- 社外から社内システムにリモートアクセスするようなケースで VPNは役立ちます。
- しかし、個人のスマートフォンなら、使い方によっては必要はないことが多いです。
- VPNはインターネット通信の途中に入る処理なので、通信がつながりにくくなったり、遅くなることもあります。
もちろん、フリーWi-Fiを利用したいとか、外国で通信情報を秘匿したいなどの理由があれば別です。
しかし、セキュリティを重視する人は、そもそも公衆Wi-Fiを利用しないように心がけていることが多いので、「セキュリティ対策」としてVPNが必要なケースはあまりないです。
よくVPNは「秘密のトンネル」とか言うけど、今ひとつ必要性がわからないんだよね。
サイトのセキュリティ保護とかとどう違うんだろう?
1. VPNを勧められたけど……
携帯ショップにスマートフォンの買い替えに言ったら、「セキュリティのため」とVPNの月額サービスを勧められました。
VPNと言えば、リモートワークなどで仕事用のパソコンに入れる、というのは聞いたことがありますが、個人のスマートフォンでは必要ですか?
セキュリティアプリの機能の一つに「インターネットVPN」があります。
しかし、個人のスマホで、主に自宅のWi-Fiやモバイルデータ通信を使っている場合には、VPN機能の必要性と薄いです。
また、かえって通信速度が遅くなったり、一部のアプリが正常に機能しなくなることもあるので注意が必要です。
スマホのもともとのセキュリティが強化されてウイルス対策だけでは仕事にならないから、VPNに参入してきている面もあるのかな。
月額課金サービスには、肯定的な情報や製品紹介が氾濫しているのはどうしてなんだろう。
1-1. スマホのセキュリティアプリのVPN機能の使い道
コロナ禍以降 テレワークが一般的になって、「VPN」という言葉を目にすることも増えたよね。
そもそも、VPNって何のために使うの?
もともとインターネットVPNの主な用途は、リモートアクセスです。
しかし、スマートフォン用のセキュリティアプリでは、「抱き合わせ」でVPN機能が提供されていることがあります。
「マカフィーセキュリティ」は「セキュアVPN」では、以下の機能を謳っています1。
- 銀行グレードのWi-Fi VPN暗号化で個人データとロケーションを保護します
- 保護されていない公共Wi-Fiホットスポットからモバイルデバイスを保護します
- さまざまな国に接続し、ロケーションとIPアドレスを変更できます
これは、インターネットVPNの基本的な機能として、通信データの暗号化と IPアドレスの隠蔽があるため、公衆Wi-Fiのセキュリティ対策としても利用できるからです。
1-2. VPNの利用例(公衆Wi-Fi)
VPNを個人で使う意味はどんなこと?
たとえば、スマートフォンユーザーのBさんが、カフェで公衆Wi-Fiを使ってインターネットに接続するとします。
公衆Wi-Fiは便利ですが、セキュリティ面では不安が残ります。
同じネットワークに接続すれば、悪意のある第三者でもウェブサイトのURLなどのアクセス情報を傍受できてしまいます。
また一部のアプリの通信は暗号化されていないものもあり、内容を盗み見られる可能性もあります。
そこで、Bさんは公衆Wi-Fiに接続する前にスマートフォンにインストールしたVPNアプリ(VPNクライアントアプリ)を起動します。
VPNアプリは、VPNを提供する会社(VPNサービスプロバイダー)のVPNサーバーと接続します。
VPN機能を有効にすると、スマートフォンからインターネットに発信される全てのデータが、いったんVPNサーバーを経由して送信されます。
そこで、接続先のウェブサイトなど外部から見ると、アクセス元のIPアドレスは、BさんのスマホではなくVPNサーバーに置き換えられます。
たとえば、Bさんがインターネットバンキングにアクセスする場合、スマートフォンとインターネットバンキングのサーバー間の通信は全てVPNトンネルを通過します。
公衆Wi-Fiを監視している第三者がいても、暗号化された通信内容は読み取られません。
ノートンセキュアVPNなど、セキュリティアプリにはVPN機能が追加されていることが多いです。
また、個人向けの大手VPNサービスプロバイダーとしては、NordVPN、ExpressVPN、ProtonVPNなどがあります。
2. VPNの主な用途(リモートワーク)
しかし、ここまで説明してきたのは、「インターネットVPN」。
VPNのうちの一つの形態です。
VPNには、ほかにも企業向けの大掛かりな形態があるので、それの説明と混同しないようにしましょう。
VPNの主な用途は、リモートワークです。
自宅のパソコンを仮想的な社内ネットワークにつないで、社内で作業するのと同じようなことができるようにします。
たとえば、会社員のAさんが自宅から会社のネットワークにリモートアクセスして仕事をする場合を考えてみましょう。
Aさんが自宅のパソコンから社内ネットワークにアクセスするときには、まず「VPNクライアントソフト」を使って会社のVPNサーバーに接続します。
すると、自宅のパソコンには、あたかも社内ネットワークに直接つながっているかのようなIPアドレスが割り当てられます。
これにより、Aさんは社内のファイルサーバーやイントラネットにアクセスできるようになります。
このとき、VPNクライアントは、やり取りするデータは全て暗号化して送受信します。
ちょうど、第三者から覗き見られない「仮想的な専用トンネル」をインターネット上に作ったことになります。
この仕組みにより、場所を問わずに社内リソースにアクセスできるようになり、柔軟な働き方が実現できるのです。
企業向けのVPNサーバは、以下のような企業が提供しています。
- Cisco Systemsや Juniper Networksなどのネットワーク機器メーカーやNTTコミュニケーションズ、KDDIなどの通信事業者。
- Check Point Software Technologiesなどのセキュリティソフトウェア企業。
- Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platformなどのクラウドサービスプロバイダー。
2-1. 「仮想専用ネットワークからこんにちは」(暗号化されたプロキシ)
あれ?
ということは、個人のインターネットVPNでは、リモートワークみたいに仮想専用ネットワーク内の作業では使っていないんだね。
そうです。
基本的には、スマホのVPNアプリでは、仮想専用ネットワークから外部にアクセスするのが主で、ネットワーク内での作業にはほとんど使っていません。
ですので、「仮想的な専用ネットワーク」を構築するというよりは、アクセス先情報なども含めた「暗号化された中継通信」と考えた方が実態に近いです。
インターネットVPNは、ユーザーとインターネット間で仲介役として機能します。
そのため、「暗号化されたプロキシ(Proxy:中継)」の主な特徴は一種と考えることができます。
ただし、VPNはデバイス全体のトラフィックを暗号化しますが、一般的なプロキシは特定のアプリケーションやブラウザのトラフィックのみを処理することが多いです。
2-2. VPNのせいでつながりにくくなることもある
VPNは通信を中継するので、デメリットがあります。
VPNサーバーの処理能力によっては、インターネット通信速度が低下したり、バッテリー消費が速くなったりする可能性があります。
また、一部のアプリやサービスでは、VPNを利用すると正常に動作しないことがあります。
さらに、特に無料のVPNサービスの中には、ユーザーの個人情報を収集しているものもあるため、信頼できるサービスを選ぶ必要があります。
3. HTTPS、Wi-Fiの暗号化があれば十分
以下のような場合は、VPNを使わなくても問題ありません。
携帯キャリアのデータ通信(4Gや5Gなど)は暗号化されており、比較的安全です。
HTTPSで保護されたサイトに、セキュリティの適切に設定されたWi-Fiを通じてアクセスするなら、VPNを使う必要性は低いと言えます。
- 訪問するWebサイトがHTTPSを使用している。
- Wi-Fiネットワークが暗号化されている(WPA2またはWPA3)。
- Wi-Fiのパスワードが適切に管理されている。
- Wi-Fiルーターのファームウェアが最新の状態に保たれている。
HTTPSのセキュリティ保護があるサイトならVPNは不要なのでは?
確かに、信頼できるHTTPSサイトを閲覧する分には、VPNは必要ありません。
通信内容はTLS/SSLによって暗号化されているからです。
3-1. それでもVPNを使う理由(プライバシー)
一方、カフェやホテルなどの公衆Wi-Fiを利用する場合は、VPNを使うことで安全性を高めることができます。
- 公衆無線LANを使う場合
カフェ、空港、ホテルなどの公衆無線LANは、セキュリティが脆弱な場合があります。 - 地理的制限のあるコンテンツにアクセスする場合
VPNを使えば、自分の位置情報を隠して、他の国や地域向けのコンテンツにアクセスできる場合があります。 - 訪問するサイトの信頼性が不明な場合
- プライバシーを重視する場合
VPNを使えば、インターネット接続プロバイダ(ISP)などから自分のオンライン活動を隠すことができます。
特に暗号化されていない公衆Wi-Fiでは、VPNは強力な予防策となります。
VPNとTLS/SSLを組み合わせると、次のような効果があります:
- 二重の暗号化による広範囲な保護:
VPNによってIPパケット全体が暗号化され、さらにTLS/SSLによって個々のアプリケーション層の通信が暗号化されます。
VPNは、TLS/SSLに対応していないアプリケーションやプロトコルの通信も保護します。
ブラウザ以外のアプリケーション(メールクライアントなど)では、TLS/SSLが使われていない場合があります。 - 通信元の秘匿:
HTTPSは通信内容を暗号化しますが、通信元(IPアドレス)は隠しません。
VPNを使えば、接続元のIPアドレスを隠すことができます。
TLS/SSL(Transport Layer Security/Secure Sockets Layer)は、主にWebブラウザとWebサーバー間の通信を暗号化するためのプロトコルです。
TLS/SSLは、トランスポート層(OSI参照モデルの第4層)で動作し、HTTP、SMTP、FTPなどの上位プロトコルに対してセキュリティを提供します。
具体的には、WebサイトのURLが「https://」で始まる場合、そのサイトはTLS/SSLで保護されています。
3-2. 個人、仕事でのVPNの必要性の違い
多くの企業では、セキュリティ対策としてVPNの利用を義務付けています。
特に、機密情報を扱う場合や、リモートワークを行う際には、VPNは欠かせません。
会社が指定するVPNサービスを利用することで、安全に社内ネットワークにアクセスできます。
一方、個人用のスマートフォンでは、VPNを常時利用する必要性は高くないと言えます。
特に、自宅や職場のWi-Fiなど、もともと安全性の高い回線を利用する場合には、VPNを使わなくても問題ないからです。
4. 【結論】リモートワークなら必要だけど個人用なら任意でよい
企業と個人でVPNの必要性に違いがあるのはどうして?
「必ず要る」から必要なんじゃないの?
個人と企業では、リスクの性質と影響範囲に違いがあります。
企業活動では、一人のセキュリティリスクが組織全体に及ぶ可能性があるからです。
企業活動では、業務上の通信には、営業秘密、財務情報、顧客データなどの極めて重要な情報が含まれています。
つまり、個々の社員が取り扱う情報の機密性や重要性が高いのです。
たとえば、企業の新商品などの機密情報が漏洩すると、他社に真似をされたりして、その企業の売上にマイナスの影響がありえます。
また、顧客の個人情報が漏洩すると、もっと深刻です。
信頼性が損なわれ法的責任も問われ、企業存続にも関わる重大な問題になり得ます。
そこで、個人情報保護法や業界固有の規制によって、一定レベルのセキュリティ対策を義務付けられていることがあります。
以上のように、個人と企業では、情報の性質、リスクの影響範囲、法的責任などが大きく異なります。
このため、VPNの必要性についても、個人と企業で大きな違いが生じるのです。
個人の場合は状況に応じてVPNを使えば十分ですが、企業の場合は、セキュリティ、コンプライアンス、リスク管理の観点から、VPNの使用が不可欠だと言えるでしょう。
(補足)
- 「マカフィー セキュリティ: 安全なWifi接続&VPNアプリ」をApp Storeで –
- ウイルスバスター モバイル (iOS) au PAYアプリ利用時に「VPNサービスをオフにしてください」と表示される場合の対処方法 |トレンドマイクロサポート
- ウイルスバスター モバイル (iOS) Web脅威対策のVPNをオンにしているとネットワークの接続に遅延する・接続できない場合の対処方法 |トレンドマイクロサポート