Network Security

VPN

Virtual Private Network(仮想プライベートネットワーク)

Category: Network Security / Updated: 2026-05-26

📖

Overview

VPN(Virtual Private Network:仮想プライベートネットワーク)とは、インターネットなどの公衆ネットワーク上に、暗号化された仮想的な専用通信路(トンネル)を構築する技術です。物理的に離れた拠点間や、リモートワーカーと社内ネットワーク間で、あたかも専用線で直接接続されているかのような安全な通信を実現します。

VPNの核となる技術は「トンネリング」と「暗号化」です。トンネリングは、元のパケットを別のプロトコルで包み込む(カプセル化する)ことで、公衆ネットワーク上でプライベートな通信経路を作ります。暗号化はその通信内容を第三者から読めないようにする技術です。

コロナ禍以降のリモートワークの急速な普及により、VPNの利用は爆発的に増加しました。しかし同時に、VPN機器の脆弱性を狙った攻撃も激増しており、VPNは企業セキュリティにおける最大の攻撃対象の一つとなっています。2020年以降、日本国内でもVPN機器の脆弱性に起因する大規模な情報漏洩事件が相次いでいます。

こうした背景から、VPNに依存しない「ゼロトラストネットワーク」への移行を進める企業が増えていますが、VPNは依然として多くの組織で不可欠なインフラであり、適切な管理と運用が極めて重要です。

🔬

Details

VPNの主要プロトコル

  • IPsec(Internet Protocol Security):ネットワーク層で動作する暗号化プロトコル群。IKE(Internet Key Exchange)による鍵交換とESP(Encapsulating Security Payload)による暗号化・認証を行う。拠点間VPNで広く使用される。
  • SSL/TLS VPN:Webブラウザで使用されるSSL/TLSプロトコルを利用したVPN。専用クライアントソフトが不要な場合が多く、リモートアクセスVPNとして普及。ポータルVPNとトンネルVPNの2種類がある。
  • WireGuard:2020年にLinuxカーネルに統合された比較的新しいVPNプロトコル。約4,000行のシンプルなコードで実装されており、IPsecやOpenVPNと比較して高速かつ低遅延。最新の暗号技術(ChaCha20、Curve25519)を採用。
  • OpenVPN:オープンソースのVPNソリューション。SSL/TLSベースで、柔軟な設定が可能。TCP/UDP両方に対応し、多くのプラットフォームで動作する。
  • L2TP/IPsec:L2TP(Layer 2 Tunneling Protocol)とIPsecを組み合わせたプロトコル。L2TP自体には暗号化機能がないため、IPsecと併用する。

VPNの接続形態

  • サイトツーサイトVPN(拠点間VPN):本社と支社など、固定された拠点間を常時接続するVPN。VPNゲートウェイ(ルーター)同士が接続を維持し、各拠点内のユーザーは意識することなくVPNを利用できる。
  • リモートアクセスVPN:個々のユーザーが自宅や外出先から社内ネットワークに接続するためのVPN。VPNクライアントソフトをインストールし、認証を経て接続する。

スプリットトンネリング

スプリットトンネリングとは、VPN接続時に、社内向けの通信のみVPNトンネルを経由させ、インターネット向けの通信は直接インターネットに出す構成です。VPN経由のトラフィックを削減し、回線負荷を軽減できる反面、インターネット経由の通信がセキュリティ制御を迂回するリスクがあります。

VPN機器の主要ベンダー

企業向けVPN機器の主要ベンダーとしては、Fortinet(FortiGate)、Palo Alto Networks(GlobalProtect)、Cisco(AnyConnect)、Pulse Secure(現Ivanti Connect Secure)、SonicWall、Citrix(NetScaler Gateway)などがあります。

🛡️

Security Measures

  • 01
    VPN機器のファームウェアを常に最新に保つ:VPN機器の脆弱性を突いた攻撃が多発しているため、ベンダーが提供するセキュリティパッチを速やかに適用する。特に緊急度の高い脆弱性は公開後24時間以内の対応を目指す。
  • 02
    多要素認証(MFA)の導入:ID・パスワードだけでなく、ワンタイムパスワード(OTP)やクライアント証明書など、複数の認証要素を組み合わせることで、認証情報の漏洩による不正アクセスを防ぐ。
  • 03
    不要なポートやプロトコルの無効化:VPN機器の管理画面へのアクセスを制限し、使用しないプロトコルや機能を無効にすることで攻撃対象面を最小化する。
  • 04
    接続ログの監視と異常検知:通常とは異なる時間帯や地域からの接続、大量のログイン失敗など、不審なアクティビティを検知するための監視体制を構築する。
  • 05
    アクセス権限の最小化:VPN接続後にアクセスできるリソースを業務上必要な最小限に制限する。全社ネットワークへのフルアクセスを許可しない。
  • 06
    ゼロトラストへの段階的移行:VPNのみに依存せず、ZTNA(Zero Trust Network Access)ソリューションの導入を検討し、段階的に移行する。
⚠️

Incidents

📋 Pulse Secure VPNの脆弱性を悪用した攻撃(2019年〜)

2019年にPulse Secure VPN(CVE-2019-11510)に認証バイパスの脆弱性が発見されました。この脆弱性により、攻撃者は認証なしでVPN機器上のファイルを読み取ることが可能となり、ユーザーの認証情報が大量に窃取されました。日本国内でも多くの企業が被害を受け、約900社分のVPN認証情報がダークウェブ上に公開される事態となりました。

📋 Fortinet FortiOSの脆弱性と認証情報流出(2020年〜2021年)

Fortinet社のVPN製品FortiOSにパストラバーサルの脆弱性(CVE-2018-13379)が発見され、約50万件のVPN認証情報が攻撃者のフォーラムで公開されました。パッチ適用後でも、パッチ適用前に窃取された認証情報が使用される可能性があるため、パスワードの変更も必須とされました。

📋 大阪急性期・総合医療センターのランサムウェア被害(2022年)

2022年10月、大阪急性期・総合医療センターがランサムウェア攻撃を受け、電子カルテシステムが約2か月間使用不能になりました。攻撃の侵入経路は、同院に給食を提供する事業者のVPN機器の脆弱性でした。サプライチェーンを通じたVPN経由の攻撃が、社会インフラにまで重大な影響を与えた象徴的な事例です。

🔗

Related Terms

SSL / TLS ゼロトラストネットワーク プロキシサーバー ファイアウォール