テレワークの浸透により、会社員の多くがネットワークを利用して幅広い場所から働くことができるようになりました。そのため、VPNを使用する会社が増えています。VPN装置を活用して、会社外からのネットワークアクセスは、セキュリティ面の安全性が保てるのでしょうか。
今回は、VPNのセキュリティ面に焦点を当てて、セキュリティリスクと対策を解説します。テレワークを推進していこうとする経営者の方は、ぜひ参考にしてください。

VPNとは？仕組みや安全性を解説

そもそもVPNとは「バーチャル・プライベート・ネットワーク」の略で、専用の回線を仮想的に作ることを言います。実際に専用の回線をつなぐこともできますが、費用の負担が多くなります。しかし、公衆のインターネット空間の中に、専用の回線を仮想的に作れば費用負担を抑えながらリスクも抑えられます。VPNでは、「トンネリング」「暗号化」「認証」の3つの技術を用いて通信の安全性を高めています。「トンネリング」によって、外部から見ることができないようにします。また、「暗号化」によって、送信している内容が例え他人に見られてしまったとしても判読が不可能です。さらに、個別で「認証」を行わなければ、回線を使用することができなくなっています。VPNは、多重のセキュリティを敷いているので、会社外からのアクセスでも安心して利用可能です。

意外と多い、VPNのセキュリティリスク

VPNは高い安全性を保っていますが、完全にセキュリティが確立されているわけではありません。VPN接続を利用しても、個人的な情報や会社の機密情報が漏洩してしまうこともあります。VPNのサービスを提供している会社自体が悪質である場合は、VPNを使用している方の情報はすべて読み取られてしまいます。また、VPNサーバーに不正にアクセスされて、情報を盗まれたこともあります。VPNサービスを選択する場合や、初期設定をする際には細心の注意が必要です。

VPNの事故事例

VPNは、安全性を高めるシステムではありますが、過去に情報漏洩などの事故事例もあります。あらかじめ過去に起こった事故事例を知っていれば、個別の対策もおこなうことができます。VPNサービスを選択する際の参考にするためにも、過去の事故事例のケーススタディをおこなっておきましょう。

事例①パルスケア製のVPN装置

パルスケア製のVPN装置には脆弱性が指摘されていて、会社側としてすぐに対抗措置を取りました。しかし、既にサービスを利用している会社の中には、更新をしていない所も多くありました。脆弱なままのVPN装置を使い続けていた会社では、細工されたデータをVPN装置に発信されて使用しているユーザーのIDとパスワードが盗まれてしまいました。ユーザーIDとパスワードが盗まれてしまえば、会社内の人間としてシステムに入ることができるので簡単に情報を取得することができるようになります。

事例②Travelex社のランサムウェア感染

外貨の両替をしている金融会社のTravelex社では、VPNの脆弱性をつかれてランサムウェアの感染被害を受けています。ランサムウェアによって、会社内の重要な情報を暗号化されて人質化されました。膨大な量の個人情報を扱っている金融機関だったため、個人情報の流出と引き換えに多額の身代金を要求されています。ランサムウェアによる感染被害は、会社が提供するサービスがストップしてしまうだけではなく、会社の信用度の著しい低下も招きます。

事例③カプコンへの不正アクセスによる個人情報の流出

大手のゲーム会社のカプコンもVPNの脆弱性を狙われて、不正アクセスされています。パンデミックの影響により、多くの社員をテレワーク勤務させる際に旧型のVPN装置を使用せざる負えない状況でした。攻撃されたのは脆弱な状態の旧型のVPN装置です。アメリカと日本にあるサーバーからネットワークに侵入されて情報が盗まれています。被害としては、約39万人分の顧客や株主の個人情報が流出した可能性があると言われています。

VPNのセキュリティ対策

VPNの安全性の高さは保証されているものの、過去の事故事例があるため対策をしておくことが必要です。機密情報が漏洩してしまう前に、きちんとした対策をおこなって予防しておけば安心です。ここからは、VPNのセキュリティ対策を3つ紹介します。セキュリティリスクを削減して、安心した通信システム環境を構築してください。

• セキュリティサービスのアップデート
• 人為的なミスを無くすためのルールの設定
• 安全性の高いサービスを利用する

セキュリティサービスのアップデート

VPNサービスの更新をきちんと定期的におこなうことは、不正なアクセスや事故への対策の基本です。セキュリティと不正なアクセスを試みるハッカーの技術とは、イタチごっこの様に常に拮抗状態にあります。そのため、VPNのサービスをおこなっている運営会社は、システムの更新を常におこなっています。VPNサービス利用者もシステムの更新をおこなっていないと、旧式の状態になってしまい脆弱性が増してしまいます。不正アクセスによる重要な情報の漏洩を防ぐためにも、サービスが更新された場合はシステムを更新すべきです。

人為的なミスを無くすためのルールの設定

不正なアクセスや情報の漏洩を無くすためには、会社のコンピューターにアクセスする社員全員への啓蒙とルールの遵守をさせる施策も必要です。VPNサーバーやサービスシステムの更新をおこなっていても、人為的な不注意やミスによって情報が漏洩してしまうこともあります。社員の中には、他からの情報を外部のUSBを使用してコンピューターに取り込むこともありますし、SNSや他サイトにアクセスすることもあります。その際に、外部から侵入したウイルスに感染してしまう事例もあります。社用のパソコンやネットワークを使用する際には、社員一人ひとりの注意が必要です。

安全性の高いサービスを利用する

安全性の高いサービスを利用することでも、セキュリティ対策になります。VPNサービスを提供する会社は、数多くあります。ノーログポリシーを厳格に守っている会社もありますし、個人のログを保存したままにしている会社もあります。きちんとしたノーログポリシーを守る会社で、自社の運営スタイルに合わせてシステムの更新とセキュリティの整備をしている会社を選択するべきです。

まとめ

VPNのセキュリティは、「トンネリング」「暗号化」「認証」と3つの技術を活用して安全性を保っています。そのため、VPNを導入すれば、テレワーク時でもセキュリティを高く保ちながら会社の運営が可能です。しかしながら、VPN装置によっては、脆弱性を攻撃されて不正にアクセスされてしまうこともあります。テレワークを推進して安全性も担保するためには、よりセキュリティ能力の高いサービスを導入すべきです。
SMS DataTechでは、テレワークの際にも有効なサービスを提供しています。初めて利用する方でも相談しながら導入を検討できますのでセキュリティ対策に少しでも不安を感じていらっしゃる担当者の方は是非一度ご相談ください。

▼ セキュリティ対策に関するお困りごとを解消！