テレワーク時はVPN接続が安全?VPNの仕組みと導入のメリット、課題とは
はじめに
テレワークの普及で導入が加速した「VPN接続」とは?
ネットワーク回線には公衆回線と専用回線があります。公衆回線上でデータのやり取りを行うと広く通信が行えて便利である反面、データの盗取や改ざんの危険性があります。専用回線では、閉じた環境でデータのやり取りを行うため安全性が高くなる一方で、導入コストが高くなりがちです。
VPN(Virtual Private Network)は、公衆回線であるインターネット上に仮想の専用回線を構築する仕組みです。トンネリングやカプセル化、暗号化といった技術を使って、インターネット回線で仮想の専用回線を構築します。VPN接続によって通信の安全性をある程度担保でき、専用回線よりもコストを抑えることができます。
VPNを用いれば、次のような方式で社外から社内環境へアクセスし、テレワークを行うことが可能です。
リモートデスクトップ
社内に設置されたPCのデスクトップ環境に、社外のPCやタブレットなどで遠隔操作する
仮想デスクトップ
社内のサーバーが提供する仮想デスクトップに、社外の端末からログインして利用する
会社PCの持ち帰り
会社で利用しているPCを持ち帰り、VPN経由で業務を行う
参考:テレワーク導入ための労務管理等Q&A集|厚生労働省
https://jsite.mhlw.go.jp/kumamoto-roudoukyoku/content/contents/001005605.pdf
VPN接続の種類
インターネットVPN
・インターネット上に仮想のネットワーク環境を構築する。
・後述のIP-VPNや広域イーサネットよりも安価に導入できる。
・特定のユーザーや組織のみが利用できる「閉域網」ではなく、外部からもアクセス可能なインターネット回線を使用するため、不正アクセスやデータの盗取などの可能性がある。
エントリーVPN
・ADSLや光ブロードバンド回線を用いた閉域網を構築する。
・インターネットVPNよりもセキュリティにおける信頼性が高い。
・通信速度が遅くなるケースがある。
IP-VPN
・通信事業者が提供する閉域IP網を使用して仮想のネットワーク環境を構築する。
・セキュリティに優れ、通信速度が速い。
・導入コスト、ランニングコストが高くなる傾向にある。
広域イーサネット
・通信業者の閉域網を利用した仮想のネットワーク環境。
・多様なプロトコルに対応しており、カスタマイズの自由度が高く安全で、通信速度が速い。
・ネットワーク設定が複雑で、コストが高額。
テレワークにVPN接続を活用するメリット
情報漏えいリスクを減らせる
組織内のデータ共有がVPNのネットワークで行われるため情報が保護され、機密情報が外部に流出することを防ぎます。また従業員の端末に制限をかけて、インターネットへの接続をすべてVPN経由とすれば、悪意あるサイトを閲覧してマルウェアに感染するリスクを低減することが可能です。
場所・時間を問わず社内サーバーにアクセスできる
自宅やカフェ、サテライトオフィスなど、作業する場所を問わずに社内ネットワークにあるサーバーにアクセスできるため、テレワーク中ゆえに業務が制限されるなどの弊害がありません。またアクセスする時間も問わず、柔軟な働き方が可能です。
社内のセキュリティポリシーを適用できる
VPNでは、社内のセキュリティポリシーに沿った運用も可能です。たとえば、VPNではインターネット上でアクセスできるサイトを制限できます。従業員が閲覧可能なサイト・閲覧禁止サイトのルールを守ることに加えて、システム的に制限してセキュリティポリシーを遵守することが可能です。
低コストで導入ができる
VPNは物理的な専用回線が必要ないため、低コストで導入できます。特にインターネットVPNは、VPNの中でも安価で導入しやすいでしょう。
社用端末ではなくても安全にアクセスできる
リモートアクセス方式やリモートデスクトップ方式であれば社用・個人用問わず、パソコンやスマートフォンなどの端末でアクセス可能です。個人用PCにも組織並みのセキュリティ対策を行う方がより安全ではありますが、個人レベルでのセキュリティ対策でもVPN接続によってより安全性が担保できます。
テレワークにおけるVPN接続の問題点
VPN接続の脆弱性が狙われるリスクがある
古いVPN機器は脆弱性があることが知られています。VPNの脆弱性対策がされていない場合には、その脆弱性を突いたランサムウェア攻撃などが行われる可能性があり、情報漏えいや情報システム停止のリスクが高くなるのです。実際にテレワーク用に用意したVPN機器を狙った不正アクセスから、企業や病院が大きな被害に遭った例もあります。
通信速度が遅くなる場合がある
テレワーク時はVPN機器を経由して社内環境へアクセスするため、社内での作業よりも通信速度が遅くなったり、通信が途切れたりする場合があります。その場合は利用者の作業スピードが落ちることとなり、VPN接続を利用する人全員の作業効率の低下につながります。
クラウドサービスの最適な活用ができない
インターネットVPNの場合、クラウドサービスへ接続するときにはVPNの設定を接続/切断を手動で行うという煩雑さが生じます。この手間が頻繁に発生すると、社内での作業よりも快適にサービスを活用できないかもしれません。ただしクラウドサービスへの安全な通信を行うクラウド型VPNも存在します。必要に応じて検討するのもひとつの手です。
テレワーク環境を安全・快適にするためには
快適な環境でテレワークを行うためには、VPNやPCにセキュリティ対策が必要です。またセキュリティモデルから見直す考え方もあります。
VPNの脆弱性対策や認証機能の強化を行う
VPN接続を利用し続けるのであれば、脆弱性となる事項への対処を行います。
VPNのソフトウェアや機器は常に最新バージョンにアップデートし、既知の脆弱性を修正することが必須です。またパスワードをセキュリティ強度の高いものにしたり、多要素認証の導入を行ったりと、認証機能を強化します。クラウドサービスに対しても、クラウド間で認証を連係する「シングルサインオン」など、ユーザーが従業員であることを確認する機能が必要です。
端末のセキュリティ対策や認証機能の強化を行う
VPNのほかに、従業員の端末にも対策ができます。たとえば端末をシンクライアント型PCにする方法があります。シンクライアントとは、サーバー上でデータの保存や処理が行われる端末です。端末にデータを保持しないため、情報漏えいの可能性は少なくなるでしょう。
SASEへ移行する
抜本的にセキュリティ対策を検討するのであれば、VPN接続からSASE(Secure Access Service Edge)へ移行するという方法もあります。SASEとは、クラウド上でネットワーク機能とセキュリティ機能を統合させる手法です。
従来のネットワークとセキュリティのモデルは、社内・社外を分けるもので、境界型セキュリティモデルと呼ばれます。社外からアクセスしてくる通信に対してファイアウォールなどのセキュリティ対策を施し、社内のネットワークは安全なものとみなす方式です。これに対しSASEは社内外を問わず、「どの通信も信用しない」ことを基本とする「ゼロトラスト・セキュリティモデル」であり、複数のセキュリティ製品を組み合わせてゼロトラストを実現しています。
SASEを具現化したサービスのひとつが「Cato(ケイト)」です。これはCato Networks社が提供しているSASE製品で、SD-WANやIPS、CASBなどの機能をまとめて提供しており、メンテナンス作業の軽減やパフォーマンスの向上が実現できます。
SASEやCatoの詳細は次のコラムをご参照ください。
参考コラム:新たなセキュリティモデル「SASE」とは?ゼロトラストとの関係や導入時の注意点を解説 |
参考コラム:いま注目のCato(ケイト)とは?概要やトライアルの際の注意点を解説 |
まとめ
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
平日09:30 〜 18:00
Free Service