VPNは安全？セキュリティリスクや問題点と対策を解説！

仮想ネットワーク回線の構築と通信の暗号化によりデータをやりとりするVPN。セキュリティ性の高いシステムとして知られていますが、「本当に安全なの？」「情報漏洩の危険はない？」といった心配の声も聞かれます。

この記事では、VPNの仕組みと、VPN導入の失敗事例から、安全性やセキュリティリスクについて考えていきます。セキュリティ対策についても解説しますので参考にしてください。

VPNは安全なのか

結論から言うと、VPNは仕組みとしてはセキュリティ性の高い安全なものですが、完璧ではありません。インターネットは常に盗聴や盗用のリスクにさらされています。VPNと一口に言っても複数の種類があり、それぞれのVPNに適した使い方とセキュリティ対策を知らなければリスクを回避できないからです。運用者がVPNについての正しい知識を持つことが必要です。

VPNのセキュリティの仕組みとは

VPNとはデータの送受信時にトンネリング機能と暗号化機能を併用して、やりとりする情報を暗号化できる技術です。

このVPNは大きく２つの種類に分けられます。「インターネットVPN」と「IP-VPN」です。それぞれ接続方法が異なり、適した利用シーンやセキュリティレベルにも違いがあります。２つの特徴は以下のとおりです。

■インターネットVPN: インターネット回線を使ってデータを送受信。データを暗号化しセキュリティ対策を行う。低コストで導入可能。
■IP-VPN: 通信事業者が保有するネットワークを使ってデータを送受信。一部の限られた人しか使えないためセキュリティ性が高いので暗号化は行わないが、その分通信速度が速い。

詳しい違いやどのような仕組みでVPN通信の安全性を保つことができるのかについて以下の記事で解説しています。ぜひ参考にしてください。

関連記事【図解】VPNの仕組み・種類・メリットをわかりやすく解説！

セキュリティリスクの認識不足で起きる情報漏えい

技術的には安全なVPNですが、その運用方法を間違えてしまうとセキュリティは低下し、時には情報漏えいを引き起こします。ここからはよくある失敗例を交えて、VPNを利用しても情報漏えいを引き起こしてしまうケースについて解説します。

全国にホテルを展開するA社は、インバウンド需要による顧客数増加に対応するため、通信速度の遅い専用回線での社内ネットワークをVPN回線に切り替えることにしました。回線切り替えによって、各ホテル間での情報のやりとりがスムーズになったA社はサービス品質の向上を実現。さらにVPN回線導入によるコスト削減も相まってA社の業績は向上しました。

しかしあるとき、インターネット上のあるサイトに顧客情報がすべて掲載されていることが判明します。専用線では外部からのアクセスが不可能であったため、従業員のセキュリティ意識は低くなっていました。そしてセキュリティ対策をしないままインターネットVPNへ移行したため、公衆回線を通じてホテルのPCに悪意のあるハッカーが侵入していたのです。この情報漏えいにより、A社の企業生命は窮地に立たされてしまいました。

運用者の認識向上により高まるVPNの安全性

この例ではVPNさえ接続していれば安全だと思い込み独自に対策をとらなかった点に問題があります。特に今回のA社の場合、導入担当者や運用担当者以外の従業員に安全性やセキュリティリスクについて周知できていなかったのも原因でしょう。

また公衆回線を使用するインターネットVPNのセキュリティはネットワーク部だけに対応しており、クライアントPCについては利用者に依存しています。公衆回線に接続されているという認識を持ち、PC本体のセキュリティ対策を行わなければなりません。

安全性だけでない？よくあるVPN導入の失敗例とは

ここまでVPNの安全性と運用の失敗例について確認してきました。しかしVPN導入・運用の失敗例は安全性に限ったものではありません。特によくある失敗例としては以下のようなケースがあります。

●運用管理を度外視して検討しているケース
●業者任せでリテラシーが低いケース

ここからは、安全性以外にも問題となるポイントについて失敗例を交えながら解説していきますので参考にしてください。

運用管理を度外視して検討しているケース

VPNを導入すると、遠隔からでも社内ネットワークにアクセスでき便利になります。また、専用線よりも低コストで導入できる点に惹かれ、コスト重視で選ぶ人が多いのも確かです。

しかしコスト削減を意識するあまり、運用面についてしっかりと検討していないケースがありますので注意が必要です。

インターネットVPN利用に伴う対応

某県内で飲食店を展開するB社は、今後の店舗増も見越して通信費の見直しを図り、専用回線からインターネットVPNへの変更を決定しました。VPN装置も安価な装置を自前で揃えたために導入費用も抑えられ、思惑通り、毎月の通信費の削減にも成功しました。またこれを皮切りにB社は順調に業績を伸ばし、県外への進出が決定しました。

しかしここに来てB社は大きな問題に直面します。専用線であれば電話一本で通信関連の対応ができたものをすべて自前で対応しなければならなくなったのです。

店舗担当と兼任していた情報システム担当者は県外店に張り付いて設定などを行ったため、担当店舗の売上げは激減してしまいました。またそもそも専門ではないために設定作業がうまくいかず、社内全体に通信障害を発生させるようなミスまで起こしてしまいました。その結果B社は通信回線について、ゼロから構築し直したので予定外の多大な費用が発生してしまいました。

コスト削減だけでなく運用管理・保守についても考えて導入する

B社の問題はコスト削減を重視しすぎて、導入時に運用管理や保守について検討できていなかったところにあるでしょう。安価な機器やソフトの購入でひとまずの環境構築ができてしまうインターネットVPNでは、すべて自責作業となるため運用管理や保守、障害時の対応などを詳細に検討しておかなければいけません。

業者任せでリテラシーが低いケース

VPN接続設定は複雑なため、VPNツールのベンダーや設定業者に任せることも多くあります。

特に業務拡大を見込んでVPN導入に踏み込む際は、どのような回線契約がよいのか、しっかりと検討する必要があります。それではリテラシーが低いまま導入するとどのような問題が起きるのか、失敗例をもとに解説していきます。

公衆回線の特性への理解不足が引き起こす不満とクレーム

大手メーカーの金型製造を請け負っているC社は、県外にある幾つかの工場との通信回線に128kビット/秒までしか通信速度の出ない専用回線を使用していたものの、今後の業務拡大を見込んでVPNの導入を決定しました。回線契約については、費用は少しかさむがブロードバンド回線とし、業務拡大による通信量の増大にも対応できるようにしました。

C社の取引は順調に拡大していきましたが、当初検討していたほどの通信料の増大は生じず、ブロードバンド回線の費用対効果は低いものになっていました。それに加えVPN導入前にはなかった通信の遅延や回線の切断が起こるなど、公衆回線を利用することでの弊害が目立ってしまい、社内からは不満の声があがっていました。

遂には顧客からのクレームにまで発展してしまい、C社はVPN回線の使用を停止し、緊急用に最低限保持していた専用回線を本回線として使用せざるを得なくなってしまいました。