この記事は、サイバーセキュリティ基礎講座の第8回です。
前回は、【第7回】ゼロトラストとは何か|「何も信じない」ではなく毎回確認する防御思想をわかりやすく解説で、社内外の境界だけに頼らず、毎回確認する防御思想を整理しました。
今回は、通信経路を守る道具であるVPNを扱います。
シリーズ全体は、【まとめ】サイバーセキュリティ基礎講座まとめ|攻撃の仕組みと防御の基本を体系的に学ぶからご覧ください。
「VPNを使えば安全」
そう聞いたことはありませんか?
- カフェのWi-Fiを使うとき
- 出張先から会社のシステムに入るとき
- 自宅から仕事をするとき
- 海外や外出先で通信するとき
VPNは、たしかに役に立つことがあります。
ですが、ここで大切なのは、VPNは万能ではないということです。
VPNを使っても、偽サイトにパスワードを入力すれば盗まれる可能性があります。
VPNを使っても、マルウェアに感染する可能性があります。
VPNを使っても、怪しいアプリを入れれば情報が抜かれる可能性があります。
VPNを使っても、ログイン先のサービス自体が安全になるわけではありません。
VPNとは、簡単に言えば、あなたの端末とVPNサーバーの間に、暗号化された通信経路を作る仕組みです。
FTCは、VPNアプリについて、スマホなどから送られるデータをVPN事業者のサーバー経由にし、アプリによっては端末とVPNサーバー間のデータを暗号化すると説明しています。(Federal Trade Commission)
今回は、「VPNとは何か」を見ていきます。
「VPNは何を守るのか?」
「VPNでは何を守れないのか?」
「会社のVPNと個人向けVPNは何が違うのか?」
「なぜ、VPNだけではゼロトラストにならないのか?」
こうした問いを、通信の保護とアクセス制御の違いから整理していきます。
第1章 VPNとは何か
VPNとは、Virtual Private Network の略です。
日本語では、仮想プライベートネットワークと呼ばれることがあります。
簡単に言えば、インターネット上に、暗号化された通信の通り道を作る仕組みです。
たとえば、あなたがカフェのWi-Fiを使っているとします。
そのまま通信すると、通信経路の一部で情報を見られたり、改ざんされたりするリスクがあります。
VPNを使うと、あなたの端末とVPNサーバーの間に暗号化された経路が作られます。
- あなたの端末
- VPNサーバー
- 暗号化された通信経路
- その先のWebサイトやサービス
つまり、VPNは「インターネットそのものを安全に変える仕組み」ではありません。
あなたの端末とVPNサーバーの間の通信を守りやすくする仕組みです。
FTCも、VPNアプリは通信をVPN事業者のサーバー経由にし、場合によっては端末とVPNサーバー間の通信を暗号化すると説明しています。(Federal Trade Commission)
ここで重要なのは、VPNを使うと通信の通り道が変わるということです。
あなたの通信は、VPN事業者や会社のVPNサーバーを経由します。
そのため、VPNを使うときは、「どこを通すのか」「誰がそのVPNを運用しているのか」も大切になります。
VPNは、通信を隠す魔法ではなく、通信の通り道を作り、守るための仕組みなのです。
第2章 VPNは何を守るのか
VPNが守りやすいのは、主に通信経路です。
特に、信頼しにくいネットワークを使うときに意味があります。
たとえば、次のような場面です。
- カフェのWi-Fi
- ホテルのWi-Fi
- 空港のWi-Fi
- 外出先のネットワーク
- 在宅勤務から会社システムへ接続するとき
- 社外から社内ネットワークへ接続するとき
VPNを使うと、端末とVPNサーバーの間の通信が暗号化されます。
そのため、同じWi-Fiにいる第三者が通信内容を簡単に見ようとしても、見えにくくなります。
また、企業向けVPNでは、社外にいる社員が、会社のネットワークや社内システムへ安全に接続するために使われます。
NISTのテレワークとリモートアクセスのガイドは、遠隔勤務やリモートアクセス技術の安全上の考慮点を整理し、リモートアクセス技術を安全に使うための推奨事項を示しています。(NIST出版物)
VPNが役に立つのは、通信の途中を守りたいときです。
ただし、ここで混同してはいけません。
VPNが守るのは、主に通信の通り道です。
ログイン先のサービスそのものを安全にするわけではありません。
- あなたが偽サイトを開けば、VPNを使っていても偽サイトは偽サイト
- あなたがマルウェアをダウンロードすれば、VPNを使っていても危険は残る
VPNは、通信経路を守る道具です。
あなたの判断や、ログイン先の安全性まで自動で守るものではないのです。
第3章 VPNでは守れないもの
VPNは便利です。
ですが、VPNだけでサイバーセキュリティが完成するわけではありません。
VPNでは守れないものもあります。
- 偽サイトへのログイン
- フィッシング詐欺
- マルウェア感染
- 弱いパスワード
- パスワードの使い回し
- 多要素認証の未設定
- 端末そのものの感染
- VPN事業者やVPNサーバーへの信頼問題
- ログイン後のサービス内での情報漏洩
たとえば、フィッシング詐欺です。
メールにあるリンクを押して、本物そっくりの偽サイトに入ったとします。
VPNを使っていても、その偽サイトにIDとパスワードを入力すれば、情報は盗まれる可能性があります。
また、マルウェアも同じです。
- 怪しいファイルを開く
- 偽アプリを入れる
- 不審な拡張機能を追加する
こうした操作をすれば、VPNを使っていても危険です。
さらに、VPNサービス自体の選び方も重要です。
FTCは、VPNアプリを選ぶとき、VPN事業者があなたのデータをどのように扱うか、どんな情報を収集するかを確認するよう注意を促しています。(Federal Trade Commission)
つまり、VPNは「安全を買うボタン」ではありません。
- VPNを通す相手を信頼できるか?
- 端末は安全か?
- ログイン先は本物か?
- パスワードや多要素認証は整っているか?
ここまで含めて考える必要があります。
VPNは、守れる場所と守れない場所を分けて理解することが大切なのです。
第4章 会社のVPNと個人向けVPNは何が違うのか
VPNには、大きく分けて、会社で使うVPNと個人向けVPNがあります。
どちらも「通信をVPNサーバーへ通す」という点では似ています。
ですが、目的が違います。
会社のVPNは、主に社外から会社のシステムへ安全に接続するために使われます。
- 在宅勤務
- 出張先
- 外出先
- 委託先からの接続
こうした場面で、会社のネットワークや業務システムに入るための入口になります。
一方で、個人向けVPNは、公共Wi-Fiでの通信保護や、通信経路のプライバシー保護などを目的として使われることがあります。
- 会社のVPN
- 社外から会社のネットワークや業務システムへ接続する
- 個人向けVPN
- 公共Wi-Fiなどで通信経路を守りやすくする
- 共通点
- 端末とVPNサーバーの間に暗号化された経路を作る
- 違い
- 守る目的と管理する主体が違う
- 守る目的と管理する主体が違う
会社のVPNでは、VPNサーバーは会社の重要な入口になります。
そのため、攻撃者にとっても狙う価値があります。
NSAとCISAは、リモートアクセスVPNサーバーは保護されたネットワークへの入口になるため、攻撃者の標的になりやすいと説明し、強い認証、パッチ適用、不要機能の無効化などを推奨しています。(国家安全保障局)
つまり、会社のVPNは「守るための仕組み」であると同時に、「狙われる入口」でもあります。
だからこそ、VPNには多要素認証、更新、ログ監視、権限管理が必要です。
VPNを置いたら安全、ではありません。
VPNをどう管理するかが重要なのです。
第5章 VPNとゼロトラストは何が違うのか
前回扱ったゼロトラストと、VPNはよく一緒に語られます。
ですが、同じものではありません。
VPNは、通信経路を作る技術です。
ゼロトラストは、アクセスを毎回確認し、必要な範囲だけ許可する防御思想です。
- VPN
- 通信の通り道を暗号化する仕組み
- ゼロトラスト
- 誰が、どの端末で、何にアクセスするのかを確認する考え方
- VPN
- ネットワークへ入る入口になりやすい
- ゼロトラスト
- アプリやデータごとに必要なアクセスだけを許可する方向へ進む
VPNでは、接続した人が社内ネットワークの一部へ入る形になることがあります。
もちろん、設定によって範囲は変わります。
ただし、考え方としては「ネットワークへつなぐ」側面が強いです。
一方で、ゼロトラストでは、ネットワークの内側にいるかどうかだけでは判断しません。
- 誰なのか?
- 端末は安全か?
- どのアプリへ入るのか?
- どのデータへアクセスするのか?
- その権限は必要か?
NISTのゼロトラスト文書は、ゼロトラストがネットワークの場所ではなく、ユーザー、資産、リソースを中心に考えるものだと説明しています。(NIST出版物)
つまり、VPNはゼロトラストの一部として使われることはあります。
ですが、VPNを使っているだけではゼロトラストとは言えません。
- VPNは道を作る
- ゼロトラストは、誰をどこまで通すかを決める
この違いを押さえることが大切なのです。
第6章 VPNを使えば匿名になれるのか
VPNについては、もう一つ誤解されやすいことがあります。
それは、「VPNを使えば完全に匿名になれる」という考え方です。
これは危険な誤解です。
VPNを使うと、アクセス先から見えるIPアドレスがVPNサーバーのものになることがあります。
そのため、あなたの通信元が見えにくくなる場合はあります。
ですが、VPNだけで完全に匿名になるわけではありません。
- ログインしているアカウント
- ブラウザの設定
- Cookie
- 端末の情報
- アプリの利用履歴
- VPN事業者の記録
- アクセス先サービスの記録
- 支払い情報
こうしたものから、あなたの行動が結びつくことがあります。
たとえば、VPNを使っていても、自分のGoogleアカウントやSNSにログインすれば、そのサービスにはあなたとして認識されます。
通販サイトにログインすれば、購入履歴や配送先と結びつきます。
仕事用アカウントに入れば、組織側にはあなたのアクセスとして記録されます。
つまり、VPNは「通信元を見えにくくすることがある」仕組みであって、「あなたの存在を完全に消す」仕組みではありません。
VPNを過信すると、かえって危険です。
匿名性ではなく、通信経路の保護として理解することが大切なのです。
第7章 無料VPNや怪しいVPNに注意する
VPNは、通信をVPN事業者のサーバーへ通す仕組みです。
つまり、VPN事業者は、あなたの通信に関わる重要な位置に立ちます。
そのため、どのVPNを使うかはとても重要です。
特に、無料VPNや出所のわからないVPNには注意が必要です。
- 運営者が不明
- 収益モデルがわからない
- 過剰な権限を求める
- 広告や追跡が多い
- ログの扱いが不透明
- 公式ストア以外からインストールを求める
- レビューが不自然
- 設定がわかりにくい
FTCは、VPNアプリを選ぶ際、事業者がどのように利用者のデータを扱うかを確認するよう注意を促しています。
VPNは通信を事業者のサーバーへ通すため、事業者選びは重要です。(Federal Trade Commission)
また、近年はVPNを装った悪質なアプリや拡張機能の問題も報じられています。
無料や便利さだけで選ぶと、かえって情報を危険にさらす可能性があります。(Tom’s Guide)
VPNは、信頼できないネットワークから守るために使うことがあります。
ですが、信頼できないVPN事業者を通せば、別のリスクが生まれます。
「無料だから安心」ではありません。
「有名そうだから安心」でもありません。
- 誰が運営しているのか
- 何を記録するのか
- どの端末権限を求めるのか
- 公式アプリか
こうした確認が必要なのです。
第8章 VPNを安全に使うための基本
VPNを使うなら、次の基本を押さえておくとよいです。
個人でも、企業でも、考え方は似ています。
- 信頼できるVPNを選ぶ
- 公式サイトや公式ストアから入手する
- OSやVPNアプリを更新する
- 多要素認証を使う
- 怪しいVPNアプリを入れない
- VPN接続中でも偽サイトに注意する
- VPNだけで安全と思わない
- 不要なときは設定を見直す
- 会社のVPNは組織のルールに従う
企業の場合は、さらに管理が重要になります。
VPNサーバーは、社内への入口になるからです。
NSAとCISAは、リモートアクセスVPNの強化策として、強い認証、パッチ適用、攻撃対象領域の削減などを推奨しています。(国家安全保障局)
また、CISAはエンタープライズVPNのセキュリティに関する注意喚起で、ログ確認、攻撃検知、VPN関連のセキュリティ作業を強化する必要性を示しています。(CISA)
つまり、VPNは導入して終わりではありません。
- 更新する
- 監視する
- 認証を強くする
- 不要な機能を減らす
- アクセス権限を絞る
- 異常に気づけるようにする
ここまでが必要です。
VPNは便利な道具ですが、管理されていないVPNは、守るための入口ではなく、攻撃の入口になることがあるのです。
第9章 個人がVPNを使うなら、どんな場面か
個人がVPNを使う場面としては、次のようなものがあります。
- 公共Wi-Fiを使うとき
- ホテルや空港のネットワークを使うとき
- 外出先で仕事をするとき
- 会社のルールでVPN接続が必要なとき
- 通信経路のプライバシーを高めたいとき
ただし、VPNを使う前に考えることがあります。
- 本当にそのWi-Fiを使う必要があるのか?
- スマホのモバイル通信で足りないか?
- そのVPNは信頼できるか?
- 公式アプリから入れているか?
- 接続先のサービスは本物か?
- ログインには多要素認証を設定しているか?
公共Wi-Fiでの安全を考えるなら、VPNだけでなく、HTTPS、公式アプリ、多要素認証、OS更新も重要です。
- VPNを使っていても、偽サイトへログインすれば危険です。
- VPNを使っていても、使い回しパスワードなら危険です。
- VPNを使っていても、端末が古く脆弱なら危険です。
つまり、VPNは「安全の一部」であり、VPNだけで完結するものではありません。
あなたが個人でVPNを使うなら、通信経路を守る道具として使う。
それと同時に、ログイン先、端末、認証、アプリの安全も整える。
この組み合わせが大切なのです。
第10章 VPNを見る5つの問い
VPNを使うとき、またはVPNに関するニュースを見るときは、次の5つの問いを持つと整理しやすくなります。
「何のためにVPNを使うのか?」
「どこからどこまでの通信を守っているのか?」
「VPN事業者や管理者を信頼できるのか?」
「VPNでは守れないリスクは何か?」
「VPN接続後、どこまでアクセスできるのか?」
たとえば、カフェのWi-Fiで個人向けVPNを使う場合ならこうです。
- 何のためにVPNを使うのか?
- 公共Wi-Fi上の通信経路を守りやすくするため
- どこからどこまでの通信を守っているのか?
- あなたの端末からVPNサーバーまで
- VPN事業者や管理者を信頼できるのか?
- 運営元、プライバシーポリシー、アプリの入手元を確認する
- VPNでは守れないリスクは何か?
- 偽サイト、フィッシング、マルウェア、弱いパスワードは別の対策が必要
- VPN接続後、どこまでアクセスできるのか?
- 会社VPNなら、社内のどのシステムへ入れるのかを確認する
このように考えると、VPNは「安全か危険か」の二択ではなくなります。
- 何を守る道具なのか?
- どこに限界があるのか?
- 誰を信頼するのか?
- どこまでアクセスできるのか?
こうした構造で見ることができます。
VPNは、使うかどうかよりも、何を期待して使うのかが大切なのです。
まとめ VPNとは、通信経路を守る道具である
VPNとは、あなたの端末とVPNサーバーの間に、暗号化された通信経路を作る仕組みです。
- 公共Wi-Fi
- 在宅勤務
- 出張先
- 社外から会社システムへの接続
こうした場面で役に立つことがあります。
ただし、VPNは万能ではありません。
- 偽サイトは防げない
- フィッシングは防げない
- マルウェア感染は防げない
- 弱いパスワードは守れない
- 多要素認証の代わりにはならない
- 端末そのものを安全にするわけではない
- VPN事業者やVPNサーバーを信頼する必要がある
つまり、VPNは「すべてを安全にする道具」ではありません。
通信経路を守るための道具です。
会社のVPNでは、社外から社内へ入る入口にもなります。
そのため、VPN自体も狙われます。
- 更新
- 多要素認証
- ログ監視
- 権限管理
- 不要機能の削減
こうした管理が必要です。
前回のゼロトラストと比べると、違いも見えてきます。
- VPNは、通信の道を作る
- ゼロトラストは、誰をどこまで通すかを確認する
VPNを使っていても、誰が、どの端末で、何にアクセスしているのかを確認しなければ、被害は広がる可能性があります。
だからこそ、VPNは大切ですが、VPNだけで終わらせないことが大切です。
- 通信を守る。
- 端末を守る。
- アカウントを守る。
- アクセス権限を絞る。
- 異常に気づく。
この組み合わせで、被害を減らしていくのです。
次回の【第9回】DDoS攻撃とは何か|大量アクセスでサービスが止まる仕組みをわかりやすく解説、シリーズ全体の【まとめ】サイバーセキュリティ基礎講座まとめ|攻撃の仕組みと防御の基本を体系的に学ぶもあわせてご覧ください。
次回は、「DDoS攻撃とは何か」を扱います。
「なぜ大量のアクセスでサービスが止まるのか?」
「攻撃者は何を狙っているのか?」
「個人のパソコンやIoT機器が攻撃に使われることはあるのか?」
「企業や社会は、どう備えるのか?」
こうした問いを、サービス停止と社会への影響という視点から見ていきます。
ここまでお読みいただきありがとうございました。
Veritas Labでは、国際情勢・歴史・科学・心理学・サイバーセキュリティを横断しながら、複雑な世界の構造を読み解いています。
このブログの考え方や、初めての方におすすめの記事は「Veritas Labの歩き方」にまとめています。
もしご興味あればお読みいただけると嬉しいです。
あわせて読みたい本
今回は、特に本の紹介はありません。
VPNは、書籍で広く学ぶよりも、あなたが使うVPNサービスや会社のVPNの公式情報、設定ルール、プライバシーポリシーを確認する方が実用的です。
特に個人向けVPNを選ぶ場合は、料金や速度だけでなく、運営元、データの扱い、アプリの入手元、サポート体制を確認することが大切です。
参考情報
- FTC「In the market for a VPN app?」
- VPNアプリが通信をVPN事業者のサーバー経由にし、場合によっては端末とVPNサーバー間の通信を暗号化することを説明しています。
- VPN事業者のデータの扱いを確認する重要性も参考になります。(Federal Trade Commission)
- FTC「FTC Provides Tips for Using VPN Apps」
- 個人がVPNアプリを選ぶときの注意点を確認できます。特に、VPN事業者が利用者の情報をどのように扱うかを見る視点が参考になります。(Federal Trade Commission)
- NIST「Guide to Enterprise Telework, Remote Access, and Bring Your Own Device Security」
- テレワークやリモートアクセス技術の安全上の考慮点を整理した資料です。
- 企業でVPNやリモートアクセスを使う場合の基本的な考え方を確認できます。(NIST出版物)
- NSA・CISA「Selecting and Hardening Remote Access VPN Solutions」
- リモートアクセスVPNが保護されたネットワークへの入口になるため攻撃対象になりやすいこと、強い認証やパッチ適用などの重要性を確認できます。(国家安全保障局)
- CISA「Enterprise VPN Security」
- 企業向けVPNを安全に運用するために、ログ確認、攻撃検知、VPN関連のセキュリティ作業を強化する必要性を確認できます。(CISA)
- NIST「SP 800-207 Zero Trust Architecture」
- ゼロトラストがネットワークの場所ではなく、ユーザー、資産、リソースを中心に考える防御思想であることを確認できます。
- VPNとの違いを理解する参考になります。(NIST出版物)
