリティリスクが存在することをご存じでしょうか。実際に2020年8月には国内企業38社で、VPNを利用する際のユーザー名やパスワードなどが漏えいするセキュリティ事故が起こりました。
VPNに関するセキュリティリスクは過去に何度も注意喚起されていましたが、必要な対策が行なわれていない企業も多く、情報漏えいの危険性が問題視されています。
テレワークが進む今、企業にはVPNのセキュリティリスクの再認識と早急な対応が求められているといえるでしょう。
本記事では、VPNのセキュリティリスクや過去に起こったセキュリティ事故の事例、セキュリティ対策の具体的な方法を解説します。
導入する企業も増えているVPNとは?
VPNはVirtual Private Networkの略称で、仮想的な専用線を表します。ADSLや光回線などの高速インターネットが普及し始めた2000年代以降、VPNの概念が急速に広まりました。
近年では、新型コロナウイルスの影響でテレワークの導入を迫られている企業も多く、テレワークを実現する方法としてVPNに注目が集まっています。
VPNにはさまざまな種類や方式が存在しており、利用する環境やコスト、法人利用か個人利用かに合わせて最適なものを選択できます。例えば、閉域網を利用するIP-VPNや、インターネット回線を利用するインターネットVPNが代表的です。
従来、拠点間を接続するためには物理的な専用線が用いられてきましたが、仮想的に専用線を構築するVPNは、専用線と比べて低コストかつ短期間での導入を実現できます。
VPNについてより詳しく知りたい方は、「VPNとは?基本知識や仕組み、メリット・デメリットを解説!」の記事もぜひご参照ください。
VPNのセキュリティリスク
企業でのVPN利用が増えていますが、利用時にはセキュリティリスクの把握が必要です。ここでは、VPNのセキュリティリスクを大きく3つに分けて解説します。
公衆Wi-Fi利用時のリスク
インターネット回線を利用するインターネットVPNは、場所を問わずに利用できるメリットがありますが、公衆Wi-Fiを利用する際には注意が必要です。
公衆Wi-Fiは、公共のスペースで提供されるインターネット接続サービスを指し、通信事業者が提供する有料のものや、カフェや交通機関が提供する無料のものなどがあります。ここで特に注意する必要があるのは、無料Wi-Fiを利用してリモートワークを行う場合です。
無料Wi-FiとPC間の通信が暗号化されていないと、通信内容を簡単に盗聴される恐れがあります。VPNへアクセスするための情報を盗まれれば、VPNでの通信でデータを暗号化していても意味がありません。
「VPNさえあれば安全」という思い込みから、通信環境の安全性への配慮を欠いてしまう社員も多いので、利用ルールや社員教育の徹底が不可欠となります。
VPN機器の脆弱性による認証情報漏えいのリスク
VPN機器自体の脆弱性も考慮する必要があります。実際に、VPNを利用してセキュリティ事故につながった事例の多くは、VPN機器の脆弱性を放置していたことが原因です。
VPN機器に関する脆弱性は、多くの場合JPCERT/CCなどのセキュリティ機関から注意喚起されています。例えば、複数のSSL VPN製品で見つかった脆弱性や、複数のCitrix製品の脆弱性など、深刻な影響がある脆弱性について緊急の情報が発信されています。
サイバー攻撃は機器やソフトウェアなどの脆弱性を悪用するため、脆弱性を含むセキュリティリスクの情報に常に注意を向け、その都度アップデートなどの対応をしなければなりません。
VPNの情報漏洩事例について、詳しくはこちらの記事をご参照ください。
テレワーク端末のマルウェア感染と拡大によるリスク
VPN利用時にはVPNのセキュリティ対策に注視しがちですが、テレワークで利用する端末のマルウェア対策や情報漏えい対策も考慮しなければなりません。
VPNは社外から社内ネットワークに接続する際の通信経路のため、VPNを利用する端末がマルウェアに感染してしまうと、社内ネットワークにも感染が広がる恐れがあります。
加えて、端末に残った業務に関するデータを不正取得されてしまうことも考えられます。VPN機器のセキュリティ対策のみで安心し、端末管理について疎かにならないよう注意が必要です。
VPNが潜在的にはらむリスクについて紹介しましたが、次に実際に起こったセキュリティ事故について見ていきましょう。
VPNによるセキュリティ事故の事例
実際にVPNの利用がセキュリティ事故につながった事例は、多数報告されています。事例の詳細を知り、自社のセキュリティ対策強化を慎重に進めましょう。
オンラインゲーム運営企業の不正アクセス事例
2018年にオンラインゲームを運営する企業の子会社で発生した事例では、VPNを経由して社内サーバーへ不正アクセスされました。その結果、個人情報の漏えいは確認されませんでしたが、運営するゲームタイトルがサービス停止に追い込まれ、事業に多大な影響を与えました。
本事例は、不正アクセスに社員アカウント(VPNアカウント)が利用されていたため、アカウント管理やアクセス制御の不備に原因があったとされています。
38社もの企業が被害を受けた不正アクセス事例
2020年8月に報告された事例では、日本企業38社が不正アクセスを受け、VPNにアクセスするためのログイン情報が漏えいしました。この事例では、あるVPN製品の脆弱性が悪用され、製品を利用していた38社がターゲットとなっています。
同VPN製品は2019年に脆弱性が指摘されて修正プログラムが公開されていたものの、一部企業は修正プログラムを適用せずに利用していたため、情報が盗まれた可能性があります。2020年8月中旬時点では世界900社以上のVPN情報が漏えいしており、日本のみならず世界規模の問題となっています。
このように、VPN利用時にもセキュリティ事故が発生しています。しかしこれらの多くは、VPNの欠陥というより、利用者側の不注意や知識不足といったヒューマンエラーが原因となっていることも事実です。
それではどのように対処を行えばいいのでしょうか? 具体的な解決策を見ていきましょう。
VPN導入時の具体的なセキュリティ対策方法
セキュリティ事故を防ぐために、VPNの導入・利用時に注意すべき点を3つご紹介します。
利用者のセキュリティ意識を向上させる
安全な通信を実現するVPNであっても、適切でない利用によってセキュリティ事故につながる恐れがあります。そのため、システム的なセキュリティ対策はもちろん、利用者のセキュリティ意識を向上させることも重要です。
例えば、公衆Wi-FiでのVPN利用の禁止、ログインIDやパスワードを強固なものにする、社内データを端末に保存しない、端末のセキュリティソフトの更新の徹底、などのルールを定めてセキュリティ教育を実施しましょう。
さらに、管理者は定期的にVPNの利用ログを確認するなど、ユーザーの不信な利用を発見・改善するための仕組みを作ることも大切です。
最新のセキュリティ情報に注視する
利用しているVPN製品の脆弱性を見逃さないように、常に最新のセキュリティ情報に注視しましょう。脆弱性の情報と併せて、攻撃手法や被害事例などの情報も把握するよう心がけます。
最新のセキュリティ情報は、JPCERT/CCやVPN製品を提供するベンダーなどから公表されています。定期的なチェックを欠かさず、脆弱性の修正に関するセキュリティパッチが公開された場合は、即座に適用することが重要です。
VPNサーバーの認証を強化する
VPNは、不正ログインをされたあとでは対策が難しくなります。そのため、不正ログインされないようサーバーの認証を強化する方法が効果的です。
例えば、ログインIDやパスワードによる認証と、スマートフォンを利用した認証などを組み合わせた“多要素認証”を取り入れましょう。多要素認証はVPNに限らずさまざまな製品・サービスで導入されており、本人確認のためのセキュリティ強度の高い認証方式として注目されています。
VPNのセキュリティリスクを回避してリモートワークを実現するには?
安全といわれているVPNにはいくつかのセキュリティリスクが存在し、実際にセキュリティ事故につながった事例も見られます。VPNの導入の際には本記事で紹介したようなセキュリティ対策を踏まえ、運用・保守の方法をしっかりと検討しなければなりません。
しかし、そのような対応は簡単には行なえず、管理者の手間も増えてしまいます。VPNを導入する目的がテレワークの実施であれば、VPN以外の方法も検討するとよいでしょう。
例えば、リモートデスクトップサービスの“Splashtop”はセキュリティの高いテレワーク環境を簡単に実現可能です。
Splashtopは、導入時・運用時の負担が少ないリモートデスクトップツールです。また、すべての通信でSSL/AES256ビット暗号化通信を採用しているなど、高いセキュリティ強度を実現しています。さらに、一般的な企業でのVPN導入に比べて導入コストも抑えられ、短期間での導入が可能です。
VPNのセキュリティリスクに不安を抱えている場合は、新たな選択肢としてリモートデスクトップサービスのSplashtopを検討してみてはいかがでしょうか。
>【無料トライアル実施中】Splashtopについて詳しく知りたい方はこちら