近年急速に普及したテレワークは、場所を選ばず業務が行えるメリットがあります。しかし、インターネットから社内のサーバーへ直接アクセスできるようになった場合、社外の人に社内ネットワークの通信を見られてしまう可能性があります。
セキュリティ対策をなにも行っていないと情報漏えいなどのリスクを高めてしまうため、セキュリティリスクを抑える手段の一つとしてVPNを導入する企業が増えています。
この記事では、VPNとはどのようなものなのか、導入時のメリット・デメリット、仕組みや種類、導入方法についてまとめています。
実際の開発費用・期間をまとめた資料を無料で差し上げます。資料請求はこちら>>
VPN接続とは
VPN(Virtual Private Network)接続とは、インターネット上に仮想の専用ケーブル(専用線)を設けることです。これにより、セキュリティ上の安全性を担保して通信を行う技術です。
専用線とは
インターネットやVPNが普及する前は、企業の拠点間の通信を第三者に盗聴されないように、物理的な専用の回線を敷設していました。この専用線の敷設費用や維持費用は高額であり、導入の敷居が高いものでした。
インターネット回線(公共のもの)上に仮想的(Virtual)に専用(Private)の通信網(Network)を設けることで、拠点間を物理的な専用線で繋いでいるかのように、第三者のアクセスを防ぐことができます。インターネットの資源を利用しているため、安価で手軽に安全な通信が実現可能です。
VPN導入のメリット・デメリット
冒頭では、セキュリティを保護する対策を行わないと、セキュリティリスクが高まってしまうというお話をしました。具体的なセキュリティリスクは以下の通りです。
- 直接インターネットでデータを送信できてしまうため、情報漏えいのリスクが増加
- 従業員によってマルウェア対策の実施ができているかが異なり、全体的なマルウェア等への感染リスクとしては高くなる可能性がある(マルウェア=悪意のあるソフトウェアやプログラムの総称。ウイルスはマルウェアの種類の一つ)
- 特定のPCのアクセスログなどが取得できないことによる問題発生時の対応の遅れ
VPNを導入することによって、これらの問題を解決することができます。詳しく見ていきましょう。
メリット
情報漏えいリスクの低減
VPNを使用したデータの通信は、VPNのネットワーク内で行われます。これにより第三者のアクセスを防ぎ、機密情報などが外部に流通するリスクを低減することができます。企業の拠点間やテレワーク時でも、インターネットを介して安全にデータの送受信が可能です。
専用線に比べて安価で導入できる
物理的なケーブルなどの購入費用や敷設費用、維持費用がかからないため、専用線の導入よりも安価でセキュリティ対策を行うことができます。
従業員のインターネット利用の監視ができる
ここでいうインターネットの監視とは、従業員がサボっていないかを見張るというよりは、マルウェア感染の恐れのあるサイトなどを閲覧しないように対策するという意味合いが強いです。
在宅テレワークでインターネットに接続するときにVPNを使用しない場合(自宅のインターネット環境から直接インターネットにアクセスする場合)、そのネットワークのセキュリティは、各従業員の自宅のネットワークの設定やセキュリティ対策に依存します。
つまり、社内ネットワークからインターネットに接続していた場合には、会社のシステム担当者がネットワークセキュリティの保護対策を施していたのに対し、各従業員の自宅からインターネットにアクセスする場合はその対策が適用されなくなるということになります。
VPNを経由して接続する場合、社内のマルウェア対策やアクセスログの取得などといった、会社で適用していたセキュリティの保護対策がそのまま適用されることになるため、社内ネットワークからインターネット接続する際と同様の監視が可能となります。
アクセスログを取得して蓄積することにより、どの従業員がどの情報にアクセスしたかを監視しているため、もしも問題が起きた際にも原因の追及と対応を迅速に行うことができます。
業務で利用する端末そのものにも制限をかける、インターネット利用をVPN経由のみに限定するなど、自宅で業務を行う際もオフィスと同じ業務環境を実現するためにVPNを活用する企業も多くあります。
デメリット
専用線と比較すると、通信速度が遅くなることがあります。
インターネットVPN(後述)のインターネット環境の通信速度に依存するため、回線状況の影響を受けます。
より高いセキュリティーや通信の帯域速度を保証したい場合は、インターネットVPNではなく、閉域網と呼ばれる通信事業者(NTTなど)が提供するネットワーク網を利用する必要があります。閉域網を使用する場合、コストは高くなります。
実際の開発費用・期間をまとめた資料を無料で差し上げます。資料請求はこちら>>
VPNの仕組み
VPNでは、「トンネリング」「カプセル」「認証」「暗号化」の4つの技術により、通信の安全性が高められます。
トンネリング
インターネット上の発信者と受信者との間に仮想的なトンネルを作って通信を行うことです。盗聴や改ざんを防ぐためにトンネリングが必要です。
カプセル
トンネリングにより作成されたトンネルにデータを送る際に、データをカプセル(宛先を記載した小包のような入れ物)に入れて送ることです。発信者から受信者に確実にデータを届けるために必要です。
認証
トンネルを介した通信を行う際に、送信者と受信者がお互いに正しい相手かどうかを確かめることです。受信者を偽装できないように(盗聴を防ぐために)必要です。
暗号化
データを送る際に中身にカギをかけて、第三者が見ても内容がわからないようにすることです。盗聴や改ざんを防ぐために必要です。
VPNの種類
VPNの種類によってセキュリティーレベルが異なるため、用途に適した種類を選ぶ必要があります。
インターネット網を利用したVPN
インターネットVPN
インターネット接続環境があれば利用することができます。また、低コストで構築可能です。これまで紹介してきたVPNのメリット・デメリットやVPNの仕組みは、インターネットVPNの特徴です。アクシアのVPNはインターネットVPNを採用しています。
インターネットVPNを安全に利用するには、設定を適切に設定し運用するノウハウが必要です。(アプリケーション層でセキュリティーを担保する)
通信事業者(NTTなど)が提供する閉域網を利用したVPN
「閉域網」という一般ユーザーがアクセスできないネットワークを利用するため、ネットワーク層レベルでセキュリティーは高くなります。
インターネットVPNに比べて通信速度や品質が非常に安定しますが、その代わりに高価なものとなります。
IP-VPN
通信事業者が提供する「IP網」という閉域網を利用します。インターネットVPNに比べて盗聴リスクが低く、通信の暗号化は行わない傾向があることが特徴です。
後述のイーサネット網に比較すると、サポートする通信のプロトコルの範囲が狭い(レイヤー3・ネットワーク層)ため自由度が下がります。帯域保証はありません。
※帯域保証とは、指定の帯域を確保して、通信速度(品質)を保証してくれる回線です。速度を保証してくれるため、安定的な通信環境を常に使用できるといったメリットがあります。
広域イーサネット
通信事業者が提供する「イーサネット網」という閉域網を利用します。
前述のIP網に比較すると、サポートする通信のプロトコルの範囲が広い(レイヤー2・データリンク層)ため自由度が高くなることが特徴です。帯域保証があります。
SD-WAN
インターネットVPNと閉域網を利用したVPN回線を通信の目的によって、利用する回線を使い分けることができます。ビデオ会議やクラウドサービスの利用が増大した背景から、通信の種類によって通信の交通整理がきめ細かくできることが大きなメリットです。
適切な運用には専門の知識を持った(ネットワークエンジニア)のノウハウが必要となります。
補足:ネットワークの階層(OSI参照モデル)
ネットワークは機能ごとに階層が決められています。OSI参照モデルとは、コンピュータネットワークに求められる機能(通信機能)を7階層の構造に分割し定義したものです。各層のプロトコルに従って通信を行います。
プロトコルとは、「通信規則」「通信規約」「通信手順」を示し、通信をする上で守らなければいけない約束、ルールのことです。例えると、会話を成立させるためにこの層では英語でやりとりする、別の層では日本語でやりとりする、といったイメージです。
各層によって対応するプロトコルの範囲(種類の多さ)が変わってきます。IP-VPNではIPプロトコルというものを使用します。対して、広域イーサネットでは多くの種類のプロトコル(ルーティングプロトコル)が利用可能です。
VPNの構築方法
前述の「通信事業者(NTTなど)が提供する閉域網を利用したVPN」は、通信事業者との契約や専用の機器の導入が必須となるため、ここでは「インターネット網を利用したVPN」の構築方法のうちAWSでのVPN構築方法を紹介します。
①AWSにてプライベートネットワークを構築する
AWSクラウド内に閉じられた(インターネットに接続していない)仮想的なプライベートネットワーク(VPC)を構築します。VPCにはサーバーを置くことができます。
②仮想的なプライベートネットワーク(VPC)内に必要なサーバーを配置する
ファイルサーバーなどの社内で共有したい情報が入っているサーバーを配置します。
③AWSのVPN機能を利用してプライベートネットワークにVPN接続できる状態にする
アクセス権を持つ人以外のアクセスを防ぎます。
④各クライアントPCがVPNに接続するための準備をする
接続のための構築方法には2つパターンがあります。
VPN認証用のサーバーを構築する(テレワーク向け)
オープンソースのVPNソフトウェアを使用して構築する方法です。SoftEtherVPNやOpenVPNなどの製品を導入してサーバーを構築し、必要数量のアカウントを発行します。
クライアントPCに専用のクライアントソフトをインストールして、各PCが発行されたアカウントの認証情報を入力することでVPNに接続可能となります。
アクシア社内のVPNはこの方法で接続しています。数十人規模の会社ならばすぐに構築可能な方法です。
IP-Sec機能を搭載したVPN対応ルーターを設置する(社内LAN向け)
物理のルーターを購入して使用する方法です。YAMAHA社などが発売しているIP-Sec機能を搭載したVPN対応ルーターを購入します。VPN対応ルーターにVPN接続設定を行い、VPNを利用するネットワーク範囲を決定するだけです。
ルーターが設置されているLAN内のPCであれば、ルーターに設定されたVPNを利用する通信相手と通信を行う場合、VPN通信が実現されます。
この方式の場合、各PCに専用のソフトをインストールする必要がありません。ただし、LANの外からはVPNにアクセスできません。
実際の開発費用・期間をまとめた資料を無料で差し上げます。資料請求はこちら>>
テレワークを安全に行うために。VPNとは・まとめ
この記事ではVPNの基礎知識をメインにご紹介しました。テレワークを安全に行うためにも、VPNの仕組みを理解して、適切なVPN接続を設計・構築することが大切です。通信するデータの機密性や通信速度によっては、より安全性の高い閉域網を使用したVPNを使用することも検討しましょう。
VPNを安全に利用するには、適切に設定し運用するノウハウが必要です。アクシアではインターネットVPNの構築に対応しています。お困りごとがありましたらお気軽にご相談ください。
最後までお読みいただき、ありがとうございました。
