コロナ禍を機に多くの組織でテレワークが定着しつつある。テレワークでは従業員が自宅やサテライトオフィス、場合によってはカフェなどで仕事をするため、インターネットから社内ネットワークやクラウドサービスにアクセスできるようにしている組織が増えている。
こうしたインターネットからのアクセスは社内からのアクセスと比べて、やりとりするデータを盗聴されるリスクが高い。特に機密情報や個人情報、サービスの利用に必要な認証情報などを盗まれると大きな損害が発生する。このため多くの組織は、社内ネットワークへのアクセスにVPN▼(仮想私設網)を利用している。
暗号化と認証で情報を守る
テレワークに使われるインターネットを介したVPN(インターネットVPN)では、TLS▼などのセキュリティー技術を利用する。TLSは「https」から始まるURLのWebサイトなどにアクセスする際に利用される技術で、データの暗号化や通信相手の認証を実現する。
VPNでは、VPN機器同士あるいはVPNクライアントソフトとVPN機器の通信は接続先を認証した上でデータを暗号化する。これにより通信相手のなりすましや通信経路での盗聴を防ぐ(図2-1)。例えば、攻撃者が用意した無線LANアクセスポイントが通信経路上にある場合でも盗聴を防げる。
VPNクライアントソフトを使ったVPN接続はリモートアクセスVPNと呼ばれる。一方、VPN機器同士で異なるネットワークをつなぐのは拠点間VPNと呼ぶ。
リモートアクセスVPNには、(1)組織のネットワークに設置したVPN機器にVPNクライアントソフトでアクセスする方法と、(2)VPNサービス提供者が運営する中継サーバーにVPNクライアントソフトでアクセスする方法がある(図2-2)。
後者はVPNサービスなどと呼ばれ、無料で提供されていることが多い。実際、検索サイトで「無料VPN」というキーワードで検索すると、無料で使えるVPNサービスとそのためのVPNクライアントソフトが多数表示される。
VPNサービスでは、中継サーバーまでの経路が暗号化されて通信が守られる。例えば途中に怪しい無線LANアクセスポイントがあったとしても、そこでの盗聴を防げる。
一部の国家が実施しているインターネット通信の検閲をすり抜けるためにも使われる。別の国や地域にある中継サーバーを経由すれば、本来は禁止されているクラウドサービスにアクセスできたり、通信内容の盗聴を防いだりできる。
プロキシーサーバーとしても利用できる。接続先には中継サーバーからのアクセスに見えるので、接続元を隠蔽できる。
「盗聴を防げるしプライバシーも守れるので無料なら使ってみようか」と思う人は少なくないだろう。だが注意してほしい。セキュリティー上の問題があるVPNサービスや、情報窃取を目的とした悪意のあるVPNサービスが見つかっているからだ。
