VPN ゲートウェイセキュリティ

一度の認証ですべてにアクセス--従来型VPNは「ゼロトラスト」に対応できるか

VPNは、オフィス外から社内のアプリケーションやデータにアクセスするための手段として使用されている。しかし、既存のVPNをゼロトラストに導入するとなるといくつかの限界が生じることが見えている。

 テレワークの浸透が進むなか、改めて注目されているのが「ゼロトラストセキュリティ」です。ゼロトラストセキュリティとは、「企業ネットワークは信頼に足るものである」という前提を捨て、「信頼できないことを前提としてすべてのアクセスを検査する」という考えに基づくセキュリティモデルです。

 ゼロトラストセキュリティでは、サーバーへのアクセスがあれば、それを検査し、情報資産へのアクセスがあればそれを検査するなど、すべてのアクセスを確認し、アクセス元が適切な権限を有しているのか、アクセスに怪しい点はないのか、などの観点で情報資産や情報関連資産へのアクセスを徹底的に管理するため、ユーザーは、利用するデバイスやネットワーク、ワークスペースなど様々なリソースへのアクセスがコントロール、可視化、検査されます。

 企業がセキュリティの強化を検討する一般的な事例としてテレワーク中の従業員による企業アプリケーションやデータへのアクセスがあります。これには主に仮想私設網(VPN)テクノロジーが使用されています。

 しかし、今後よりテレワークが浸透し、多様なデバイスやネットワークが管理対象となりアプリケーションとモビリティーの状況が変化し脅威が進化するなか、VPNでのゼロトラストの実現は可能なのでしょうか?

従来のVPNベースが持つ限界

 VPNはオフィス外から社内のアプリケーションやデータにアクセスするための手段として使用されてきました。このモデルは従業員が企業ネットワークにアクセス可能な場合に有効であり、一般には企業が管理する認証済みのデバイスからのみ認められています。

 従業員への信頼は、企業ネットワークにアクセスしているという点にのみ基づいています。

 アプリケーションがウェブベースのアクセスに対応し、マルチクラウド環境で展開されるようになって来ていることに伴い、従来のVPNモデルは進化する使用スタイルや利用者のニーズに十分に応えられず、また従業員のユーザーエクスペリエンスやセキュリティへの要件も満たすことができません。

 この従来のVPNモデルを使ってゼロトラストを導入しようとした場合、以下のようないくつかの限界が生じます。

  • 管理の複雑さ
     VPNでは従業員のデバイスにエージェントをインストールする必要があります。従業員が企業のアプリケーションとデータへのアクセスに使用する個人のデバイスは、モバイル端末管理システム(Mobile Device Management:MDM)により管理されていることもあります。
     各デバイスが使用するオペレーティングシステムには、WindowsからMacOSまで、iOSからAndroidやLinux、あるいはそれ以外までのさまざまな種類があります。従来のVPNは設定が複雑なだけでなく、管理にも時間を要します。
  • 拡大するアタックサーフェス(攻撃対象領域)
     データセンターへのVPNトンネルは企業ネットワーク全体へのアクセス経路を開き、これは従業員が自分の役割や仕事に必要な少数のアプリケーションへのみアクセスする場合であっても同じです。またウェブブラウザー経由で使用できるアプリケーションも増えてきています。
     企業ネットワーク全体へのアクセス経路を開くことはアタックサーフェスを拡大させるだけでなく、攻撃の可能性も大きく高め、安全なアクセスに適したモデルでないことは明らかです。
  • コンテキストの欠如
     VPNは、コンテキストベースのポリシーを施行するにあたり、従業員やデバイスなどコンテキストの変化に対応しません。“脱獄(ジェイルブレイク)”したデバイス、あるいはデバイスが悪意を持った者に盗まれた場合にはすべての防御が失われます。これもまたゼロトラストモデルを無効化します。
  • トラフィックのバックホーリング
     SaaSとしてアクセスされるアプリケーションの場合、VPNのためのアプリケーションをデータセンターに置くにはすべてのトラフィックをデータセンターにバックホールする必要があり、それによって対応速度や従業員のエクスペリエンスが損なわれます。
  • ログインチェックは一度だけ
     従来のVPNでは、ユーザー認証はログイン時に一度行われるだけです。ハッカーが認証情報を盗み出せば、すべてのネットワークとアプリケーションへのアクセスが可能になります。セッション中にユーザーの身元を改めて確認するためのチェックや監視機能は存在しません。

より良い手段

 これらの制約を克服し、セキュリティが確保されたアクセス実現し、利用者ニーズの進化とともにデバイスベースのエージェントやクライアントに使用する証明書が不要になったとしたら? あるいは、従業員からのアプリケーションへのアクセスを、ウェブブラウザー経由で必要なアプリケーションだけに制限できるとしたら、状況はどのように変わるでしょうか?

 アクセスは単にネットワーク経由で行われるだけでなく、従業員とデバイスに基づくコンテキスト情報に基づいてコントロールされるようになります。またシステムが従業員の活動を継続的に監視し、認証情報の確認に加えて挙動やパターンを検証することも可能になります。

 これまでは、少数派のテレワーカーのためにIT環境を別途準備する企業が多かったかもしれません。しかし今後は、全ての従業員がいつでもテレワークに切り替えることが可能なIT戦略が必要になります。テレワークができることは当たり前となり、セキュリティ、管理運用の簡易化、従業員エクスペリエンスが今まで以上に注目されるでしょう。

國分俊宏(こくぶん・としひろ)
シトリックス・システムズ・ジャパン セールスエンジニアリング本部 金融SEグループ リードシステムズエンジニア
グループウェアからデジタルワークスペースまで、一貫して働く「人」を支えるソリューションの導入をプリセールスとして支援している。現在は、金融グループのリード・システムエンジニアとして、パフォーマンスを最大化できる働き方、ワークライフバランスを支援する最新技術を日本市場に紹介している。

「VPN」で読まれている記事

TechRepublic Japanで人気の記事

編集部オススメ

トレンドまるわかり![PR]

財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
PC・モバイル
新興技術
ITインフラ
IAサーバー
UNIXサーバー
コンバージド・ハイパーコンバージド
その他サーバー
ストレージ
スイッチ
無線LAN
ルーター
ロードバランサー
VPN
WAN高速化
その他ネットワーク
サーバー仮想化
コンテナ
SDS/ストレージ仮想化
SDN/ネットワーク仮想化
デスクトップ仮想化
アプリケーション仮想化
その他仮想化
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバーセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ

ホワイトペーパーランキング

  1. 5分でわかる、レポート作成の心得!成果至上主義のせっかちな上司も納得のレポートとは
  2. ノートPCは従来ながらの選び方ではダメ!新しい働き方にも対応する失敗しない選び方を徹底解説
  3. 問題だらけの現場指導を効率化!「人によって教え方が違う」を解消するためのマニュアル整備
  4. 緊急事態宣言解除後の利用率は低下 調査結果に見る「テレワーク」定着を阻む課題とその対応策
  5. たしか、あのデータは、こっちのアプリにあったはず…--業務改善のためのアプリ導入がストレスの原因に?

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]