「IAPとはどのようなシステムだろうか」
そんな疑問をお持ちの方に、当記事ではIAPについて構成要素やVPNとの違いを分かりやすく解説します。IAPの理解が深まり、導入することでゼロトラストセキュリティの実現に向けて一歩を踏み出すことが可能です。脱VPN実現のために、IAP導入を検討している方はぜひ一読してみてください。
IAPとは|ゼロトラストの実現を加速
IAP(Identity-Aware Proxy)はゼロトラストの実現に向けて、ユーザーとアプリケーションの通信を仲介し、認証認可機能を提供するプロキシです。
ユーザーは基本的にアプリケーションに直接アクセスし、データベースに登録されているユーザー情報(ユーザー名やパスワード)を入力してログインします。IAPを用いると、ユーザーの身元確認をした上で、安全な通信が可能です。これにより、アプリケーションの軽量化や、認証認可管理の一元化、SSOの実現など、多くのメリットがあります。
IAPを用いるとアクセス時にユーザーの身元を特定する認証と、ユーザーに権限を与える認可が可能です。このようにユーザーが利用する複数のアプリケーションに対して、ユーザーの認証認可を提供する仕組みがIAPです。この仕組みにより、認証認可を一元的に行えるため、管理コストが軽減されます。
IAPは、このような仕組みからセキュリティ強化を実現できます。
IAPの構成要素
IAPの構成要素として以下があります。
- コネクタ
- 認証基盤
- エージェント
IAPはユーザーとアプリケーションを仲介しますが、IAPとして役割を果たすためには上記の要素が必要です。
コネクタ
コネクタは、IAPが認証認可機能を提供するアプリケーションに接続するためのコンポーネントです。
コネクタは通常サーバがその機能を持ちますが、場合によってはネットワークアプライアンスや、ゲートウェイがコネクタの役割を果たすことがあります。
ユーザーとアプリケーションの間にあるIAPとアプリケーションの間を取り持つ役割を果たすのがコネクタです。接続イメージとして、以下になります。
ユーザー ー IAP ー コネクタ ー アプリケーション |
なお、IAPがコネクタを介してアプリケーションと接続する前に、認証基盤を経由して認証認可を実施します。
認証基盤(IAM)
認証基盤(IAM)は、IAPに対して認証認可の機能を提供する基盤です。
「認証」はユーザーの身元を特定することを指します。これに対し「認可」はユーザーができることを定義した権限を与えることです。ユーザーの身元と権限をそろえてIAPに提供し、その情報をもとに、ユーザーはアプリケーションを認可された権限の中で利用できます。
通信の流れとしては以下のとおりです。
ユーザー → IAP → 認証基盤 → IAP → コネクタ → アプリケーション
認証認可基盤にはIAM(Identity and Access Management)や、MFA(Multiple Factor Authentication、多要素認証)が利用されることが一般的です。
エージェント
エージェントは、接続先のアプリケーションが動作するサーバに入れておくソフトウェアです。
接続先がWebアプリケーションであれば、基本的にエージェントなしでもIAPと接続可能です。しかし、データベースや古いアプリケーションであれば、エージェントのインストールによってIAPとの接続を実現する場合があります。
IAPにおけるエージェントは必須ではないが、接続先のサーバにインストールすることがある、と考えておきましょう。
IAPが注目される理由
IAPが注目される理由として以下があります。
- サイバー攻撃の多様化
- 脱VPNの需
サイバー攻撃の多様化
IAPが注目される理由としてサイバー攻撃の多様化があります。
サイバー攻撃は、マルウェアを使った攻撃をはじめ、標的型攻撃やAIを駆使した攻撃など、手法が多様化してきています。また内部ユーザーによる情報漏えいなど、攻撃は社外からのみ受けるものではなくなってきました。このため、従来の境界型防御の考え方ではサイバー攻撃に対応できないと考えられるようになり、ゼロトラストの概念が広まっています。
ゼロトラストの概念により生み出されたソリューションの1つがIAPです。IAPであれば社内外関係なく、アプリケーションにアクセスするユーザーの認証認可を確認して、接続を許可します。
サイバー攻撃の多様化によってゼロトラストの概念が広まった結果、IAPに注目が集まるようになりました。
脱VPNの需要
脱VPNの需要が高まったこともIAPが注目を集める理由の1つです。
VPNについては後述していますが、VPNだけでは対応できない業務要件や利用サービスが増えてきました。例としてリモートワークやクラウドサービスが増え、利活用する企業が増えています。その結果として、VPNによるネットワークセキュリティには限界が見えてきています。
VPNは外部から内部への通信経路が1つになり、必要以上に許可をする通信が増えるリスクがあります。結果として不要な通信が増えてしまい、通信パフォーマンスの低下や運用管理コストの増加につながることが問題です。
こうした問題の解消に向け、脱VPNの動きが広まり、IAPに注目が集まっています。
IAPとVPNの比較
IAPとよく比較されるVPNとの比較をしています。VPNの概要を解説したのち、以下の観点でIAPとVPNの比較をするのでご確認ください。
- アプローチ
- セキュリティ
- 運用
- パフォーマンス
VPNの概要
VPN(Virtual Private Network)はインターネット上や閉域網上に仮想的な専用回線を用意することで、安全な通信を実現する技術です。
VPN自体は現在も広く用いられています。VPNの利用により、セキュリティ的に安全な通信が実現されると多くの企業が認識しているためです。しかし、近年は先述したサイバー攻撃の多様化やVPNの通信速度では遅いこと、運用コスト低減の煽りなどにより、脱VPNの動きが強まっています。
VPNはセキュリティ対策として有効ですが、それだけでは不十分だと考えることが多くなりました。そこでVPNに代わる技術を考えるにあたって、ゼロトラストの概念が広まっています。
アプローチの比較
IAPとVPNはセキュリティ対策としてのアプローチが異なります。IAPはゼロトラストの概念を導入したソリューションですが、VPNは境界防御の概念によるソリューションです。
IAPは通信の内外を考えないため、全ての通信に対して疑いを持ち、検証を行うゼロトラストの概念が導入されています。一方でVPNは、外部の通信は認証、検証を行いますが、内部の通信は無条件で信頼する境界防御の概念で機能するため、内部不正には弱いことが特徴です。
境界防御よりもゼロトラストの方が新しい概念のため、近代的なIAPの方が近年のトレンドに沿ったアプローチのセキュリティソリューションといえます。
セキュリティ面の比較
IAPとVPNを比較すると、基本的にはIAPの方が強いセキュリティ対策です。
分かりやすい比較ポイントは内部の通信です。先述した通り、IAPはゼロトラストの概念が導入されており、全ての通信を認証、検証して通信を許可するかどうか判断します。一方でVPNは、内部通信であれば全て許可されるため、内部不正には対応できません。
またアクセス制限の面でもIAPの方が強くなりやすいです。IAPは外部の認証認可基盤と連携し、きめ細かいアクセス制限ができます。これに対しVPNは、多要素認証などのオプションは利用できますが、IAPほど細かいアクセス制限はできません。
これらの差により、IAPの方がセキュリティ強化を実現しやすいセキュリティソリューションといえます。
運用面の比較
運用面においてもIAPの方がコストが低くなりやすいです。
IAPはクラウドで提供されるため、初期費用やクラウド事業者が管轄するレイヤのコストがかからずに済みます。一方VPNは、基本的にオンプレミスのサーバや機器が必要となるため、初期費用や運用コストが高いです。
またスケーラビリティ面も比較すると、IAPはクラウドで提供され、スケーラビリティが高くなりやすいです。VPNはオンプレミスで管理することから、同時接続数やアクセス需要が高まった際には追加費用、時間などさまざまな面で労力が必要になります。このことからIAPの方がスケーラビリティ面においても優れているといえます。
運用面を比較してもIAPの方がメリットが大きいです。
パフォーマンス面の比較
IAPとVPNのパフォーマンス面を比較しても、IAPの方が高いパフォーマンスになりやすいです。
IAPはアプリケーションごとにアクセス制御を行い、不要なトラフィックは検証自体せずにスルーすることもできるため、必要な通信に集中して処理できます。一方でVPNは、全てのトラフィックをトンネリングするため、不要なトラフィックでもスルーできません。よってIAPの方が不要なトラフィックが流れにくい分、パフォーマンスが高くなる傾向にあります。
パフォーマンスを比較してもIAPの方が優れたソリューションといえます。
IAPを導入するメリット
IAPを導入するメリットとして以下があります。
- セキュリティ強化の実現
- ネットワークパフォーマンスの向上
- コンプライアンスの強化
- 運用コストの削減
セキュリティ強化の実現
IAPを導入することで、社内システムやアプリケーション利用時のセキュリティ強化が実現します。
IAPで接続したいリソースへアクセスする際、認証認可を行い、ユーザーの身元やアクセス権限を明確にした上でアクセスが可能です。認証に通らなければアクセスできず、認証をされても認可されていない操作はできません。IAPがない場合、認証さえできてしまえば、その後は無理やり特権を奪う、といった操作を許す可能性があるでしょう。
IAPより「誰が何をできる」の定義が明確になり、不正を許さない環境が実現します。また万が一不正を許しても検出しやすくなり、被害を最小限に抑え込むことが可能です。
ネットワークパフォーマンスの向上
IAPを導入することで、ネットワークパフォーマンスの向上が期待できます。
IAPがあると認証認可の完了後であれば、ユーザーがアプリケーションに直接アクセスできます。VPNのように全てのトラフィックがトンネルを通るわけではないため、不要なトラフィックが生まれにくく、ネットワークパフォーマンスが向上しやすいです。
IAPを利用すれば、VPNの利用よりも速い通信速度が実現し、スムーズなリソースの利用が可能になります。
コンプライアンスの強化
IAPを利用するとコンプライアンスの強化も実現可能です。
IAPは認証認可によるユーザーのアクセス制限だけでなく、アクセスログの監視や追跡も可能になります。この機能を用いることで「誰が何をしたのか」を後からでも確認可能であり、内部不正の検出や外部監査時のレポート準備が可能です。
IAPの利用により、内部コンプライアンス強化に加えて外部監査の準備効率化ができます。
運用コストの削減
IAPを利用すると運用コストの削減が可能です。
VPNを用いた場合には機器やサーバの初期費用、および運用コストがかかります。しかし、IAPはクラウドで提供されるため、自社の管轄ではないハードウェアの運用コストなどはかかりません。またIAPはスケーラビリティが高く、アクセス需要が高まっても柔軟な対応ができます。加えてセキュリティ強化の実現により、トラブルが起こりにくくなることから、トラブル発生による対応コストも削減できるでしょう。
IAPの導入で運用コストの削減を実現すれば、より重要な業務へのリソース集中が可能です。
IAP導入時の注意点
IAP導入時の注意点として以下があります。
- 既存システムとの連携が可能か確認する
- 多要素認証と組み合わせる
- IAMによる正しいアクセス制限をする
- インシデント発生時の対応プロセスを整備する
既存システムとの連携が可能か確認する
IAPの導入時には、既存システムが連携できるか確認しましょう。
IAPにエージェント機能があれば、レガシーシステムなどでも基本的には対応可能です。しかし、サービスによっては連携できないシステムやアプリケーションもあるでしょう。連携できなければアクセス制御ができず、セキュリティ強化も実現できません。
導入前に既存システムと連携できることを確認してください。
多要素認証と組み合わせる
IAPの導入時には多要素認証ができる認証基盤をコンポーネントとして含めることで、セキュリティ強化が実現しやすいです。
IAPは認証認可をした上でアクセス許可を実現します。この時の認証で多要素認証ができれば、不正アクセスを許しにくく、セキュリティ強化が可能です。多要素認証はユーザー名やパスワードのような知識要素だけでなく、指紋や顔などの生体要素、パスカードやハードウェアIDなどの所有要素を組み合わせることで、より効果が高まります。
多要素認証については別記事で解説しているので、あわせてご覧ください。
多要素認証(MFA)とは?要素の種類や使い分け方などについても解説
HENNGE OneのIdentity Editionでは多要素認証によるユーザー認証ができます。
IAMによる正しいアクセス制限をする
IAPの導入時には、IAMなどの認可基盤で正しくアクセス制限を実施しましょう。
IAPによるセキュリティ強化で最も大事なポイントは正しくアクセス制限を実施することです。「正しいアクセス制限」の具体的な内容は組織ごとに異なりますが、原則は「最小限のアクセス権限のみを与えること」が推奨されます。
例として一般ユーザーは何の権限もなく、関係者は閲覧権限、管理者や一部の関係者のみ編集権限をつける、などの具合です。
正しいアクセス制限を実施して、セキュリティ強化を実現しましょう。
インシデント発生時の対応プロセスを整備する
IAPを導入した場合でも、インシデント発生時の対応プロセスは整備しておきましょう。
IAPはセキュリティ強化を実現しますが、それでも完全に不正アクセスや攻撃を防げるわけではありません。よってインシデントが発生した時のことも考えておく必要があります。インシデント発生時の連絡先やトラブルの対処方法、ログの残し方などをルール化し、従業員に通知しておきましょう。
インシデントが発生しても、対応次第では被害を最小限にできます。万が一に備えて対応プロセスの準備をしておきましょう。
IAP導入時には多要素認証ができるHENNGE One Identity Editionがおすすめ
IAPによるセキュリティ強化のためには、認証認可基盤との連携が最重要ポイントです。
認証認可基盤が正しく機能していなければ、セキュリティ強化による効果が大きく下がってしまいます。認証をするにあたり、単要素の認証ではなく多要素認証ができることが望ましいです。
多要素認証ができる認証に向けHENNGE One Identity Editionの利用をおすすめします。当サービスはSaaSの利用時に多要素認証の機能を提供し、セキュリティ強化を実現するサービスです。SSO(シングルサインオン)も実現できるため、ユーザーの利便性も向上できます。
下記リンクから資料請求ができるので、興味がある担当者様はご確認ください。https://hennge.com/jp/service/one/identity/
まとめ
IAPはユーザーとアプリケーションの通信を仲介し、認証認可機能を提供するプロキシサービスです。IAPを導入することで、セキュリティ強化やネットワークパフォーマンスの向上が見込めます。
IAPは認証認可基盤との連携によりセキュリティ強化を実現します。認証認可基盤としてHENNGE One Identity Editionの利用がおすすめです。
下記リンクから資料請求ができるので、興味がある担当者様はご確認ください。
https://hennge.com/jp/service/one/identity/
- カテゴリ:
- ID管理