💡

VPNの代替技術 併用技術

に公開
VPN
セキュリティ対策
tech

はじめに

前回VPN(Virtual Private Network)に関して簡単な説明を記事化しました。その中で代替技術や併用する技術に関して簡易な記載を行いました。

本記事ではVPNの代替技術や併用する技術に関して詳細に記載を行います。

VPNが提供するセキュリティの強み

VPNは、ユーザーとVPNサーバー間に暗号化された通信トンネルを構築し、インターネット上の通信内容を第三者から守る技術です。
このトンネル内の通信は高度に暗号化されるため、第三者による盗聴やデータの傍受を防ぎ、機密情報の漏洩リスクを大幅に低減します。
またVPNを使用するとユーザの元のIPアドレスが隠蔽されるため、プライバシーが強化され、公共Wi-Fiなど不特定多数が利用するネットワーク上でも安全に通信できます。

企業ではVPNを導入することで、自宅や出先からでも社内ネットワークに安全にアクセスでき、生産性を維持しながら情報漏洩のリスクを抑えられます。

VPNの限界とリスク

一方で、VPNにはセキュリティ上の限界や注意点も存在します。
VPNはあくまで「通信経路の暗号化」を提供する技術であり、エンドポイントの安全性や内部ネットワークで発生し得る脅威までは直接保護できません。

弱点・注意点

  1. 端末側が感染している場合は防げない
    → マルウェアがVPNトンネルを通じて社内に侵入する恐れがある。

  2. VPN自体の脆弱性
    → ソフトウェアの脆弱性や設定ミスによって外部から攻撃されることがある。

  3. 一度接続すると過剰な権限を持つ可能性
    → 「社内に入れたら全部見られる」状態になりがち(ラテラルムーブメントのリスク)。

  4. 通信遅延や帯域の圧迫
    → 大規模組織では集中アクセスによりパフォーマンスが劣化する可能性がある。

  5. 古いVPN機器の放置や運用不備
    → 未使用アカウント・未更新ソフトが狙われる。

なぜゼロトラストや多要素認証が必要なのか?

上述したVPNの限界を補完・克服するために、近年強調されているのがゼロトラストアーキテクチャ多要素認証の導入です。
ゼロトラストは「何も信頼しない」を基本原則とし、社内・社外を問わずあらゆるアクセス要求に対して都度認証・検証を行うセキュリティモデルです。
多要素認証(MFA)はパスワードに加えてワンタイムコードや生体情報など第二・第三の要素で認証するモデルです。

ゼロトラスト(Zero Trust)

  • 「誰も信頼しない」を前提に、すべてのアクセスを都度検証するセキュリティモデル。
  • VPNのような「社内に入ったら安全」という考えを否定し、常時確認・制限・監視する。
  • 社内外問わず、不正アクセス・内部犯行にも対応できる。

多要素認証(MFA)

  • パスワードだけでなく、ワンタイムコードや生体認証などを併用して認証強化。
  • 仮にVPN認証情報が漏洩しても、MFAがあれば不正利用を防げる。

VPN単体 vs ゼロトラスト + 多要素認証(MFA)の比較

観点 VPN単体利用 ゼロトラスト + MFA
前提 社内ネットワークは信頼できる 誰も信頼せず、常に検証する
セキュリティモデル 境界防御型(内側は信頼) 非信頼型(すべて検証)
認証手段 単一要素(ID・PW) 多要素(ID + トークンなど)
セキュリティリスク 一部の突破で広範囲に侵害される恐れ 各リソースでアクセス制限が働く
攻撃者侵入後の拡散 広範囲アクセス可能 アクセスは都度制御される
内部脅威への耐性 弱い 強い(最小権限原則)

実際のセキュリティ事故(事例)

実際にVPNの脆弱性やリスクを突かれてセキュリティ事故が発生しています。
大きな事故としていくつか紹介します。
このようなセキュリティ事故を防止するために、前述のゼロトラストや多要素認証が必要になってきます。

① Colonial Pipeline(米国・2021年)

https://www.cloudgate.jp/security-news/colonial-pipeline-ransomware-attack-cause-and-why-it-paid-ransom

  • レガシーVPNアカウントのパスワードが流出。
  • 多要素認証未導入だったため、パスワード1つで侵入成功
  • 結果、アメリカ東部の石油供給が一時停止。

② カプコン(日本・2020年)

https://www.capcom.co.jp/ir/news/html/210413.html

  • テレワーク用に使用した旧型VPN装置の脆弱性を突かれて不正アクセス。
  • 約1万5000件以上の個人情報が流出。
  • 古い機器の管理と更新の重要性が浮き彫りに。

③ 大阪急性期・総合医療センター(日本・2022年)

https://www.gh.opho.jp/incident/1.html

  • 取引先業者のVPN機器の脆弱性を攻撃され、電子カルテシステムが73日停止
  • 病院本体が直接狙われたわけではなく、VPN経由のサプライチェーン攻撃

④ JAXA(日本・2023年)

https://www.jaxa.jp/press/2024/07/20240705-2_j.html

  • 公表済みのVPN脆弱性を悪用され、情報流出。
  • 数カ月にわたる不審アクセスが発生。

まとめ

VPNは通信の安全性を保つ上で重要な技術ですが、それだけでは 内部侵入・認証情報漏洩・誤設定といったセキュリティリスクを完全に防ぐことはできません。

そのため、現代のセキュリティ対策としては次の3つがセットで重要になります。

  1. VPNの適切な運用(脆弱性対応・不要アカウントの削除)
  2. 多要素認証の導入(MFA)
  3. ゼロトラストアーキテクチャによるアクセス制御

これらを組み合わせることで、VPNの弱点を補いながら、より堅牢なセキュリティ体制を構築できます。

Discussion