VPNのセキュリティリスクは？ 失敗例から見る問題点や安全性を解説

VPN導入でよくある失敗例は？

インターネットのような公衆網を利用して専用線のようなプライベートネットワークを構築できるVPN(Virtual Private Network)は、低コストで高速かつ高セキュリティなネットワークを実現することができます。しかし、その導入方法を誤ってしまうと、かえってコストが上がり、脆弱性を生んでしまいます。以下に紹介するVPN導入時に起こる一般的な失敗例から、その注意点をご認識いただこうと思います。

失敗例１．運用管理の失敗

某県内で飲食店を展開するA社は、今後の店舗増も見越して通信費の見直しを図り、専用回線からインターネットVPNへの変更を決定しました。VPN装置も安価な装置を自前で揃えることで導入費用も抑えられ、思惑通り、毎月の通信費の削減にも成功したA社は順調に業績を伸ばし、県外への進出が決定しました。

しかしここに来て、A社は大きな問題に直面します。専用線であれば電話一本で通信関連の対応ができたものを、すべて自前で対応しなければならなくなったのです。

店舗担当と兼任していた情報システム担当者は県外店に張り付いて設定などを行ったため、担当店舗の売上げは激減してしまいます。また、そもそも専門ではないために設定作業がうまくいかず、社内全体に通信障害を発生させるようなミスまで起こしてしまいます。結果、A社は最初からすべてを構築し直すことになってしまい、予定外の多大な費用が発生してしまいました。

失敗例２．公衆回線の特性への理解不足

大手メーカーの金型製造を請け負っているB社は、県外にある幾つかの工場との通信回線に128kビット/秒までしか通信速度の出ない専用回線を使用していたため、今後の業務拡大を見込み、VPNの導入を決定します。回線契約については、費用は少しかさむがブロードバンド回線とし、業務拡大による通信量の増大にも対応できるようにしました。

B社の取引は順調に拡大していたが、当初検討していたほどの通信料の増大は発生することがなく、ブロードバンド回線の費用対効果は低いものになっていました。それに加え、VPN導入前にはなかった通信の遅延や回線の切断が起こるなど、公衆回線を利用することでの弊害が目立ってしまい、社内からは不満の声があがっていました。

遂には顧客からのクレームにまで発展してしまい、B社はVPN回線の使用を停止し、緊急用に最低限保持していた専用回線を本回線として使用せざるを得なくなってしまいました。

失敗例３．セキュリティリスクへの対策

全国にホテルを展開するC社は、インバウンド需要による顧客数増加に対応するため、通信速度の遅い専用回線での社内ネットワークをVPN回線に切り替えることにします。回線切り替えによって、各ホテル間での情報のやりとりはスムーズになったC社はサービス品質の向上をやり遂げることができ、またVPN回線導入によるコスト削減も相まって、C社の業績は向上しました。

しかしあるとき、インターネットのとあるサイトに顧客情報がすべて掲載されていることが判明します。専用線では外部からのアクセスが不可能であったため、従業員のセキュリティ意識は低くなっており、VPN移行時も変わることなく対策も為されなかったため、公衆回線からホテルのPCに悪意のあるハッカーが進入していたのです。C社の企業生命は窮地に立たされてしまいました。

VPN導入の問題点は？

さて、ここでご紹介した失敗事例から、どんなことが問題点としてVPN導入時に上がってくるのか、見ていきましょう。

問題点１．運用管理を度外視して検討している

VPNを導入すると、遠隔からでも社内ネットワークにアクセスすることができ便利になります。また、専用線よりも低コストで導入できることがメリットとして、コスト重視で選ぶ人が多いのも確かです。

今回のA社も、コスト削減を意識するあまり、運用面までもしっかりと検討していなかったのでしょう。このような問題はよく発生します。

問題点２．業者任せでリテラシーが低い

VPN接続設定は複雑なことも多く、VPNツールベンダーや設定業者に任せることもあります。

B社の場合、業務拡大を見込んでVPN導入に踏み込んだことまではよかったのですが、どのような回線契約がよいのか、しっかりと検討できていなかったといえます。

問題点３．セキュリティリスクへの認識が甘い

VPNを接続できれば安全だと思いこんでいる人がいることも問題です。VPNは、トンネリング機能にプラスして暗号化機能により、やりとりする情報を暗号化できます。

しかし今回のC社の場合、導入担当者や運用担当者以外にまで、安全性やセキュリティリスクについて周知できていなかったことが問題として考えられます。社員への教育を怠っていたのではないでしょうか。

VPN導入で失敗しないために、どんな対策が可能？

A社の問題は、コスト削減を重視しすぎ、導入時に運用管理や保守について検討できていなかったことです。安価な機器やソフトの購入でひとまずの環境構築ができてしまうインターネットVPNでは、すべて自責作業となるため、運用管理や保守、障害時の対応などを詳細に検討しておかなければいけません。

B社は、ベスト・エフォートの特性を理解せず、通信業者の数値を鵜呑みにしていたことが問題です。ADSLやFTTHなどは理論的な最高速度しか提示されず、実運用時にはそこまで速度が出ないのは当たり前です。公衆回線での通信を業務で使用する場合は、どの程度の通信量があり、どの程度の速度が必要なのか、過去のデータをもとに検討し、帯域保証などの契約も考慮しておく必要があります。

C社については、セキュリティに対する認識の甘さが最大の問題です。公衆回線を使用するインターネットVPNのセキュリティは、ネットワーク部だけに対応しており、クライアントPCについては利用者に依存しています。公衆回線に接続されているという認識を持ち、セキュリティ対策をきちんととっておかなければいけません。

まとめ　VPNの特性を知り、最適な設計と運用が必要！

VPN導入の最も大きな効果はコストの削減です。しかし、その特性を理解して設計、設定、運用を行わなければ、非常にリスクが高く、かえってコストがかかるサービスにもなります。上記3つの失敗例はあくまでも例ですが、その問題点をきちんと理解して、その特性に合わせて導入を進めれば、VPNは企業に劇的なコスト削減をもたらしてくれるでしょう。