自社に最適なVPNプロバイダーを選ぶための3つの質問：VPNの正しい選び方【後編】

各VPNプロバイダーは差別化のために多数の機能やサービスを用意している。だが自社に必要なものであるとは限らない。自社にとって必要なプロバイダーを選ぶにはどうすればいいのか。

[Nicholas Fearn，Computer Weekly]

　前編（有害なVPNの見分け方――こんなVPNプロバイダーには気を付けろ）では、セキュリティに寄与するどころかむしろ有害なVPNに注意する方法を紹介した。

　後編では引き続き、VPN選定時に確認すべき事項とVPNプロバイダーに問うべき3つの質問を紹介する。

関連記事

• 時代後れのVPNに代わるネットワークの構築
• 主要VPNサービスは危険？　VPNプロバイダーの資本や国籍に注意
• 掲示板への書き込みもバレバレ!?　VPNサービスに通信内容漏えいの脆弱性
• AndroidのVPNバイパス脆弱性で見直しを迫られるモバイルVPN対策
• Google Playで配信されているVPNアプリの84％でデータ漏えい？　その恐るべき理由

　VPNの購入に当たっては、オンライン調査を実施することが重要だ。こうした調査によってそのプロバイダーの歴史を垣間見ることができる可能性がある。「プロバイダーが過去に事件を起こしているかどうか。近い将来何を目指しているのか。こうした情報は危機に際してプロバイダーがどのように行動するかを物語っている。過去に事件があったこと自体は購入の妨げにはならないとしても、それをどのように処理したかは問題になる」（タガート氏）

　もう一つ確認しておきたい疑問は、VPNが提供する出口ノードの数だ。「各ノードはユーザーの使用場所となるVPNサーバを表す。従って、ユーザーが接続する地域にノードを有するプロバイダーを選択したい。ただし、ノードの数が速度と全体的なパフォーマンスに影響することは考慮する必要がある」

　特定のプロトコルが禁止されていないかどうかを確認することも重要だ。「これはトラフィックが調査されることを示す可能性がある。こうした調査は望ましくない。また、インフラがP2P（ピア・ツー・ピア）トラフィックを処理できないことも意味する。P2Pトラフィックが許可されないと、高い負荷の下でVPNが機能しない恐れもある」

　VPNは多種多様な機能を提供する。特に注意が必要な機能は強制停止スイッチだ。「VPNで保護される場合と保護されない場合を理解する必要がある。最悪のケースは、VPNアプリケーションに問題があり、ユーザーが保護されない状態で、しかもそのことを通知されずにネットサーフィンを続ける場合だ。強制停止スイッチは、全インターネットアクセスを停止してこうした状態を阻止する。強制停止スイッチは、特に技術に詳しくないユーザーには非常に便利な機能になる」

　タガート氏が最後に推奨するのは、VPNプロバイダーに決済方法と暗号通貨の使用可否を尋ねることだ。「自社の脅威モデルは堅牢（けんろう）な匿名性を求めるだろうか。暗号通貨での決済を認めるVPNプロバイダーもある。これにより決済の匿名性は高まる。とはいえ、暗号通貨を使っても取引が完全に匿名になる保証はない。暗号通貨を使っても、購入履歴からクレジットカード会社の名前が消えるだけのことだ」

その他の重要な考慮事項

　VPNプロバイダーが提供するさまざまな機能を理解すれば、自社に適したサービスを購入できる。UK Cyber Security Associationのリサ・ベンチュラ氏（CEO兼創設者）は次のように話す。「どのような場合でも、製品が持つ機能と最も使う可能性の高い機能をコストに照らして比較検討すべきだ。VPNの多くは他と差別化する機能を多数用意している。どのような機能が必要なのかを認識しなければならない」

　「検討すべき主なものには、ユーザーとプロバイダーのサーバ間に存在するサーバの数、各サーバの場所、サービスが許可する接続端末の数、端末を追加する場合に使えるサポート、プライバシーとログに関する考慮事項などがある。当然、価格も検討対象だ」

　ベンチュラ氏は、送受信可能なデータ量に上限があるかどうかも確認することを勧める。「無償枠と有償枠を用意しているVPNもある。無償枠では毎月一定量しか許可しない場合が多い」

　VPNの購入に当たって最も重要なのは、カーショップに出向いて車のルーフラックを選ぶのとは違うことを忘れないことだ。そう話すのは、Sophosのポール・ダックリン氏（主任リサーチサイエンティスト）だ。「あまりにも多くの企業がVPNを『アドオン』コンポーネントと見なし、ある程度機能すれば問題ないと考えている」

　「セキュリティの中で等しく重要な機能の一つとしてVPNを捉え、セキュリティシステムの他の機能で起きていることを認識してそれに基づいて動作するなど、自動的かつ積極的に他の機能と連携するVPNを選ぶようにする」

　One Identityのダン・コンラッド氏（フィールドストラテジスト）は、VPNの有効性は実装前に問うべき3つの質問の答えによって決まると言う。「最初の質問は、実装をゼロトラストのベストプラクティスに準拠させるかどうかだ。ゼロトラストの原則に確実に準拠させる最善の方法は、VPNをデータセンター内で終わらせないことを検証することだ。データセンターでは接続元を過度に信頼するためだ。次の質問は、認証を強力にするかどうかだ。セッションを強化する目的でVPNを選ぶ場合は、必ず強力な認証を適用すべきだ。最後の質問は、VPNのセッションを自社で監視できるかどうかだ」

　資格情報が誤って使われたり内部関係者による脅威が発生していたりする場合は、強力な認証でも警告されないとコンラッド氏は指摘する。「そのためには動作を監視して不審な行動を検出し、被害を最小限に食い止めるように先を見越して対策することだ」

　サイバーセキュリティを改善し、テレワーカーを保護するにはVPNが役に立つ。だが、VPNの選択と設定を慌てて行ってはいけない。多くの調査を行い、選択する必要がある。