業態や職種によってグラデーションはあるものの、リモートワーク(テレワーク)への需要は企業・従業員の双方に根強く存在します。そんな中で、最も懸念されるのがセキュリティ問題です。
遠方から社内ネットワークに安全に接続するにあたって最もポピュラーな手法の一つがVPN(Virtual Private Network:仮想専用通信網)です。本記事では、VPNの仕組みや4つの種類ごとの違い、“脱VPN”とゼロトラストセキュリティの関係など、現代のVPN利用にあたって必ず知っておくべき知識を解説します。
VPNは、仮想的に専用の通信網を利用することで、ウイルス感染や情報漏えいを防ぐサイバーセキュリティの手法です。令和2年10 月に公開された『テレワークセキュリティに係る実態調査(1次実態調査)報告書』(総務省)によると、「テレワーク用のPC端末から社内のシステムや情報にアクセスする場合の接続方法」として、38.1%が「外部(自宅等)からVPNを使用して社内ネットワークに接続してテレワークを実施している」と回答しており、リモートデスクトップやクラウドなど、リモートワークで用いられるほかの接続方法と比べてもまだまだ存在感が大きいことが分かります。
VPNに備わったセキュリティ機能として代表的なものには以下の4つが挙げられます。
VPNではまず暗号・パスワードによってお互いの通信先・通信元が正しいことを認証します。さらに、両拠点をトンネルのように閉じられたネットワークでつなぎ(トンネリング)、パケット(ひとまとまりに分割されたデータ)を、ヘッダを付加した上でやりとりします(カプセル化)。また、その通信内容を暗号化などの処理により、外部の第三者から参照されないようにすることでサイバー攻撃を防ぎます。
令和3年5月に公開された『テレワークセキュリティガイドライン 第5版』(総務省)では代表的なテレワーク方式が「オフィス業務の再現性」「通信集中時の影響度」「システム導入コスト」「システム導入作業負荷」「セキュリティ統制の容易性」の5軸・S~Dの5段階で評価されており、VPN方式の評価は下記の通りです。
引用元:『テレワークセキュリティガイドライン 第5版』(総務省)p27
上記の通り、管理・統制の手間が生じる代わりに、業務再現性が高いのがVPN方式の特長であり、リモートワークでもオフィスと同様の業務環境を実現したい企業に採用されています。
一口にVPNといってもさまざまな種類が存在し、「セキュリティ機能」「通信速度」「コスト」など満たすべき要件と照らし合わせて選択する必要があります。
まず、VPNは利用する回線によって以下の4種類に分けられます。
インターネットVPNはその名の通り既存のオープンなインターネット回線を利用するため、クローズドな閉域網を利用する場合に比べ、セキュリティ性は劣ります。また、回線が混雑すれば通信速度に影響を受けることも。ただし、コスト面では最も安価で、導入も比較的手軽に行えます。
また、インターネットVPNのプロトコルにもさまざまな種類が存在し、オープンソースで提供される「OpenVPN」やネットワーク層で機能する「IPsec-VPN」、IPsec-VPNと組み合わせて用いられることの多い「L2TP」などそれぞれの特性や組み合わせを考慮することが求められます。
IP-VPNとエントリーVPNはともに閉域線を用いますが、前者は専用のIP網を利用するため、コストが高まる代わりに速度が保証され、後者はブロードバンド回線を用いるため、速度が遅くなる可能性があります。
広域イーサネットは閉域網において専用線のように多様なルーティングプロトコルを選択でき、IP-VPNよりも自由度が高く速度や冗長性も高いです。一方、その分コストや設定の複雑度は高まります。
ゼロトラストセキュリティ(詳しくは『ITセキュリティにおけるゼロトラストの価値と実践法』をご参照ください)が主体となった現代において、トンネリングというまさに「境界型」のセキュリティを核とするVPNだけでは通用しない状況にある、という考えから生まれたのが“脱VPN”の風潮です。
具体的にはアイデンティティ認識型プロキシ(IAP)、「SASE」(Secure Access Service Edge)などの技術がVPNに置き換わる手段として注目を集めており、アクセスごとのID認証やネットワークの一元管理により、内部ネットワークも信用しないゼロトラストセキュリティを実現します。
VPNにおいても、多要素認証の導入など、ゼロトラスト時代に合わせた機能の強化は進められており、すぐにその役割を終えることは考えられません。とはいえ、導入してさえいれば“100%安全”ではないという意識で、脆弱性の監視やモダナイゼーションに取り組むことは現代のVPN利用において不可欠といえるでしょう。
リモートワーク/テレワークの導入・推進において、必ず押さえるべきVPNの概念と利用にあたって知っておくべきポイントをまとめてまいりました。『テレワークセキュリティに係る実態調査報告書』(総務省)によると、2022年初頭時点で、VPNの「意味が分かる」と答えた企業・団体の割合は全体の70.3%。まだまだ常識とまではいえないのがVPNを取り巻く状況です。 情報システム担当者に限らず、本記事の知識を共有し、安全なリモートワーク/テレワークの推進に取り組んでいきましょう。