コロナ禍でリモートワークが増える中、社内ネットワークのアクセス用に従来から使われてきたVPNの問題点が指摘されるようになりました。そして今、VPNの問題を解決するものとして注目されているのが「ゼロトラスト」です。当記事では、ゼロトラストの概要やVPNとの違いについて解説します。
[RELATED_POSTS]VPNの基本的知識
VPNとゼロトラストの違いを理解するためには、VPNの概要を把握しておく必要があります。まずは、VPNの基本的な知識からおさらいしておきましょう。
VPNとは?
「VPN」とは「Virtual Private Network」の略語で、語訳すると「仮想専用線」を意味します。名前の通り、通信事業者が提供する公衆回線の中に「仮想的な」専用線を構築し、その中で安全に通信を行うというのがVPNの考え方です。VPNを用いた通信は、外部からの盗聴や改ざんといったセキュリティ上の脅威から守られています。
VPNの仕組み
主に利用されるVPNの種類として、「インターネットVPN」と「IP-VPN」があります。インターネットVPNとは、リモート接続する事業者それぞれにVPN専用装置を設置し、インターネット経由でVPN接続する手法です。インターネットは不特定多数のユーザーが利用しているので、周りから盗聴されないようにするため、VPN専用装置により暗号化が行われます。
一方で、自宅などから社内へ接続する場合は、インターネット経由でVPN専用装置へアクセスし、ID・パスワードを使ってログインします。これによって、ログイン後はVPN装置経由で社内ネットワークやインターネットにアクセスできるようになるわけです。
対してIP-VPNとは、誰もが使うインターネットではなく、大手通信事業者が運営する閉域網を使ったVPNの手法を指します。閉域網へアクセスできるのは通信事業者と契約した企業のみなので、盗聴のリスクもなく、信頼性の高さが特徴です。そのため、インターネットVPNのように暗号化を行うことはほとんどありません。結果、より高速な通信を実現しやすいのがメリットです。
VPNの課題
従来、リモートワークをする際は、VPNを使ってセキュリティを保持するのが一般的でした。しかしながら、コロナ禍でリモートワークが急増したことにより、VPNの問題点も明らかになりました。
パフォーマンスの問題
従来、VPNを使うのは自宅からリモートワークを行う従業員など、遠隔から社内に対してアクセスする一部ユーザーのみでした。しかし、コロナ禍でリモートワークを行うユーザーが激増したことにより、VPN専用機器や回線の負荷が高まっています。その結果、「接続できない」「通信速度が遅い」などの問題が頻繁に生じるようになりました。
中でも色濃く影響を受けたのが、自宅から社内のVPN専用装置を経由し、クラウドサービスへアクセスするようなケースです。自宅からインターネット経由で直接クラウドサービスに接続する場合と比較して、経路が増えることで、帯域やセッション数もより多く消費されます。これによりVPN装置がボトルネックとなり、通信に問題が生じるのです。
この場合、VPN専用装置のリプレースについても検討を要しますが、そのためにかかるコストや時間は決して少なくありません。企業としても、なかなかリプレースに踏み切れないことが多いのです。
セキュリティ面でリスクがある
VPNにおいて、外部から社内へのアクセスは、VPN専用機器がコントロールしています。そのため、万一この機器が攻撃を受けてしまうと、社内ネットワーク全体へのアクセスが可能となり、深刻なセキュリティ事故の原因となるのです。仮に管理者がセキュリティの設定を誤った場合、その危険性が一層高まります。
また、社内ユーザーにウイルス付きのメールを送信したり、悪意のあるウェブサイトへ誘導したりするタイプの攻撃にも注意しなくてはなりません。安直なパスワードが設定されたアカウントを乗っ取られる場合もあります。悪意ある第三者が一度VPNの内部へ侵入すると、その攻撃を防ぐことができません。
機器管理の手間が発生する場合もある
主に外資系など、海外に複数の拠点をもつ企業では、拠点ごとにVPN専用装置を設置することになります。このとき、各装置を操作するのは各拠点の管理者です。当然、本社は拠点ごとの管理方法を把握する必要があり、相応の手間暇がかかることは避けられません。
仮に一部の拠点が管理を怠り、セキュリティ設定が不十分だった場合、その拠点への攻撃が成功する可能性が高まります。そしてその拠点を足掛かりに、企業全体へも攻撃できるようになってしまうのです。
VPNを補填するゼロトラストセキュリティの考え方
では、VPNの限界を補填するゼロトラストとは、一体どのようなものなのでしょうか。以下、ポイントを1つずつ解説します。
ゼロトラストとは?
「ゼロトラスト(Zero Trust)」とは、2010年に米国の調査会社「Forrester Research社」によって提唱された、セキュリティに関する考え方です。ゼロトラストでは、「信用(Trust)がゼロ(Zero)」というその字義通り、一切のアクセスを無条件に信用しません。
外部アクセスはもちろん、社内のネットワーク機器や社員もセキュリティ上のリスクがあるという観点で、認証や監視を厳密に行います。かつリソースへのアクセスは、必要最小限にしか許可しません。
先述したようなVPNが抱える多くの課題を解決するソリューションとして、昨今では、このゼロトラストが注目を集めています。
VPNとの違いについて
ゼロトラストはVPNとは違うものです。しかしゼロトラストは、VPNの課題に応えるものとして、次のような面で絶えず関わっているのです。
セキュリティリスクを軽減
ゼロトラストはVPNと異なり、外部からのアクセス要求があったときのみ、社内へのアクセス経路を用意します。そのため、悪意ある第三者からの社内アクセスを保護しやすくなります。また、社内ユーザー・機器に対しても毎回認証を要求することで、不正なアクセスの脅威を大幅に軽減可能です。
管理の集約と経路の最適化
ゼロトラストでは、社内に設置したVPN装置でなく、クラウド上などに設置された仲介システムが社内へのアクセスを管理します。そのため拠点が複数あっても、本社は仲介システムを適切に設定・操作することによって、一元的な管理が可能です。拠点ごとにポリシーが異なったり、セキュリティ設定が疎かになったりはしません。
また、インターネットや社内へアクセスするのに、わざわざVPN装置を経由する必要がなくなることから、経路の最適化も実現できます。例えば、拠点と遠く離れた場所からVPN接続をする場合、一度遠方の拠点へ接続する必要があるので、どうしても通信速度が低下してしまいます。一方、仲介システムのアクセスポイントは基本、世界各地に用意されているため、その中から最寄りのアクセスポイントへアクセス可能です。これによって、通信速度の低下を抑えることができます。
柔軟なスケーラビリティ
VPN専用装置のスペックが足りなくなった場合、そのリプレースは簡単ではありません。対してゼロトラストでクラウド上の仲介システムを使う場合、その拡張も簡単です。
まとめ
社内へのリモートアクセス用に使われてきたVPNは、パフォーマンス的にもセキュリティ的にも、多くの問題点が指摘されています。そうした中、VPNに代わるものとして注目されているのが、ゼロトラストです。ゼロトラストは、社内ユーザー・機器もすべてセキュリティリスクがあるものとして対応します。また、社内に設置したVPN専用機器でなく、クラウド上のシステムで社内アクセスを管理し、経路最適化・管理負担の軽減を実現します。
前述のようにゼロトラストには都度適切な認証を行うことができる仕組みが必須となります。
HENNGE Oneはデバイス証明書と組み合わせたプッシュ通知によるパスワードレス認証など、豊富な二要素認証機能で適切な認証をサポートしています。自社に合ったゼロトラストをご検討の場合には、ぜひチェックしてみてください。
