VPNは本当に危険?安全・快適なリモートアクセスの実現方法とは

テレワークするためには社内システムにつながるリモートアクセス回線が必要です。その回線にはVPNが多く使われていますね。

社外から社内システムに接続するにはセキュリティを確保し、情報漏えいを防ぐ対策が不可欠です。VPNは、通信を保護する暗号化が可能な仮想の専用線ネットワーク。VPN機器を導入すれば、比較的容易にリモートアクセス回線を実現できることから、広く利用されています。
近年は働き方改革の一環として、テレワークやモバイルワークを採用する企業が増えていましたが、新型コロナウイルスの感染防止策として、テレワークによる在宅勤務を実施する企業が一気に拡大しました。テレワーク実施企業のおよそ半数がVPNを利用していると言われています。

VPNを利用すれば100%安全なのですか。

完璧というわけではありません。VPN機器も中身はソフトウェアで動いています。脆弱性とは無縁ではありません。対処しなければ、攻撃者に狙われる危険性があります。実際、放置されている脆弱性を突く攻撃が確認されています。コロナ禍でテレワークを実施する企業が増えたことが一因と見られます。

どんな被害が確認されているのですか。

大手ネットワーク製品メーカーのVPN機器の脆弱性を突く攻撃で、国内大手企業が外部から不正接続される事案が発生しました。
脆弱性が発見されると、その攻撃パターンは半年程度で公開され、攻撃者がたやすく攻撃できるようになります。脆弱性は以前から確認され、メーカーもパッチを提供したり対処を呼び掛けたりしていました。しかし、脆弱性情報を把握していなかったり、運用を外部のITベンダーに任せきりにしていると、対応が後手に回ってしまいます。結果的に対処を怠った企業が狙われた形です。

なぜVPNが狙われるのですか。

VPNでつながる先は社内ネットワーク。VPNで接続すれば、簡単に社内ネットワークに入り込めるからです。内部に侵入できれば、大きなハードルを越えたようなもの。システムを破壊したり、重要情報を盗み出すために、活動がどんどんエスカレートしていく恐れがあります。
VPNが狙われるのは、その仕組みにも一因があります。先述した脆弱性攻撃を受けているのは、実はSSL-VPNという種類なのです。
SSL-VPNとは、SSLという暗号化技術で通信を暗号化するVPN方式です。Webポータルにアクセスし、ID/パスワードなどで認証されれば通信が可能になります。クライアント側に専用のソフトウェアをインストールする必要がなく、Webブラウザがあれば、誰でも、どの端末でも、世界中から利用できます。
複雑な設定が不要で簡便に利用できるのが特徴ですが、それ故、攻撃者に狙われやすいというわけです。SSL-VPNはUTMやWAFなどの対策と組み合わせて利用する必要があります。それに加え、SSL-VPNには中間者攻撃というリスクもあります。

中間者攻撃とはどういうものですか。

通信が確立すれば、その中身は暗号化されますが、SSL-VPNはセッションを確立する際に、最初にサーバ側の証明書に含まれる公開鍵をクライアント側に送付し、クライアント側で生成した共通鍵を、公開鍵を使って暗号化してサーバ側に送付することで、互いに鍵を共有します。
しかし、この鍵自体が不正に取得されたらどうなるでしょう。悪意のある第三者が正規ユーザになりすまし、暗号化データが盗み見られてしまいます。これが中間者攻撃です。このリスクを回避する対策として、最高レベルの厳格な認証を行う「EV SSLサーバ証明書」という方法があります。

SSL-VPN以外の方法はあるのですか。

IPパケットを暗号化して通信するIPsec-VPNという方法もあります。IPsec（Security Architecture for Internet Protocol）とは、暗号技術を使ってIPパケットの機密性を実現するIP通信方式です。
IPsec-VPNはクライアントのエージェントソフトが、特定サーバと通信する方式です。IPパケットの暗号化もこのエージェントで行います。
一般的なブラウザから利用可能なSSL-VPNに対して情報を盗み見られるリスクが低く、よりセキュアな通信が可能と言われています。データの処理を高速に行えるのも特徴です。

IPsec-VPNの課題や利用の注意点はありますか。

利用にはエージェントが必要で、事前に共通鍵をクライアントとサーバ間で共有しておかなければならないため、鍵情報の交換は第三者に知られないよう細心の注意が必要です。ブラウザを利用することが前提のSSL-VPNのようにどこからでも通信できるというわけにはいきません。

利便性重視ならSSL-VPN、セキュリティ重視ならIPsec-VPNというわけですね。IPsec-VPNを実現するためには、どうすればいいのですか。

IPsec-VPN対応のアプライアンス製品を導入し、更にVPN用のネットワークを整備して接続環境を構築する形が一般的です。VPNサーバのセキュリティを強化するためにファイアウォールやWAFなどの対策も強化する必要があります。IPsec-VPNの構築・運用には、それなりの手間とコストを見込んでおく必要があるでしょう。

VPN設備を自社で構築・運用するのは大変そうです。安全性を確保しつつ、導入や運用が容易な方法はないのでしょうか。

その選択肢の1つとしてIIJでは、「IIJフレックスモビリティサービス/ZTNA」というサービスを提供しています。全世界で3,500社以上の実績を持つNetMotion Mobility（ネットモーションモビリティ）をコアエンジンとするクラウド型のリモートアクセスサービスです。
共通鍵を交換する際には、数学的なアルゴリズムの1つである楕円曲線を用いた楕円曲線暗号方式を採用しています。
しかも事前共有するのは、鍵そのものではなく、鍵の素になる鍵パラメータ。そのパラメータを利用して共通鍵をセッションごとに都度生成します。何重もの安全対策を施した万全の通信暗号化方式と言えるでしょう。

その仕組みをクラウド型のサービスとして提供しているわけですね。

はい。端末に専用のエージェントソフトをインストールするだけで、アセットレスで利用できるのです。構築・運用の手間とコストを抑制し、短期間でスピーディに導入可能です。
サービス設備はファイアウォールをはじめとする強固なセキュリティ機構で守られており、契約者以外の通信は確実にブロックします。定期的にサービス設備の脆弱性チェックを行い、ネットワーク環境の増強にも継続的に取り組んでいます。安全・快適なリモートアクセスサービスを安定的に提供できるのも大きな強みです。

専用のエージェントソフトが必要だと、利用できる端末が限定されるなど利便性の低下が心配です。

確かに端末側に専用のエージェントソフトが必要ですが、「IIJフレックスモビリティサービス/ZTNA」の場合は、エージェントが起動した状態のまま、あらかじめ設定したポリシーに従って、必要な通信のみをVPNトンネルに入れるなどの制御が可能です。つまり、リモートアクセスするときにエージェントを起動する、といった手間がありません。
専用エージェントだからこそのメリットも数多くあります。独自の通信安定化技術とエラー補正技術も実装しています。これにより、高速で安定的な通信に加え、遅延やパケットロスがあってもセッションを維持する“切れない”リモートアクセスを実現します。

リモートアクセス環境を実現する際、重要になるポイントは何ですか。

テレワークやモバイルワークは、今後も恒常的な働き方の1つとして広く利用されていくでしょう。通信の安定性や操作性に加え、情報漏えいを防ぐセキュリティ対策は外せない要件になります。これをオンプレミスで構築・運用するのは非常に困難です。そのため、十分な対策が施されたサービスを活用するのも1つの手です。
近年では、「VPN」=「危険」という風潮も生まれていますが、適切な対策を行った上で利用すれば不用意に恐れる必要はありません。こうした安全かつ快適なリモートアクセスの実現にあたり、「IIJフレックスモビリティサービス/ZTNA」はその有力な選択肢になると考えています。