最近はコロナの流行により在宅勤務(リモートワーク)が推奨されていますね。そこで社用PCやスマートフォンからVPN接続やを用いて会社内環境に接続して仕事をしている方が多いと思います。
頻繁に利用するようになったからこそVPNとは何なのか。本当に安全なのかをしっかりと理解しておくことで、セキュリティ事故や情報漏えいを防ぎ自分の身を守ることにつながります。
ということで、今回はVPN接続と、その安全性と脆弱性(セキュリティ上の欠陥)について図を交えてまとめました。
この記事はVPNってなんなの?くらいの人を対象に簡略化して説明していますので厳密には違うところもあるかもしれませんが、そこは温かい目で見てくれれば嬉しいです。
なぜか、この記事のアクセスがかなり増えてきたので改定しました。(2020.6.9)
目次
インターネットの仕組み
VPNが何かを説明する前に、VPNを導入するにはなにか意味があるはずですよね。
VPNを導入する意味はセキュリティ確保のためです。
なぜセキュリティ確保しなければいけないの?と思うでしょうから、その前に簡単にインターネットの仕組みを説明します。
すごーく簡単に説明すると、
インターネットの仕組み
インターネットとはこんな感じで地下ケーブルを伝ってつながっています。
仕事で会社内のサーバーにアクセスするときだって、Googleで検索するときだって地下で繋がった回線を伝って通信しています。
海外のサイトだって海底ケーブルを伝ってアクセスします。(海外の場合はコンテンツ配信用のサーバーが世界各地にいたりしますが、この辺の説明は今回は省きます。)
インターネットのデータ盗聴リスク
しかしインターネット上に流れるデータは、悪意のあるものが設備に侵入したり回線を盗聴したりすれば、データの盗聴が可能です。
VPN装置によるトンネル化【VPNとは】
インターネット上での盗聴リスクは避けようがありません。唯一あるのですが、それはサーバーとつながる専用回線を敷くことですが、コストや手間が膨大です。
そこで、盗聴されるリスクがあるのであれば、盗聴しても読めなくしてやる。ということで使用するのがVPNです。
VPNとは「Virtual Private Network」の略で、「仮想専用線」と訳されます。
専用のVPN装置(ルーターのようにインターネットの接続するような場所で使う)か、スマートフォンやPCに導入するVPNクライアントソフト(一般的に知られているのはこちらです。仕事用PCには入っている人が多いと思います。)を利用して、VPN装置同士 or VPNソフト同士で暗号化・復号化(暗号を解除すること)をします。
そうすることで端末同士を、仮想的な専用回線のようにプライベートなネットワークにつなぎ合わせることができます。
こうしてVPN装置同士 or VPNソフト同士でないとデータが全く読めないことから、経由する機器はただ通るだけ=トンネル ということでVPNトンネルと言われます。
VPN装置により暗号化されるとどうなるのか
暗号化されているので当然、盗聴されたとしても解読はできません。暗号化にもいくつかの種類(プロトコルと呼ばれているもの)がありますが、データの解読までには最低数年以上はかかると言われています。
そこでもう少しVPNについて細かく紹介すると、
VPNの種類
どの回線を利用するかによって、大きく分けて2種類存在します。
インターネットVPN
その名の通りインターネット回線を利用してVPN接続を行います。PCやスマートフォンのソフトで使用するVPNのほとんどはこちらのパターンですね。
メリット
・スマートフォンなどでも簡単に使用できる
デメリット
・インターネット回線なので通信速度は保証されない
ちなみに企業でよく使われているVPNソフトウェアは
・AnyConnect
・Pulse Connect Secure
・SmartVPN
などです。会社勤めの人は一つくらいはどこかで見たことあるのではないでしょうか。
IP-VPN
インターネット回線ではなく専用線を引いて、VPN専用装置によって接続する方式です。
メリット
・通信速度が保証されること
・インターネットVPNよりも安全度は高い。完全に専用の回線を利用するので悪意のあるもの不正利用の可能性が少なくなる。
デメリット
・初期費用、導入費用が膨大
・機器制約が存在する。(専用線を会社内などに引き込むため、物理的な制限がついてくる。対応している機器やソフトが限られてくる。)
VPN接続は本当に安全なのか
暗号化を行えば基本的には安全ですが、脆弱性を突かれた場合は安全ではありません。
VPNには複数の暗号化プロトコルがあり、データの暗号化ができます。暗号化さえすればたとえ盗聴されたとしてもデータの中身を解読するためには数年かけなければデータの解析はできないと言われています。
しかし、VPN接続を行う機種によっては脆弱性(セキュリティ上の欠陥)があることを※JPCERT/CCが発表しています。
※コンピュータセキュリティの情報を収集し、インシデント対応の支援、コンピュータセキュリティ関連情報の発信などを行う一般社団法人
脆弱性ができているVPN装置は下記のものです。
– Palo Alto Networks (CVE-2019-1579)
– Fortinet (CVE-2018-13379)
– Pulse Secure (CVE-2019-11510)
※CVE-XXX は脆弱性情報対策データベースに登録されている番号です。より詳細な脆弱性情報が知りたい人はこの番号で検索をかければ調べることができます。
これらの脆弱性を悪用された場合に、攻撃者がリモートから任意のコードを実行できる可能性 (CVE-2019-1579) や、任意のファイルを読み取り、認証情報などの機微な情報を取得する可能性 (CVE-2018-13379, CVE-2019-11510) があるそうで、それ以外の脆弱性情報も出ているようです。
いずれの機器もVPN装置であり、個人や会社から支給されているPCなどに使用されているVPNソフトとは違います。
会社やWEBサービスを提供している側で導入する機器ですので、VPNソフトを使う1個人ではどうしようもないことです。
また、1個人が使用するVPNソフトに脆弱性が存在しないことは保証されていません。セキュリティの世界は日進月歩ですので、VPNソフトを開発した企業の知らぬ間にVPNソフトに脆弱性が見つかり悪用されるかもしれません。公にされていないだけで脆弱性が潜んでいてアップデートパッチを作成しているかもしれません。
インターネット上で情報のやりとりをするのであれば、どんな人にでもリスクはつきものです。
対策はあるのか
脆弱性が公開されているVPN装置については、各ベンダが脆弱性を修正したバージョンを発表しているのでアップデートすることです。
VPNソフトについては、開発側も定期的に改善や、脆弱性の修正を行っています。
だから、我々一般ユーザがとれる対策としては機密情報を扱う機器のOSや、アプリケーションを定期的アップデートしておきましょう。
また、リスクがあるということを認識しておくことで、「うかつにインターネット上に機密情報を流さない」「正しい利用方法をできる」といった、正しい知識を身に着けておくことも対策の一つだといえますね。
