VPNには限界がある?
ゼロトラストの考え方やVPNとの違いについて
「VPNとゼロトラストはどのように異なるセキュリティ対策なんだろう」
当記事をお読みの方は上記の疑問をお持ちではないでしょうか。
コロナ禍でリモートワークが増えたことで、社内ネットワークのアクセス用に従来から使われてきたVPNの問題点が指摘されるようになりました。そして、VPNの問題を解決できるセキュリティ対策として注目され始めたのが「ゼロトラスト」です。
当記事では、ゼロトラストの概要やVPNとの違いについて解説します。ゼロトラストを実現するソリューションも解説していますので、自社で利用すべきサービスを判断する際にお役立てください。
目次
VPNの基本的知識
VPNとゼロトラストの違いを理解するためには、VPNの概要を把握しておく必要があります。まずは、VPNの基本的な知識からおさらいしておきましょう。
VPNとは?
「VPN」とは「Virtual Private Network」の略語で、直訳すると「仮想専用線」を意味します。名前の通り、通信事業者が提供する公衆回線の中に「仮想的な」専用線を構築し、その中で安全に通信を行うというのがVPNの考え方です。VPNを用いた通信は、外部からの盗聴や改ざんといったセキュリティ上の脅威から守られています。
VPNの仕組み
VPNを実現している主な技術として、以下があります。
- トンネリング
- 暗号化/カプセル化
- 認証
トンネリングとはデータがネットワークを通る際の安全性を高める技術です。通常のネットワークでは、データは共通の経路を通ります。トンネリングをすることで、共通の経路内に外部からは侵入できないトンネルを作り、データを安全に通すことが可能です。
暗号化/カプセル化はデータ自体の暗号化をする技術です。通常のネットワークを通る際に、悪意を持ったユーザーに盗聴されてしまうとデータの盗み見や書き換えをされてしまいます。対策として暗号化やカプセル化をすることによって、データにアクセスされても簡単には内容を確認できない状態に変換され安全な通信が可能となります。
認証はVPNを利用するユーザーの身元を証明する技術です。通信を開始する際に利用者の身元が正しいことを証明しておくことで、安全な通信が保障されます。
VPNの種類とは?
VPNの種類として以下の4つがあります。
- インターネットVPN
- エントリーVPN
- IP-VPN
- 広域イーサネット
それぞれの特徴を確認しておきましょう。
インターネットVPN
インターネットVPNとは、リモート接続する事業者それぞれにVPN専用装置を設置し、インターネット経由でVPN接続する手法です。インターネットは不特定多数のユーザーが利用しているので、周りから盗聴されないようにするため、VPN専用装置により暗号化が行われます。
一方で、自宅などから社内へ接続する場合は、インターネット経由でVPN専用装置へアクセスし、ID・パスワードを使ってログインします。これによって、ログイン後はVPN装置経由で社内ネットワークやインターネットにアクセスできるようになるわけです。
エントリーVPN
エントリーVPNとはFTTHやADSLなどのブロードバンド回線を用いてVPN接続をする手法です。インターネットと閉域網を組み合わせた形式のVPN接続となります。
閉域網内は特定のユーザーのみが利用可能なことが特徴です。よってインターネットVPNよりも高いセキュリティを実現できます。またエントリーVPNは安価なブロードバンド回線を用いるため、低いコストで利用可能な点もメリットです。
一方でエントリーVPNのデメリットは通信速度が速くなりにくい点です。インターネットVPNも同じデメリットを持ちますが、これらのVPN接続には帯域保証がありません。よって通信速度は周囲のユーザーの利用状況に左右されることになります。
IP-VPN
IP-VPNとは、誰もが使うインターネットではなく、大手通信事業者が運営する閉域網を使ったVPNの手法を指します。閉域網へアクセスできるのは通信事業者と契約した企業のみなので、盗聴のリスクもなく、信頼性の高さが特徴です。そのため、インターネットVPNのように暗号化を行うことはほとんどありません。結果、より高速な通信を実現しやすいのがメリットです。
広域イーサネット
広域イーサネットとは離れた拠点間をイーサネット技術を用いて通信する手法です。通信事業者の専用線を利用する接続方法であり、閉域網の中で自由度が高い通信が可能となります。
イーサネット接続とは物理的なケーブルを利用した通信です。よってケーブルに接続しているデバイスのみが通信可能なため、閉域網内で高速な通信が可能となります。ケーブルに接続していなければ通信できないため、セキュリティ上の不安もありません。またL2接続(物理的に接続)のため、L3以上のレイヤーに高い自由度のカスタマイズを施せることもメリットです。
一方でデメリットとして、実現には高価な費用がかかることが挙げられます。
「ゼロトラストアーキテクチャ適用方針」から見る新たなセキュリティ対策
VPNの課題
従来、リモートワークをする際は、VPNを使ってセキュリティを保持するのが一般的でした。しかしながら、コロナ禍でリモートワークが急増したことにより、VPNの問題点も明らかになりました。
パフォーマンスの問題
従来、VPNを使うのは自宅からリモートワークを行う従業員など、遠隔から社内に対してアクセスする一部ユーザーのみでした。しかし、コロナ禍でリモートワークを行うユーザーが激増したことにより、VPN専用機器や回線の負荷が高まっています。その結果、「接続できない」「通信速度が遅い」などの問題が頻繁に生じるようになりました。
中でも色濃く影響を受けたのが、自宅から社内のVPN専用装置を経由し、クラウドサービスへアクセスするようなケースです。自宅からインターネット経由で直接クラウドサービスに接続する場合と比較して、経路が増えることで、帯域やセッション数もより多く消費されます。これによりVPN装置がボトルネックとなり、通信に問題が生じるのです。
この場合、VPN専用装置のリプレースについても検討を要しますが、そのためにかかるコストや時間は決して少なくありません。企業としても、なかなかリプレースに踏み切れないことが多いのです。
セキュリティ面でリスクがある
VPNにおいて、外部から社内へのアクセスは、VPN専用機器がコントロールしています。そのため、万一この機器が攻撃を受けてしまうと、社内ネットワーク全体へのアクセスが可能となり、深刻なセキュリティ事故の原因となるのです。仮に管理者がセキュリティの設定を誤った場合、その危険性が一層高まります。
また、社内ユーザーにウイルス付きのメールを送信したり、悪意のあるウェブサイトへ誘導したりするタイプの攻撃にも注意しなくてはなりません。安直なパスワードが設定されたアカウントを乗っ取られる場合もあります。悪意ある第三者が一度VPNの内部へ侵入すると、その攻撃を防ぐことができません。
機器管理の手間が発生する場合がある
主に外資系など、海外に複数の拠点をもつ企業では、拠点ごとにVPN専用装置を設置することになります。このとき、各装置を操作するのは各拠点の管理者です。当然、本社は拠点ごとの管理方法を把握する必要があり、相応の手間暇がかかることは避けられません。
仮に一部の拠点が管理を怠り、セキュリティ設定が不十分だった場合、その拠点への攻撃が成功する可能性が高まります。そしてその拠点を足掛かりに、企業全体へも攻撃できるようになってしまうのです。
VPNを補填するゼロトラストセキュリティの考え方
では、VPNの限界を補填するゼロトラストとは、一体どのようなものなのでしょうか。以下、ポイントを1つずつ解説します。
ゼロトラストとは?
「ゼロトラスト(Zero Trust)」とは、2010年に米国の調査会社「Forrester Research社」によって提唱された、セキュリティに関する考え方です。ゼロトラストでは、「信用(Trust)がゼロ(Zero)」というその字義通り、一切のアクセスを無条件に信用しません。
外部アクセスはもちろん、社内のネットワーク機器や社員もセキュリティ上のリスクがあるという観点で、認証や監視を厳密に行います。かつリソースへのアクセスは、必要最小限にしか許可しません。
先述したようなVPNが抱える多くの課題を解決するソリューションとして、昨今では、このゼロトラストが注目を集めています。
ゼロトラストの7原則
NIST(米国標準技術研究所)が提唱しているゼロトラストにおける7つの原則は以下のとおりです。
- データソースとコンピュータサービスは、全てリソースと見なす
- 「ネットワークの場所」に関係なく、通信は全て保護される
- 組織のリソースへのアクセスは、全て個別のセッションごとに許可される
- リソースへのアクセスは動的なポリシーによって決定される
- 組織が保有するデバイスは、全て正しくセキュリティが保たれているように継続的に監視する
- リソースの認証と認可は、全てアクセスが許可される前に動的かつ厳密に実施される
- 資産・ネットワーク・通信の状態について可能な限り多くの情報を収集し、セキュリティを高めるために利用する
出典:NIST Special Publication 800-207,Zero Trust Architecture
上記の7原則はそれぞれを満たすことでゼロトラストによる、強固なセキュリティ環境を実現できるというものです。それぞれの解説は割愛しますが「全ての通信は管理下に置くべきであり、各通信の安全性を保証し、安全性が高い通信のみを行いましょう。」ということが書かれています。
ゼロトラストが必要とされている理由とは?
ゼロトラストは近年になって重要視されるようになりました。重要視されるようになった理由や背景として以下があります。
- 社外サービスや利用デバイスの多様化
- 情報漏えいへの危機管理意識が高まっているから
社外サービスや利用デバイスの多様化
ゼロトラストが重要となった理由としてデバイスや利用するサービスが多様化していることが挙げられます。ゼロトラストに則り、通信は基本的には拒否し、必要な通信のみを許可することでセキュリティを維持する必要が出てきました。
従来、各企業は社内で構築したシステムを社内網を介して利用することが当たり前でした。よって外部との通信のセキュリティを考慮する重要性が低かったのです。
しかし、現在はクラウドサービスの普及やリモートワークの推進など社外へのアクセスや社外からのアクセスが増えています。特に新型コロナウイルスの流行によって、トレンドが加速したともいえるでしょう。社外アクセスが増えることでセキュリティリスクが高まります。対策として必要な通信のみを許可するスタイルに変換する必要が出てきたため、ゼロトラストが重視されているのです。
情報漏えいへの危機管理意識が高まっているから
情報漏えいへの危機管理意識が高まっていることもゼロトラストが必要となる理由です。先述したように社外へのアクセス、社外からのアクセスが多くなっているため、情報漏えいのリスクも高まっています。
外部からの攻撃だけでなく、社員による情報漏えいやデバイスの置き忘れによる紛失などもリスクです。仮にこれらが起こった場合でも情報漏えいのリスクを小さくできるよう、対策が必要となります。また、意図的でなくても情報漏えいが起こると企業にとって大きな損失となるため、ゼロトラストによるセキュリティ対策が必要です。
VPNとゼロトラストの違いについて
ゼロトラストはVPNとは違うものです。しかしゼロトラストは、VPNの課題に応えるものとして、次のような面で絶えず関わっているのです。
セキュリティリスクを軽減
ゼロトラストはVPNと異なり、外部からのアクセス要求があったときのみ、社内へのアクセス経路を用意します。そのため、悪意ある第三者からの社内アクセスを防御しやすくなります。また、社内ユーザー・機器に対しても毎回認証を要求することで、不正なアクセスの脅威を大幅に軽減可能です。
管理の集約と経路の最適化
ゼロトラストでは、社内に設置したVPN装置でなく、クラウド上などに設置された仲介システムが社内へのアクセスを管理します。そのため拠点が複数あっても、本社は仲介システムを適切に設定・操作することによって、一元的な管理が可能です。拠点ごとにポリシーが異なったり、セキュリティ設定が疎かになったりはしません。
また、インターネットや社内へアクセスするのに、わざわざVPN装置を経由する必要がなくなることから、経路の最適化も実現できます。例えば、拠点と遠く離れた場所からVPN接続をする場合、一度遠方の拠点へ接続する必要があるので、どうしても通信速度が低下してしまいます。一方、仲介システムのアクセスポイントは基本、世界各地に用意されているため、その中から最寄りのアクセスポイントへアクセス可能です。これによって、通信速度の低下を抑えることができます。
柔軟なスケーラビリティ
VPN専用装置のスペックが足りなくなった場合、そのリプレースは簡単ではありません。対してゼロトラストでクラウド上の仲介システムを使う場合、その拡張は簡単です。
ゼロトラストを実現する対策・ソリューション
ゼロトラストを実現する対策やソリューションとして以下があります。
- エンドポイントセキュリティ
- ID・アカウント管理
- ネットワークセキュリティ
- アプリケーションセキュリティ
- セキュリティ運用
エンドポイントセキュリティ
エンドポイントセキュリティとは、各デバイスに保存されている情報やOSなどのシステム情報を保護するためのセキュリティ対策です。
ウイルス感染したパソコンを社内ネットワークに接続すれば、このパソコンを踏み台として、社内ネットワークに接続しているすべてのデバイスおよびシステムに容易にアクセスできてしまいます。リスクを避けるためにも、エンドポイントの動作を監視し、マルウェアの感染を予防、検知、駆除する仕組みが重要です。
このように、エンドポイントセキュリティによって各デバイスを保護することが、社内システム全体の保護につながります。
ID・アカウント管理
IDやアカウント管理を適切に行うこともセキュリティ対策になります。各社員のIDやアカウントに最小限の権限のみを与え、不要なアカウントを廃止することで、セキュリティリスクを抑えることになります。
社員が多い企業ほどIDやアカウント管理が煩雑になりがちです。しかし、煩雑だからといって適当な管理をしてしまうと、セキュリティ上できてはいけない行動を許容してしまう可能性があります。例えば、営業部門の社員が開発部門の情報にアクセスできてしまう、などです。
ゼロトラストの実現に向けIDやアカウント管理を適切に行いましょう。
ネットワークセキュリティ
ネットワークセキュリティはネットワークに接続されているデバイスやシステムを保護するためのセキュリティ対策です。セキュリティ対策と聞くと、こちらを思い浮かべる方も多いのではないでしょうか。
従来のネットワークセキュリティはファイアウォールによる通信の制御やVPN接続など、外部からのアクセスを信用しないものとしていました。しかしサイバー攻撃を受け、侵入されてしまったら被害を免れることができません。このため、外部内部問わず、正しいアクセスか整合性を確認するのがゼロトラストにおけるネットワークセキュリティです。
ネットワークセキュリティのうち、代表的なソリューションがSDPです。一度認証した接続を常に信頼するVPNとは異なり、SDPは通信ごとに認証を必要とします。また、業務上で必要な情報だけにアクセスを制御します。
そのほか、SWGといった、インターネット通信を監視し、ポリシー外のアクセスをブロックするソリューションもあります。これらを利用して、デバイスやシステムへの攻撃を防ぎましょう。
アプリケーションセキュリティ
アプリケーションセキュリティとは、アプリケーションへの攻撃を対象としたセキュリティ対策です。
アプリケーションへの攻撃の例として、コードを盗むことや、悪意のあるコードを実行させる行為などがあります。こういった攻撃は、アプリケーションの脆弱性はもちろんのこと、システムの設定ミスなどからリスクが発生します。
対策ソリューションとして、設定に不備がないか、インシデントにつながる問題がないかなど、クラウド全体のリスクを検知するCSPMや、脆弱性など、クラウド上の全体の動作に対して潜在的なセキュリティ脅威を監視・検知するCWPPが挙げられます。
また先述したネットワークセキュリティと併用することでより強固なセキュリティ環境を実現できます。
セキュリティ運用
セキュリティ運用によるセキュリティ対策も重要です。セキュリティ運用とは、社員が社内システムやネットワークを適切に利用できるように管理することを指します。
セキュリティ運用の例として、社内システムやネットワークの監視、問題発生時の対応などがあります。これらを自動化できるシステムやサービスも多く登場しており、利用することで運用の効率化が可能です。SIEM・SOARが代表例です。SIEM・SOARの詳細についてはこちらの記事で紹介しています。
セキュリティ対策はそれ自体が利益を生み出すわけではありません。よってセキュリティ運用は小さいコストで済ませたいと考える方も多いでしょう。コストをある程度抑えるには、課題を洗い出し、適切なセキュリティ運用サービスを利用することをおすすめします。
まとめ
社内へのリモートアクセス用に使われてきたVPNは、パフォーマンス的にもセキュリティ的にも、多くの問題点が指摘されています。そうした中、VPNに代わるものとして注目されているのが、ゼロトラストです。ゼロトラストは、社内ユーザー・機器もすべてセキュリティリスクがあるものとして対応します。また、社内に設置したVPN専用機器でなく、クラウド上のシステムで社内アクセスを管理し、経路最適化・管理負担の軽減を実現します。
前述のようにゼロトラストには都度適切な認証を行うことができる仕組みが必須となります。
HENNGE Oneはデバイス証明書と組み合わせたプッシュ通知によるパスワードレス認証など、豊富な二要素認証機能で適切な認証をサポートしています。自社に合ったゼロトラストを検討される際には、ぜひお気軽にご相談ください。
