No328 個人向けVPNと組織向けのVPN
前回はVPNについて書きました。
「No327 VPNが狙われる3つの理由」
https://note.com/egao_it/n/na25cc3d31e94
ですが、読者の中には、今まで自分が認識していたVPNと全く違ったことが書かれていて混乱された方もおられたかもしれません。
というのは、個人向けにもVPNサービスというのがあるのですが、そのサービス内容が前回の話とまるでかみ合わないのです。
同じVPNという技術のはずが、なぜこんなことになっているのでしょうか?
今回はその事情についてお話をします。
GoogleでVPNを検索すると...
GoogleでVPNをキーワードとして検索すると、個人向けのVPNサービスの紹介ページがたくさん表示されます。
https://www.google.co.jp/search?q=vpn
・2023 年おすすめVPNトップ10 - 2023 ベスト10
・ExpressVPN:速くて安全 - 30日間返金保証
・NordVPN: 接続して楽しもう - 世界中。24時間いつでも安全。
といった具合で、前回のお話とは違い個人向けサービスにしか見えません。
ところが、検索キーワードを「VPN装置」 とすると結果はガラリと変わります。
https://www.google.co.jp/search?q=vpn装置
・VPNとは?導入のための機器・装置も紹介
・【2023年版】VPNルータ3選・メーカー10社一覧
・VPN導入に必要な装置について解説!
今度はいかにもビジネス向けな印象のタイトルが並びます。
VPNという略語が他にあるのか?となりそうですが、どちらも Virtual Private Networkの略です。
VPNというのは、インターネット上でのやりとりを全て暗号化してしまおう、という発想のソフトウェアです。
これは、個人向けのVPNサービスでも、組織向けのVPN装置でも全く同じです。
ところが、VPNをどのカットで見るかによってまるで違うサービスに見えてしまうのですね。
今回はVPNという仕組みを解説し、さらに組織視点と個人視点でサービスの提供がどのように違うのかについてお話します。
組織でのVPNの使われ方
最初に、会社などの組織でのVPNの使われ方を説明します。
通常は社内にVPNサーバを置き、端末(パソコンやスマホ)にもVPNサーバ対応のVPNソフトを入れておきます。
端末からVPNでの接続要求をすると、VPNサーバと端末側のVPNソフトは以降の全ての通信を暗号化して送受信をしますので、以降の通信内容は盗聴できなくなります。
VPNサーバはログイン用のIDとパスワードを要求し、それが正しければ社内のパソコンやサーバへのアクセスを許可します。(最近は、さらにワンタイムパスワードなどで多要素認証をします)
つまり、次のような接続図になります。
端末(VPNソフト) →→(1)→→ VPN装置 →→(2)→→ 社内のパソコンやサーバ
(1) 端末とVPN装置間(インターネット)はVPNで暗号化する
(2) 社内LANは暗号化しない。(する場合もある)
VPNが普及するまでリモートワークが難しかった理由
「あれ?ウチはVPNを導入してないけど、社内サーバにログインして、日報とか見積書を出せるよ」という方がおられるかもしれません。
実際、VPNなしで会社などの組織内情報を見ることはできますし、VPNが一般化するまでは、そちらが一般的でした。というか他に方法がなかったのですね。
ですが、この方式には大きな問題がありました。
それは、社内にあるパソコンやサーバを直接見ることができないという問題です。
通常、社内で作業を行う場合はOfficeソフトや業務用ソフトを利用します。
技術者であれば、CADなどの研究開発用ソフトや専用ソフトを使う場合も多いでしょう。
ですが、この方式ではChromeやEdgeといったブラウザでログインすることになりますので、ブラウザでできることしかできません。
ブラウザ上で使える日報システムや見積書発行システムを導入済であれば、それが使えますが、専用ソフトを使うことはできなかったのです。
一方で、VPNではブラウザだけでなく、あらゆる通信手段をまとめて引き受けてくれます。その中には前回「使用禁止」と書いたリモートデスクトップ機能も含まれます。
前回も書きましたが、リモートデスクトップ機能を使えばパソコンを遠隔繰作でき、専用ソフトも自由に使えます。
だからといって、これを社外からアクセスできる場所に置くのはあまりに危険です。
社内情報が入ったノートパソコンを紛失したら大問題になりますよね。「IDとパスワードを設定してあるから何も心配はない」とはなりませんよね。
それと同じことです。
リモートデスクトップを使うまでの手順は次の通り。
1. VPNの認証を経て社内へのアクセス権を得る。
2. リモートデスクトップ機能で社内にあるパソコンを呼び出す。
3. (あたかも社内の自席にいるかのように)社内のパソコンにログインできる。
VPNという強いガードがあればこそ、リモートデスクトップのプロトコル(通信手順)も安全に使えるというわけです。
VPNのメリットはリモートデスクトップだけではありません。
ファイルサーバへのアクセスもVPNなしでは危なすぎますが、VPNを経由すれば安全に使えます。
VPNがなければリモートデスクトップやファイルサーバへのアクセスは難しかったわけで、これもテレワークがコロナ禍以前に普及しなかった理由の一つかもしれません。
個人でのVPNの使われ方
一方で、個人向けのVPNも同じ技術を使っていますから、パソコンなどの端末上でVPNソフトを動かす点は何も違いません。
違うのは、接続先です。
会社などの組織ではなく、VPNサービスを提供している会社に接続するのです。
つまり、次のような接続図になります。
端末(VPNソフト) →→(1)→→ VPN事業者 →→(2)→→ 目的となるサーバ
(1) 端末とVPN事業者間(インターネット)はVPNで暗号化する
(2) 目的となるサーバとの間(インターネット)はHTTPSで暗号化する
組織がVPNを使うのは、リモートデスクトップ機能や、ファイルサーバへのアクセスといった社内情報への安全なアクセスが大きな目的でした。
個人向けサービスの場合は目的がまた違ってきます。
まず、端末とVPN事業者の間での盗聴防止ができます。
上図の(1)の部分で、フリーWi-Fiのように盗聴されるかもしれない通信路を使う場合、VPNによって暗号化をしておくと安心感があります。
次に、目的となるサーバへのアクセスを隠すことができます。
通常は、端末から直接目的のサーバにアクセスしますから、相手のサーバからは誰が通信してきたのかがわかります。
ですが、特に匿名性を必要とするセンシティブな情報(例えば犯罪者の告発)を送付したい時には、相手サーバにも知らせたくない場合があります。
こういった場合に、VPN事業者が本人になりかわってアクセスをすることで、本人情報を出さないようにできます。(プロキシサーバと呼ばれます)
とはいえ、VPNサービスの利用者がこんな使い方をしているとはとても思えません。
おそらくはグレイゾーンでの利用方法が大半なのでしょう。
例えば、日本国内でサービス提供されていないサービス(ゲームなど)をやりたい場合に、VPN事業者がアクセス元を詐称する形でサービスを受ける、といった利用方法が考えられます。
まとめ
VPNというサービスは組織向けと個人向けがあります。
前回は、組織内部の情報を使う前提でVPNが狙われているというお話をしましたが、個人向けのVPNサービス事業者もたくさん出てきています。
ところが、この両者のサービス内容があまりに食い違っていて、まるで違う技術であるかのような誤解すらしかねない状況です。
実際のところは、視点が異なるため、提供しているサービスが大きく異なって見えるだけで、内部で使われている技術はおおむね同じです。
組織向けでは、VPN装置の先にある内部情報をいかに守るかを主眼としているのに対して、個人向けサービスでは、手元の端末をいかに外部に見せなくするかを主眼としています。
そのため、同じVPNという技術であっても切り口によって全く違ったサービスに見えているというのが実際のところです。
このような用語の多重化はあまり好ましいことではありませんので、両方のサービスが異なる呼称となってくれれば良いのですが、今のところ双方が定着してしまったようで、混乱は当面続くことになりそうです。
今回は、個人向けと組織向けという二つのVPNについてお話しました。
次回もお楽しみに。
このNoteは筆者が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html
また、公式サイトでも最新版を公開していますので、そちらもどうぞ。
この記事が気に入ったらサポートをしてみませんか?