VPNの基本とセキュリティについて
VPNとは、インターネット上に特定の人のみが利用できる仮想的なネットワークを設けて、安全に情報をやり取りするためのものです。VPNの技術が開発される以前は、物理的な専用線を用いて、企業のネットワークを構築していました。特定の企業が占有できるため安全性や信頼性が非常に高いものの、構築が完了するまでのコストや時間が大きな課題となっていました。VPNはそのような課題を克服すべく、通信の安全性を確保しながらも、かかるコストや時間を大幅に抑制することができた技術です。
VPNには大きく分けて、「インターネットVPN」と「IP-VPN」の2種類があります。インターネットVPNはインターネット回線を使用するため、低コストで導入できるという特徴があります。IP-VPNは通信事業者の閉鎖網を使用するものであり、比較的高価ですがセキュリティレベルがより高いという特徴があります。
セキュリティにも大きく関与するVPNプロトコル
VPNを導入する上で、VPNプロトコルによってセキュリティレベルが大きく変わる場合もあるため、その種類について知っておくことも重要です。ここでは主要なVPNプロトコルを簡単に解説します。
PPTP(Point-To-Point Tunneling Protocol)
PPTPは手軽に利用する場合には便利ですが、暗号化機能が弱いためセキュリティ対策が必要な企業では利用を避けるべきです。
IPsec(Security Architecture for Internet Protocol)
IPsecはVPNの通信を強力に暗号化する役割があり、他のプロトコルと組み合わせて利用することでセキュリティレベルを向上させます。
L2TP(Layer 2 Tunneling Protocol)
前述の IPsec と組み合わせて、L2TP/IPsecとして使用することで安全性を強力にします。ただし、通信速度は比較的遅いです。
OpenVPN
OpenVPNは人気があり、広く使われているオープンソースの VPNプロトコルです。通信速度やセキュリティを含めた多くの面で他のVPN プロトコルと遜色ないと言えます。
ここでは主要なものに限定していますが、VPNプロトコルの詳細についてご興味のある方は以下のeBookもご参照ください。
【関連】 もう迷わない!VPNの選び方 ~基本から監視ソリューションまで~
知らないと危険!VPNに潜むセキュリティリスク
安全にデータをやりとりするためのVPNですが、知らないと逆にセキュリティの抜け穴となってしまうことがあります。ここでは、VPNを利用する上で必ず知っておくべきセキュリティリスクを解説します。
VPN機器の脆弱性を狙った攻撃
VPNの認証情報が流出する事件が多発しています。VPNに接続するためのIDやパスワードが盗まれた場合、社内の重要な情報が筒抜けになってしまう可能性があります。VPNの認証情報が流出する原因としてサイバー攻撃が挙げられます。特に、VPN機器の脆弱性は攻撃者のターゲットとなることが多く、対処せず放置することは危険です。また、人為的な設定ミスにより流出する場合もあります。
利用端末のウイルス感染
VPN機器自体のセキュリティ対策も重要ですが、それだけではなく利用端末にも注意する必要があります。VPNを利用している端末がウイルス感染することで、組織内のネットワークを通じて他の端末にもウイルスが拡散される可能性があるためです。また、端末から機密情報が流出するなどの被害が発生する可能性も考えられます。
VPNのセキュリティリスクへの対処法
VPNのセキュリティリスクに対処するために、組織内で実施すべき対処法を解説します。
VPN運用ルール決め
前述のVPNプロトコルの項目も参考に、セキュリティレベルの高いVPNを選定して運用ルールを策定することが重要です。信頼性の低いVPNを利用している場合、情報が漏えいする恐れもあります。設定ミスなどの人為的なミスも盲点となりがちなので、マニュアル化するなど対策しておきましょう。VPNの認証情報が流出した可能性があるインシデントが発生した際の対応も事前に決めておくことで、万が一の事態が発生した際も被害の抑制が期待できます。
職員の利用ルール決め
実際に利用する職員のセキュリティに関するルールの策定も重要です。特に認証情報の流出に注意する必要があります。自宅外でテレワークを行う場合、パソコンの紛失や盗難が起きないように注意するだけでなく、周囲の人に入力を盗み見をされないようにするなどの対策が必要です。また、VPNの認証情報に関する情報は、職員同士であっても決してメールやチャットで共有しないようにしましょう。
ルールの周知やセキュリティ研修の実施
いくらセキュリティレベルの高いVPNを使用したりセキュリティソフトなどで対策したりしたとしても、実際に使う職員のセキュリティ意識が低ければ意味がありません。運用ルールや利用ルールの徹底して周知することに加え、少なくとも1年に1回はセキュリティに関する研修を実施してセキュリティ意識を向上させることが重要です。
最新情報の入手
サイバー攻撃の手法は日々進化しており、一度切りの対策で終わるものではありません。なるべくそれらの最新情報を入手し、必要に応じて対策や職員への注意喚起を行うことが重要です。特にサイバー攻撃は脆弱性を突くものが多く、脆弱性を修正したバージョンが提供された場合は迅速に適用することで被害を予防できます。
リアルタイム監視
ネットワークの異常に迅速に気づくためには、サイバー攻撃やウイルスなどの不審な通信が流れていないか常に監視することが重要です。また、トラブル発生時に調査するために、VPNの通信ログを一定期間保管しておく必要もあります。これらを24時間265日人手で行うのは困難なため、ツールを用いて自動化するのが一般的です。
VPN導入でよくある3つの課題とは?
Firewall AnalyzerのVPNログ監視でさくっと解決する方法
\ これらを簡単に実現する方法を伝授します /
① VPN経由のトラフィック量とユーザー情報の可視化
② VPN経由の怪しい通信の検知および可視化
③ VPNのセッション情報や利用傾向の可視化
VPNのセキュリティ対策を効率化するには
ネットワーク管理者がVPNのセキュリティリスクの対処法としてやるべきことは、前述したとおり多岐に渡ります。日々の業務の負担が大きいため、なるべく業務を効率化するのも重要です。そのために有効な手段として、ツールを用いてVPNの状況をリアルタイムに監視し、異常に迅速に気づける仕組みの導入が挙げられます。
ManageEngineでは低コストでセキュリティリスクを可視化できるファイアウォールログ解析ツール「Firewall Analyzer」をご提供しています。Firewall Analyzerには30以上のレポートが標準搭載されており、例えばVPNレポートを使用して次のことを手軽に実現できます。
- VPN認証に数多く失敗している怪しいユーザーの特定
- いつ・誰が・どのような通信を・どれくらいの量していたか特定
- 業務時間外のVPN通信が発生した際のアラート発報と迅速通知
VPNの利用状況やセキュリティリスクをわかりやすく可視化
専門知識や経験不要で、誰でもわかりやすい管理画面も特長です。今すぐ操作したい方はぜひFirewall Analyzer 体験サイトでお試しください。
