テレワーク時にVPNは必要?セキュリティ上のメリット・デメリットと対応策を解説

この記事は約7分で読めます。

テレワークのルールを検討されている企業の担当者の方から、テレワークを導入する際のセキュリティ対策としてVPNを導入する必要があるかというご質問を頂くことがよくあります。この問いに対する回答としてはどうしても「会社の状況によってお奨めする・しないは変わる」となってしまいます。

この記事では、そもそもVPNとは何かから、導入するメリット・デメリット、導入する際のセキュリティ上の注意事項について説明していきます。

VPNとは

そもそもVPNという言葉を聞くのもはじめてで、セキュリティ対策になるらしいから何となく調べてみたという方もいるのではないでしょうか。

VPNとは、Virtual Private Networkの略で、直訳すると「仮想専用線」となります。これをイメージしてもらうには、まず仮想ではない場合をイメージすると分かりやすいかと思います。

例えば、オフィスと自宅とを、その間だけで情報のやり取りを行うための専用の通信ケーブルでつなげたとします。オフィス⇔自宅の間の情報のやり取りはこのケーブルからのみ行うとすると、それに繋がっていない場所から両者間の情報のやり取りにアクセスすることは不可能となります。つまり、その点では安全に(機密性を保って)通信ができることになります。

もっとも、物理的なケーブルで通信が発生しうる全ての拠点間をつなげることは現実的ではありません。そこで、既にあるネットワークの繋がり(例えばインターネット)を、特定の拠点間での専用線のように見立てて(仮想して)、特定の拠点間で通信を行うための仕組みがVPNとなります。

VPNには、インターネット環境を利用する「インターネットVPN」と通信事業者の閉鎖的なネットワークを利用する「IP-VPN」とがありますが、以下ではより手軽な(コストのかからない)インターネットVPNについて説明いたします。

そして、仮想専用線として特定の拠点間でVPN通信するためのツールが無料・有料問わず色々と出されています。具体的なツールの説明はここでは書きませんが、VPNを利用する際には下記のようなメリット・デメリットがありますので、その点を考慮して判断をする必要があります。

テレワーク時にVPNを利用するメリット

テレワークの形態としては様々ありますが、多くの担当者の方が今一番気にされていることとしては、「在宅ワーク」で従業員の自宅から会社のPC等にアクセスするケースかと思います。その場合にVPNを利用するメリットとしては、以下の点が挙げられます。

まず、在宅ワークでインターネットに接続する場合、VPNを用いない場合(自宅のネット環境から直接インターネットにアクセスする場合)、そのネットワークのセキュリティは、各従業員のネットワークの設定やセキュリティ対策に依存します。

つまり、オフィスで社内ネットワークからインターネットに接続していた場合には、会社の情シス担当者などが会社のポリシーに従ったネットワークセキュリティの保護対策を施していたのに対し、各従業員の自宅からインターネットにつなぐ場合はそのようなポリシーが適用されなくなるということになります。

VPNを用いない場合の具体的なデメリット
  • 直接インターネットでデータを送信できてしまうので情報漏えいのリスクが増加
  • 従業員によってマルウェア対策の実施ができているかが異なり、全体的なマルウェア等への感染リスクとしては高くなる可能性がある
  • 特定のPCの接続時のログなど取得したいログが取得できないことによる問題発生時の対応の遅れ

これに対してVPN経由で接続する場合、社内のファイヤーウォールやマルウェア対策、アクセスログの取得やWebファクタリングなどといった、会社の適用していたポリシーもそのまま適用されることになるため、社内からPIをネット接続する際と同様の監視オペレーションが可能となります。

このように、VPNを利用すると、VPNを使用しない(かつ、その他の対策を採らない)場合と比べて、組織の監視のもとで適用すべきと判断したセキュリティポリシーを適用できるというメリットがあります。

つまり、情シス担当者など管理する側からするとその面では管理が楽になりますし、自宅などでPCを利用する従業員からすると、全ての対策を自身で行う必要がないため、自身の本来業務に勤しめます。

VPNを利用するデメリット

これに対して、VPNを利用するデメリットとしては、

  • 運用コスト
  • インターネットの通信環境に依存するため、場合によっては業務に必要なスピードが出ない

ことなどが挙げられます。

運用コストとしては、

  • VPNのツール自体のコスト
  • 実際にVPNを用いて業務する従業員側のコスト(学習コストや在宅での利用時に発生したVPNによるトラブルへの対応など)
  • 管理者側の運用コスト(調査や導入テスト、導入後のアップデートやトラブル発生時の対応など)

が考えられます。

つまり、それらの想定されるコストとこれによって対処できる情報セキュリティ上のリスクとを比べて、それでも導入すべきかということを判断する必要が出てきます。

そのような対応を疎かにして無計画にVPNを導入すると、それに起因するセキュリティ事故が発生する可能性が高まります。そしてその場合、VPNを導入しない場合よりもより大きな事故となる可能性も場合によっては起こり得ます。

VPNで起こりうるセキュリティ事故

ここで、VPNで起こりうるセキュリティ事故を、実際の事故事例なども踏まえながら見ていきましょう。

まず一つ目は、コロナ禍の中で急いでVPN接続を用意したところ、その際に使用していたVPN装置では対処しきれなくなったために過去に使用していた古い装置を併用し負荷分散を図っていた会社で、その古いVPN装置に存在していたぜい弱性をもとにVPN装置の利用従業員とVPN装置の管理用ユーザーのIDとパスワードが漏えいしたというものです。

また、会社としてはVPNを用意していたとしても、インターネットVPNの場合はVPN接続する前にWi-Fiなどに接続する必要があり、その際にインターネットに接続できる状況となります。そのため、VPN接続したつもりでインターネットに接続していたところ実はVPN接続されていないということが生じる可能性があります。

もちろんこれ自体はセキュリティ事故というよりもその潜在的要因(リスク)ですが、このようにVPN接続していないのにしているつもりでいて、結果として本来きちんとVPN接続していれば対処し得たマルウェア感染や漏えい等のセキュリティ事故が発生してしまうことは十分考えられます。

テレワーク時に必要なVPNのセキュリティ対策

まずは、ぜい弱性を突いた不正アクセス等を防止するために、利用しているVPN装置のぜい弱性情報を定期的に確認する必要があります。そして、利用しているVPN装置のソフトウェアにセキュリティ関連のアップデートがある場合にはアップデートを実施することが考えられます。

次に、導入に際してVPNを利用して業務を行わせる対象の従業員に対してVPNとはどういうものか、実際の在宅ワーク時に業務に取り組むときにどのような手順で接続すればいいかといったことを教育し、場合によっては一緒に操作してみるなどして、確実に操作できるようにしておく必要があります。

そして、これはVPNに限りませんが、情報通信をするにあたっては何かしらの漏洩リスクは少なからずあります。そのような情報の漏えいをはじめとするセキュリティ事故が生じた際に、誰に対してどのような経路で報告すればいいのかというルールをあらかじめ定めて、また、定められている場合にはしっかりと実践するように周知することが重要となります。

また、VPNの技術的な側面でいうと、多要素認証の導入により第三者の不正アクセスをより困難にしたり、VPN強制により確実にVPN接続されるようにするなどといった対策が考えられます。この辺りは実際にVPNを導入する際にそのVPN装置の機能を見ながら対策を検討していくことになっていくかと思います。

まとめ

以上みてきたように、VPNは在宅ワークをはじめとするテレワーク時において安全にネットワーク通信をする手段の一つではあり得ます。ただ、現状の自社での業務において本当に必要か、導入する際にセキュリティを担保して導入し得るかといったことを考慮せず、なし崩し的に導入していては却って危険なテレワーク環境を構築してしまう危険性もあります。

VPNの対策をはじめ、テレワーク導入に向けて情報システム担当者をはじめ各管理者の方が検討すべきセキュリティ課題はたくさんあります。

間違った対策をルール、本来の業務の妨げになるようなルールを構築してしまわないよう、テレワーク導入時のルール策定や運用に関してコンサルティングサービスを利用してみるのもいかがでしょうか。

情報セキュリティ対策インシデント対策組織体制・ルールの構築
タイトルとURLをコピーしました