VPNとは？使い方と代替ソリューション

VPN とは仮想プライベートネットワークのことで、ユーザーがウェブベースのサービスやサイトに接続する際に、セキュリティと匿名性を提供します。VPNは、ユーザーの実際のパブリックIPアドレスを隠し、ユーザーのデバイスとリモートサーバー間のトラフィックを「トンネリング」します。ほとんどのユーザーは、追跡を避けるために匿名VPNサービスにサインアップしてから、リスクの増加によりデータの安全性が脅かされる公共のWi-Fiを使用することが多いです。

ウェブサーバーに接続するとき、ブラウザはドメイン名サービス（DNS）サーバーからドメイン名の検索を行い、IPアドレスを取得して、サーバーに接続します。多くの場合、この接続はSSL/TLSにより暗号化されています。SSL/TLSを使用しても、公衆Wi-Fiに対する数々の攻撃は可能です。例えば、巧妙な攻撃者は、データの暗号化に使用するTLSのバージョンにダウングレードを行い、ブルートフォース（総当たり攻撃）に対して脆弱な通信にすることができます。

VPNを接続に追加すると、VPNサービスはデータを独自の暗号化でパッケージ化してネットワークに送信します。標的となるサーバーには、ユーザーの公開IPアドレスではなく、VPNの公開IPアドレスが表示されます。万が一、攻撃者が接続をハイジャックしてデータを盗聴したとしても、VPNの優れた暗号化により、暗号的に安全でない接続でデータを開示するブルートフォースアタックの可能性を排除することができます。

VPN設定の最初のステップは、自分に合ったプロバイダを見つけることです。VPNプロバイダはいくつかありますが、それぞれに長所と短所があります。例えば、すべてのデバイスがサポートするプロトコルを持つプロバイダが必要です。また、セットアップが簡単で、どの地域からも利用でき、公衆Wi-Fi利用時の十分なセキュリティのために暗号化された安全な暗号を提供している必要があります。

優れたVPNと利点の少ないVPNを区別する主な要因は、1つのIPアドレスのユーザー数です。スパマーや悪意のある攻撃者もVPNを使って接続を匿名化するため、VPNのIPアドレスをブロックするサービスプロバイダもあります。サービスプロバイダは、VPN IP アドレスのリストをダウンロードし、ローカルサービスへのアクセスからブロックすることができます。優れたVPNは、プライベートIPアドレスを提供し、コストはかかりますが、インターネット上の自由度と匿名性を高めることができます。

VPNを選択したら、次にそれを使用するためにデバイスを設定する必要があります。これらの設定は、各VPNプロバイダに固有のものであるため、それぞれのステップ毎の説明に従い、設定します。また、VPNプロバイダによっては、セットアップを支援するインストールファイルを提供しているところもあり、OSの設定に不慣れな場合は、このファイルを利用すると便利です。

VPNは、あなたのコンピュータと対象となるサーバーの間に介在します。VPNは、あなたのデバイスとサーバー間の通信を暗号化するためにブラウザに頼るのではなく、独自の暗号化を追加し、独自のサーバーを経由して通信をルーティングします。VPNサービスに関して、「トンネリング」という言葉をよく耳にします。これは、VPN サービスが、あなたとターゲットとなるサーバーの間に「トンネル」を開くというものです。そして、VPNはあなたのデータをその「トンネル」を通して送信し、ネットワーク上の他の誰もがあなたのデータを盗聴したり乗っ取ったりすることができないようにします。

技術的には、VPNは、あなたのデバイスが、公衆Wi-Fiを含むローカルネットワークではなく、VPNネットワーク上で通信する接続を設定します。あなたは、保存されている資格情報を使用してVPNサーバーで認証し、VPNサーバーへの接続を受信します。トンネルを設定すると、あなたとVPNサーバーの間で、データを暗号化し、盗聴者からデータを保護する仮想ネットワーク接続を使用します。SSL/TLS接続を使用する場合、データは暗号化され、さらにVPNサービスを使用して再度暗号化されます。通信に二重の暗号化が加わり、データの安全性が向上するのです。

VPNサーバーに接続した場合、接続先のサーバーに表示されるIPアドレスは、VPNサーバーのIPアドレスであることを覚えておいてください。VPN サーバーが仮想的または物理的に別の国にある場合、ターゲットの Web サーバーは、あなたの所在地を VPN の国の所在地として識別します。

VPN を設定するには、単にブラウザを使用するのではなく、VPN を使用するようにOSを設定する必要があります。一度設定すれば、インターネットや遠隔地のウェブサービスへの接続は、すべてVPNサーバーを使用するようになります。VPN サーバーへの接続に使用する設定は、選択したサービスによって異なります。WindowsでVPNを設定するには、次の手順に従って行います。

検索バーに「VPN」と入力すると、「VPN設定」ウィンドウが表示されます。

「VPN接続の追加」をクリックすると、VPN接続に必要な情報を表示するウィンドウが表示されます。

このウィンドウに入力する情報は、ご利用のサービスプロバイダによって異なります。すべての情報は、アカウントのセットアップ時に提供されます。プロバイダからインストールファイルが送られてきた場合は、手動で設定やプロトコルのインストールを行うのではなく、それを使ってサービスを設定してください。

企業にとって、VPNは必ずしも最良の選択肢ではありません。リスク層が追加され、不審な動きがないか監視する必要があります。これは、安全なシステムで使用される「特権なし」モデルを破壊する追加リスクです。VPNと連携する代わりに、企業は次のような選択肢を取ることができます。

識別とアクセス管理 (IAM) の導入

IAMプロバイダは、ネットワーク認証情報をリモートサーバーに組み込み、安全な接続を企業環境の一部として実現します。例えば、Amazon Web Servicesは、リモートサーバーとの接続に使用できるIAMサービスを持っています。

特権アクセス管理 (PAM)

PAMを導入することで、企業はより高いセキュリティを必要とする高レベルのクレデンシャルを作成することができます。クレデンシャル戦略には、キーの頻繁なローテーション、12文字のパスワード、システムの難読化、より優れたデータアクセス制御が含まれます。

ベンダーの特権アクセス管理 (VPAM)

VPAMシステムは、ベンダーやサードパーティーコントラクターにサーバーへの直接アクセスを許可する代わりに、従業員と他のクレデンシャルを分離します。これらのクレデンシャルを分離することにより、組織は、クレデンシャルを必要以上に保護しない可能性のあるサードパーティベンダーや請負業者の活動をより詳細に監視することができます。

VPNは企業組織においても使用が限定的です。VPNインフラは、クラウド アプリケーションやリモートワーカーに依存する組織にとって不可欠なゼロトラスト サイバーセキュリティ モデルをサポートしていません。

今日、生産性を高めるには信頼性の高いクラウドホスト型アプリケーションやデータへのアクセスが不可欠です。ゼロトラスト ネットワーク アクセス（ZTNA）は、ユーザーとアプリケーション間の接続を仲介する信頼できるブローカーとして機能します。ZTNAはリソースをインターネットから隔離し、外部の脅威から保護します。

企業組織はVPNの代わりにソフトウェア定義の境界（SDP)の導入を検討すべきです。SDPはネットワークの保護に焦点を当てるのではなく、以下の方法でユーザー、アプリケーション、およびそれらの間の接続を保護します。

• ユーザーとデバイスの両方が認証された後にのみアクセスを許可
• きめ細かなデータアクセス許可のため、各デバイスに固有の識別子を割り当てる

SDPは詳細なアクセス権限とデバイスの識別を必要とするため、インシデント対応と分析に役立つ詳細な監査証跡を生成します。