VPNは安全なのか？VPNのセキュリティリスクや問題点もあわせて解説！

VPNは安全なのか

通信の暗号化によりセキュリティを向上させるVPN(Virtual Private Network)ですが、実はその安全性は運用者によって左右します。つまり、VPN運用者に運用知識がなければ、その優れた技術も効果がなくなってしまう恐れがあるのです。

それでは具体的に、どのような知識が必要で、どのような場面に情報漏えいが起きてしまうのでしょうか？まずはVPNの仕組みを簡単に確認しつつ、運用の失敗例と対策を交えながら解説していきます。

技術的にセキュリティを向上させるVPN

そもそもVPNは、トンネリング機能にプラスして暗号化機能により、やりとりする情報を暗号化できる技術です。

またVPNには大きくインターネットVPNとIP-VPNの二つがあり、それぞれの仕組みによってセキュアな通信が実現されます。つまり、どちらの種類にせよセキュリティの向上、特に安全な通信を目的としており、VPNは安全といえます。

以下の記事ではどのような仕組みでVPN通信の安全性を保つことができるのか解説しています。VPNの仕組みについて理解を深めたい方は参考にしてください。

▼あわせて読みたい！
参考記事：難しくない！VPNの仕組み｜種類・メリットもわかりやすく解説

セキュリティリスクの認識不足で起きる情報漏えい

技術的には安全なVPNですが、その運用方法を間違えてしまうとセキュリティは低下してしまい、時には情報漏えいを引き起こしてしまいます。ここからはよくある失敗例を交えて、VPNを利用しても情報漏えいを引き起こしてしまうケースについて解説します。

全国にホテルを展開するA社は、インバウンド需要による顧客数増加に対応するため、通信速度の遅い専用回線での社内ネットワークをVPN回線に切り替えることにします。回線切り替えによって、各ホテル間での情報のやりとりはスムーズになったA社はサービス品質の向上をやり遂げることができ、またVPN回線導入によるコスト削減も相まって、A社の業績は向上しました。

しかしあるとき、インターネットのとあるサイトに顧客情報がすべて掲載されていることが判明します。専用線では外部からのアクセスが不可能であったため、従業員のセキュリティ意識は低くなっており、VPN移行時も変わることなく対策も為されなかったため、公衆回線からホテルのPCに悪意のあるハッカーが進入していたのです。A社の企業生命は窮地に立たされてしまいました。

運用者の認識向上により高まるVPNの安全性

この例ではVPNを接続できれば安全だと思いこんでいる人がいることは問題です。特に今回のA社の場合、導入担当者や運用担当者以外にまで、安全性やセキュリティリスクについて周知できていなかったことが問題として考えられます。社員への教育を怠っていたのではないでしょうか。

公衆回線を使用するインターネットVPNのセキュリティは、ネットワーク部だけに対応しており、クライアントPCについては利用者に依存しています。公衆回線に接続されているという認識を持ち、セキュリティ対策をきちんととっておかなければいけません。

安全性だけでない？よくあるVPN導入の失敗例とは

ここまでVPNの安全性と運用の失敗例について確認してきました。しかし、VPN導入・運用の失敗例は安全性に限ったものではありません。特によくある失敗例としては以下のようなケースがあります。

• ●運用管理を度外視して検討しているケース
• ●業者任せでリテラシーが低いケース

ここからは、安全性以外にも問題となるポイントについて失敗例を交えながら解説していきますので参考にしてください。

運用管理を度外視して検討しているケース

VPNを導入すると、遠隔からでも社内ネットワークにアクセスすることができ便利になります。また、専用線よりも低コストで導入できることがメリットとして、コスト重視で選ぶ人が多いのも確かです。

しかしコスト削減を意識するあまり、運用面までもしっかりと検討していないケースがありますので注意が必要です。

インターネットVPN利用に伴う対応

某県内で飲食店を展開するB社は、今後の店舗増も見越して通信費の見直しを図り、専用回線からインターネットVPNへの変更を決定しました。VPN装置も安価な装置を自前で揃えることで導入費用も抑えられ、思惑通り、毎月の通信費の削減にも成功したB社は順調に業績を伸ばし、県外への進出が決定しました。

しかしここに来て、B社は大きな問題に直面します。専用線であれば電話一本で通信関連の対応ができたものを、すべて自前で対応しなければならなくなったのです。

店舗担当と兼任していた情報システム担当者は県外店に張り付いて設定などを行ったため、担当店舗の売上げは激減してしまいます。また、そもそも専門ではないために設定作業がうまくいかず、社内全体に通信障害を発生させるようなミスまで起こしてしまいます。結果、B社は最初からすべてを構築し直すことになってしまい、予定外の多大な費用が発生してしまいました。

コスト削減だけでなく運用管理・保守についても考えて導入する

B社の問題は、コスト削減を重視しすぎ、導入時に運用管理や保守について検討できていなかったことです。安価な機器やソフトの購入でひとまずの環境構築ができてしまうインターネットVPNでは、すべて自責作業となるため、運用管理や保守、障害時の対応などを詳細に検討しておかなければいけません。

業者任せでリテラシーが低いケース

VPN接続設定は複雑なことも多く、VPNツールベンダーや設定業者に任せることもあります。

特に業務拡大を見込んでVPN導入に踏み込む際は、どのような回線契約がよいのか、しっかりと検討する必要があります。それではリテラシーが低いまま導入するとどのような問題が起きるのか、失敗例をもとに解説していきます。

公衆回線の特性への理解不足が引き起こす不満とクレーム

大手メーカーの金型製造を請け負っているC社は、県外にある幾つかの工場との通信回線に128kビット/秒までしか通信速度の出ない専用回線を使用していたため、今後の業務拡大を見込み、VPNの導入を決定します。回線契約については、費用は少しかさむがブロードバンド回線とし、業務拡大による通信量の増大にも対応できるようにしました。

C社の取引は順調に拡大していたが、当初検討していたほどの通信料の増大は発生することがなく、ブロードバンド回線の費用対効果は低いものになっていました。それに加え、VPN導入前にはなかった通信の遅延や回線の切断が起こるなど、公衆回線を利用することでの弊害が目立ってしまい、社内からは不満の声があがっていました。

遂には顧客からのクレームにまで発展してしまい、C社はVPN回線の使用を停止し、緊急用に最低限保持していた専用回線を本回線として使用せざるを得なくなってしまいました。

公衆回線を利用する場合は過去のデータを収集し自主的に分析・検討する

C社は、ベスト・エフォートの特性を理解せず、通信業者の数値を鵜呑みにしていたことが問題です。ADSLやFTTHなどは理論的な最高速度しか提示されず、実運用時にはそこまで速度が出ないのは当たり前です。公衆回線での通信を業務で使用する場合は、どの程度の通信量があり、どの程度の速度が必要なのか、過去のデータをもとに検討し、帯域保証などの契約も考慮しておく必要があります。

VPNの特性を知り、最適な設計と運用が必要！

これまでVPNの安全性や他の導入に伴う問題について確認してきました。VPN導入の最も大きな効果はコストの削減です。しかし、その特性を理解して設計、設定、運用を行わなければ、非常にリスクが高く、かえってコストがかかるサービスにもなります。上記3つの失敗例はあくまでも例ですが、その問題点をきちんと理解して、その特性に合わせて導入を進めれば、VPNは企業に劇的なコスト削減をもたらしてくれるでしょう。