テレワークで改めて考えるVPNの仕組みと脆弱性の課題

  • 投稿日:2021 - 6 - 3
  • 更新日:2021 - 8 - 12
  •   

遠隔地から社内システムにアクセスできる「VPN」。低コストで通信でき遠隔でもアクセス可能と、テレワークにおいても注目される反面、さまざまな課題も指摘されています。コロナ禍によりテレワーク化が加速する今、改めてVPNについて考えてみましょう。

VPNの仕組みと種類

VPNの利用が加速したのは2000年代に入ってからです。それまで企業や行政は、セキュアな環境として専用線を用いていました。しかし、専用線の導入は物理的な回線設備が必要でありコストもかかります。そこに、仮想で専用線を構築できるVPNの技術が確立され、低コスト・短期間で安全な通信網を確立する手段として広く使われるようになりました。

令和2年情報白書によれば、2018年度末における国内専用線は29.4万回線と減少する一方、VPNは2019年度末で約65万回線と2000年代初期と比べ3倍近くの契約数となっています。

普及の背景には、情報漏えいリスクに対する企業の意識の高まりや、テレワークといった働き方の多様化があります。在宅勤務や移動中でのモバイル端末の利用では安全な通信が必須です。そのため、「トネリング」「暗号化」「承認」という技術で仮想的専用線を構築するVPNが、企業の拠点間での接続や外部から社内ネットワーク接続に利用されています。

VPNの種類は、「インターネットVPN」「IP-VPN」「SSL-VPN」の大きく3つに分けられます。

インターネットVPN

既存のインターネット回線を利用して仮想の専用回線を構築する手法です。インターネット回線のある環境に、VNP対応ルーターまたはVPNサーバーを設置するだけで利用ができるため、導入が安易です。ただし、※ベストエフォート型であり通信の品質はインターネット回線の利用状況に左右されます。また、後述のIP-VPNと比較してセキュリティリスクが高いといった点が挙げられます。

※ベストエフォート型:1つの回線を複数のユーザーが共用するような場合に用いられる通信方式。ネットワークを利用する他ユーザーの通信状況により通信速度が変化する。

IP-VPN

通信事業者が提供する閉域IP網を使用して、仮想のネットワークを構築する手法です。より専用線に近いセキュリティが実現でき、通信速度の品質が保証されている点が特徴です。複数の拠点で安定したデータ通信を実現したり、大容量のネットワークを構築したりする場合に適しています。ただし、プロトコルがIPのみに限定されます。

SSL-VPN

広い意味ではインターネットVPNの種類のひとつとして考えられるSSL-VPNは、暗号化にSSL技術を利用しています。リモートアクセスに最適なVPNとされ、低コストかつ短期間で導入が可能です。

VPNという仕組みは、拠点間同士の通信も可能です。全国の拠点や海外拠点でも、遠隔操作でアクセスができます。このようにVPNは距離や拠点数・通信容量などの課題を低コストでクリアできるため、企業のテレワーク導入ではセキュリティ対策で採用される有効な手段のひとつとなっています。

テレワークにおけるVPNの課題

セキュアな通信環境を低コストで実現できるVPNですが、万能ではありません。昨今のテレワークの急速な拡大では、新たな課題が浮き彫りになりました。

VPNのひっ迫

2020年の春以降、新型コロナウイルス感染症が拡大するなかで、ネットが遅い・つながらないといった声が聞かれるようになりました。株式会社パーソル総合研究所の調査によれば、全国に緊急事態宣言が発令される以前は約13%だったテレワーク普及率が、4月以降は約25%と急増。東京都にいたっては最大で67%の導入率と、多くの人々が自宅からリモートで仕事をする環境に移行しました。

HENNGE株式会社が2020年6月に実施した「企業のテレワークとVPN利用に関する調査」によると、8割以上の企業がテレワーク時にVPNを利用し、そのうち約半数が「VPN利用に関して課題があった」と回答しています。

  • 回線速度の低下

VPN利用者増加はすなわちVPNサーバーへの負荷の増加を意味します。それにより、VP N利用での回線速度が低下し、ユーザーが「ネットが遅い」と感じることが多くなります。VPNサーバーとの接続距離が遠い場合も、通信速度の低下が発生することがあります。

さらに、テレワークで自宅のインターネット回線を利用する場合、回線の混雑やインターネットサービスプロバイダ側の通信制限が速度低下の要因になることも。新型コロナウイルス感染症対策でのテレワークではビデオ会議の参加でデータ量も増加しており、VPNサーバーやインターネット回線への負荷は、安全かつ快適なネット環境を構築するうえで見過ごせない問題となっています。

  • 接続状況が不安定になる場合がある

IDC Japan 株式会社の調査では、トラフィック増加に伴いボトルネックとなっている部分として、VPN装置が一番多く挙げられました。ネット回線の遅延や接続の不安定さは、ファイルが送信できない、ビデオ会議に参加できないなど業務へ支障をきたします。さらに、ボトルネックが解消されないままでは、業務の繁忙期やトラフィックが増大する時間帯のたびに、つながらない・不安定という問題が繰り返されます。

業務をスムーズに行えないストレスから、勤務者が一般の回線を利用しそこから情報漏えいや盗み見のリスクが高まる恐れもあります。またトラブルに対応しなければいけない社内IT部門の負担も見過ごせません。

VPNの脆弱性

さらにVPNの脆弱性も企業の情報セキュリティを脅かす要因となっています。

2020年8月には、米Pulse Secure社のVPN機器(Pulse Connect Secure)を使用していた複数の企業が不正アクセスを受け、テレワークに欠かせないVPN暗唱番号が流出したと報じられました。Pulse Secureでは脆弱性についての情報を2019年4月に公表しその後修正プログラムを公開。日本国内の情報セキュリティインシデントの報告受付・対応を行うJPCERT/CCで注意喚起もされていましたが、情報流失をした企業は修正プログラムのアップデートを怠っていたとみられています。

ほかにも、同じくPulse Secure社製品を使用していた大手両替サービスを提供するTravelex社がランサムウェアによるハッキング攻撃を受け、約2億5000万円相当のビッドコインを支払ったと報じられています。

本来は信頼できる安全な通信環境を構築するために導入したVPNが、第三者によって悪用された場合の情報セキュリティリスクについて、企業は慎重に考えなければいけません。VPNを導入していても、こうした脆弱性の情報や修正プログラムのアップデートに常に敏感でなければいけないのです。

まとめ:テレワークにおけるVPNの課題を解決するには?

vpn

これまでは低コストや導入のしやすさからセキュリティ対策として重宝されていたVPNですが、テレワークが拡大する現在、セキュリティと業務効率化の双方を十分に担保できるかというと検討課題が残ります。

また、テレワークのように外出先や自宅から業務に必要なネットワークにアクセスしたり、端末が個人使用のBYODであったりするなど、現在はアクセス経路やアクセス元も多様化しています。ネットワークと端末の境界のみを保護するVPNだけでは、万全なセキュリティ対策を構築できるとは言い難く、多重層かつ多方面に機能するセキュリティ対策が求められます。

moconavi(モコナビ)は、VPNを使用せずにアプリにログインするだけで安全に業務ツールへアクセスできます。端末にデータを残さないため、外部に情報を持ち出す機会の多いテレワークのセキュリティ対策に有効です。テレワークにあたり、改めて安心なセキュリティ環境の構築をお考えの方は、ぜひ一度ご検討ください。

この記事をシェアする