リモートワークが普及する中、企業はセキュリティ強化のために仮想プライベートネットワーク(VPN:Virtual Private Network)の導入を進めている。これにより、社員は自宅や外出先からでも安全に社内ネットワークにアクセスできるようになる。一方で、VPNの脆弱性を狙ったサイバー攻撃による大規模なインシデントが発生するなどセキュリティリスクについての対策も必要不可欠となっている。
VPNを導入している中小企業は多いと思われるが、それがどういうもので、なんのために導入したものかを知る経営者は少なくない。「うちはVPNを入れてるんです。けど…ぶっちゃけて言いますと、それがなんなのかよくわからんのです…VPNってどういうものなのでしょうか?」と、聞かれることも少なくないのだ。技術的な視点からの解説を目にすることはあるが、ITに詳しくない中小企業の経営者には優しいものではない。セミナーなどでも多用する、日常的なものに「置き換え」て、VPNをわかりやすく解説する。
技術用語抜きでVPNを解説します
技術的な用語抜きで説明できるかどうか…出入りのITベンダーの営業マンに試して欲しい。提案しているものの機能や使い方を説明はできるであろうが、ITに詳しくない人に解るように説明するには本質的なことを理解していなければできない。VPNに関しても、「これはバーチャルプライベート…暗号化技術を….」など、IT用語を並べて説明はできるだろうが、「それだと僕には理解できないので、日常的なものに何か例えてわかりやすく教えてくれませんか。」と聞いてみると良い。
私は何度かやったことがあるのだが、わかりやすく説明してくれるITベンダーの営業マンにはまだ出会っていない。困った顔をして、難しいな…と、言うのだが、難しいのではなく解ってないんです。って正直に言って欲しい。しっかり説明できる営業マンであれば、技術面に関しては信頼しても大丈夫だろう…との、一つの指標にはなる。
インターネットは公共の場で会話をしている
インターネットの世界は、広場にいる不特定多数の人々が会話をしている場。と認識していただけたらわかりやすいのではないかと思います。大勢の人が集まっているところは、ガヤガヤと人の声が聞こえるが、会話の内容を全て把握することはできない。近くに行けば会話を聞くことはできるが、普通の人は、母語以外の言語だと声は聞こえるが、内容を聞き取ることはできない。
ただ、日本の環境であれば、ほとんどの人が日本語で話をしている。そこで、会社の機密情報について話をしていると、知らないうちに近くに寄ってきた人に盗み聞きされてしまう…これが情報漏洩リスクということだ。自宅から会社のネットワークへなんの対策も施さずに接続するというのは、ここにあげた例のような振る舞いをしているのと同義なのである。
当事者しかわからない特別の言語で会話する
当事者にしかわからない特別な言語で会話をすれば、盗み聞きされても内容も伝わらないし、意味もわからないだろう…それがVPNである。「特別な言語=暗号化」という位置付けになる。
もう少し具体的に解説しよう。
大きな広場に多くの人がいて、いろいろな言語で会話をしている環境を想像してください。その中で、特定の人(仮にAさんとBさん)通しで会話をしようとしています。Aさん、Bさんは普段は日本語で会話をするのですが、周りは外国人が多いように見えますが、日本語を理解できる人もいるかもしれません。
そこでAさんが、Bさんにあらかじめ決めておいた合図を送ります。(動作でも、何か特別な言葉でもOKです。)その合図は、どういう言語(この言語はあらかじめ決めておいた日本語を暗号的に使うなど工夫されたもの…「あ→い・い→う…ん→あ」など、五十音の並びを1個ずらして会話するなど…)を使うかを示しているものになります。BさんがOKサインを出すと、Aさんは合図に則った言語でBさんに話しかけ、二人の間でのみ会話は成立し、その言語は周りの人には何を言ってるのか、わからない。という状態になります。
Aさんと、Bさんの間に仮想的な「糸でんわ」を敷いて、会話をしているとイメージしていただけたら良いかと思います。ですから、「仮想プライベートネットワーク」と呼ばれるのです。インターネットという大規模網に、仮想的に特定の個人が会話をするための細い通信網を作って、外部に漏れないようにした…それがVPNという技術を使ったセキュリティ対策ということです。
VPNの脆弱性を狙った攻撃とはなにか?
そんなに単純なもので大丈夫か?と、思われるかもしれませんがコンピュータの世界は、それほど難しいことはやってないってことです。正確に説明すると、もう少し複雑な構造になりますが、わかりやすくするために「置き換え」て説明しました。概念的なことはこれで説明がついてしまいます。
では、このような対策を施しても脆弱性がある…脆弱性を狙った…とは、何を意味しているのか…それを解説します。
これもまた、単純で先ほどの例のように「あ→い、い→う」という方法は、セキュリティ対策機器によって違っていまして、Z社の機器はこの方法を採用しているが、X社は別の暗号化方式をとっていて共通ということはありません。が、Z社の機器が世の中に普及して利用者が多くなると、攻撃者はどういう方式で会話をしているのかを調査するのです。そして、ついに「あ→い」になっていると気がつくのです。
これでは、会話が筒抜けになってしまいます。このような事態を脆弱性がある(発見された)と表現されるようになります。売れている製品に脆弱性がよく発見されるのは、利用者が多いと攻撃者にとって多くのターゲットが存在することになるので、攻撃効率が良いということになるからです。
VPNの盲点:よく聞く言葉は特別じゃなくなる
VPNは設定も容易で低コストで導入できることから、中小企業でもよく使われています。が、よく使われている機器がセキュリティ対策の盲点にもなるのです。暗号化した言語で会話をしても、ずっと聞いてて耳慣れてしまうと、そのうち会話が聞き取れるようになってしまう…そんな感じでイメージしていただけたらいいかと思います。
セキュリティ対策のメーカーも、色々な工夫を凝らしていますが、攻撃者とのイタチごっことも言える様相になっている感は否めません。でも、安心してください。会話を盗み聞きされないための対策はあります。これをやっておけば、脆弱性がある状態を回避できます。
【必須!】VPNのセキュリティリスク対策
VPNを本来の機能を発揮させるべく稼働させる(脆弱性のない状態)にはやることは一つだけです。
最新バージョンへのアップデート
ファームウェア、ソフトウェアを常に最新の状態にアップデートして稼働させるということです。今まで使っていた暗号化した言語が、攻撃者に解読されてしまっているなら、別の暗号方式を用いた言語にする必要があります。それがアップデートということです。
よく売れているセキュリティ対策ツールは、ベンダーから脆弱性の情報やアップデートパッチが適宜、配布されております。それを無視して、現状のまま稼働させていると、会話が筒抜け(実際には、不正なアクセスで社内のネットワークに侵入されてしまう)になってしまうのです。アップデートを怠ったために、発生したインシデントが世間を騒がせるニュースとなり、メディアでも報道されることになっていました。
これらの事例と対策については、以下の記事でも解説をしております。
SOCサービスを利用する
アップデートをしておけばいいんですね?それなら簡単です。わかりました!ということなのですが、中小企業においては、この簡単なことがなかなかできない…だから、サイバー攻撃の被害に合ってしまうのです。セキュリティパッチがいつ配布されて、そのパッチを適用する意味や、すぐにやる必要があるのかどうか…パッチによっては、今まで使用していたアプリケーションが使えなくなってしまう、機器の設定が初期値に戻って再設定が必要となる(設定はベンダーがやったので、自社で設定できる要員がいない…)など、判断するための知識なども必要になってくるのです。
知識よりも、中小企業のIT業務を担っている人が兼務が多く、注意深くIT情報をキャッチするなどしている時間はないですし、アップデートするために機器を停止すれば、その時間帯はインターネットが使えなくなります。そうすると、作業は夜か土日…運用面での負担が大きくなり、結果として放置されるということは決して少なくないのです。
自社でやろうとせずに、SOCサービスを利用するという選択肢もあります。私の個人的な意見としては中小企業でIT専任が不在でしたら、外部に委託する方が安心を得ることができます。中小企業向けの安価なSOCサービスもありますので、検討してみたらいかがでしょうか。
こちらに、解説記事があります。
VPNをIT用語抜きでわかりやすく解説しました。細かい技術的な部分については、あえて深く触れることはしておりmせんので、VPNの概念と考え方・手法についてご理解いただけたのではないかと思います。
IT用語はアルファベットの略称などが多く、理解し難いものが多々あります。そんな時は「なにか日常的なものに例えて、私にも解るように説明してもらえませんか。」と、言ってみてください。恥ずかしいことではないです。説明ができなければ、ITベンダーの営業マンの方がずっと恥ずかしいと思います。
最後までお付き合いいただきありがとうございました。
また、お会いしましょ。
