ネット君 ネットワークスペシャリスト(ネスペ)試験の過去問を見ると、VPN▼に関する問題がよく出されていますね。
インター博士 うむ。VPNの構築や運用は頻出だ。毎回、関連する問題が1問は出されている印象だ。
ネット君 ほほう。じゃあ今回もVPNに関する問題ですか。
インター博士 そうだな。今回はVPNのセキュリティーを取り上げよう。
マルウエアや不正アクセスの危険
VPNにはさまざまな種類があるが、最も広く利用されているのがインターネットVPNだろう。インターネットを利用するため低コストで導入および運用できる。拠点間接続だけではなく、モバイル機器からのリモートアクセスにも利用できて利便性が高い。
ただし利便性とセキュリティーはトレードオフの関係になることが多い。インターネットVPNも例外ではない。インターネットVPNを使えば、社外の任意の場所から企業の内部ネットワークにアクセスできる(図1)。言い方を変えれば、企業の管理下にないネットワークから、企業の内部ネットワークにアクセスされる。さらに、企業の管理下にない機器でアクセスされる可能性がある。
管理されている機器と比較すれば、管理下にない機器はセキュリティーレベルが低く、マルウエア感染などのリスクが高い。このためVPN経由でマルウエア感染などが拡大する恐れがある。
また、特定の機器しかVPNに接続できないようにしていても、その機器を盗まれて不正アクセスされる危険性もある。
このためVPNの安全な運用にはアクセス制限が不可欠となる。マルウエアや攻撃者に機器を乗っ取られた場合でも被害を最小限に抑えるように、VPN経由でアクセスできるサーバーを制限する。
内部に直接アクセスさせない
制限する方法にはいくつかあるが、代表例の1つがプロキシサーバーの利用である(図2)。プロキシーサーバーを経由しなければ内部ネットワークのサーバーに接続できないようにする。これにより、プロキシーサーバーでアクセスを制限する。VPNによる接続を許可したくないサーバーへのアクセスは、プロキシーサーバーで禁止しておくのだ。
