/ リモート アクセスVPNとは
リモート アクセスVPNとは
VPNとリモート アクセスは同じものなのか?
端的に言えば、答えは「NO」です。リモート アクセスVPNは、ユーザーの場所にかかわらず、組織のネットワークとリモート ユーザーの間に仮想の「プライベート」トンネルを作成することで機能します。これにより、ユーザーは任意のIPアドレスから企業ネットワーク上のリソースにアクセスできるようになります。このリモート アクセスVPNはリモート ワークにおいて特に使用されるアクセス制御の手法の一つです。
一方、リモート アクセスとは、VPNクライアント経由に限らず、従業員が何らかの手段を通じてオフサイトのリソースにアクセスすることを指します。このようなアクセスは、リモート アクセスVPNソリューションをはじめ、2要素認証(2FA)または多要素認証(MFA)、ゼロトラスト セキュリティなどのリモート ワーカーに安全な接続を提供しながらハッカーの侵入を防ぐソリューションでも保護できます。
リモート アクセスVPNのメリット
大まかに見ると、VPNは非常に有益なソリューションと言えます。VPNは以下を実現するように設計されています。
- ハッカーによる侵入の防止。VPNトンネルは暗号化されているため、悪意のある人物がプライベート ネットワークを侵害して企業リソースにアクセスすることは簡単ではありません。
- 許可の制限。誰もが企業ネットワークにアクセスできる状態は、深刻な被害につながる可能性があるため、VPNはネットワークへのアクセスにあたってユーザーに認証を要求し、この問題を未然に解消します。
- 速度低下の防止 VPNの暗号化されたトンネルによって外部からの可視性が遮断されるため、広い帯域幅と高い速度を維持できます。
- デバイスの保護。リモート デスクトップだけでなく、AndroidとiOSのデバイスもVPNで保護できます。
リモート アクセスVPNが適した環境
リモート アクセスVPNは、拠点やリモート ワーカーをより小規模で保護するのに適した手段です。少数の従業員がオフィスを離れてリモートで作業する必要がある場合、企業はVPNサービスを利用してVPNクライアント ソフトウェアを展開することで、リモート ユーザーをネットワーク境界の外にあるエンドポイントから安全に接続させることができます。
全従業員がオフィスに出社していた時代には、企業は本社ネットワークと支店ネットワークのような2つのネットワークを接続する手段としてサイト間VPNを採用することもありました。このように、VPNは特にリモート オフィスや支店のユーザーをインターネット トラフィックから切り離すためのさまざまなユース ケースに対応しますが、リモート ワークが普及するにつれて、VPNでは必要なレベルの保護を提供できないことを多くの企業が認識し始めています。
リモート アクセスにVPNは必要か?
これまでは、ユーザーとデータ センター間のトラフィックを暗号化するだけで、攻撃者が機密情報にアクセスしたり、取得したりするのを十分に防止できたため、リモート アクセスVPNはリモート セキュリティの最も一般的なソリューションでした。そして、ユーザーはオフィスで働いているような感覚で、組織のネットワークとアプリケーションに安全にアクセスして使用できました。
しかし、ユーザーの働き方が変化したことで、アプリケーションはクラウドに移行し、境界はインターネットにまで広がるようになりました。そのため、リモート アクセスVPNなどのネットワークを中心としたソリューションは時代にそぐわないものとなり、次のような新たな課題を生み出しています。
- ユーザーをネットワークに接続させるため、リスクが増大する
- 低品質なエンド ユーザー エクスペリエンスが発生する
- アプライアンス、ACL、ファイアウォールのポリシーと複雑な構成が必要になる
- アプリケーション セグメンテーション機能が不足している
- アプリ関連のアクティビティーを十分可視化できない
攻撃者はVPNを悪用して侵入し、ネットワーク全体を水平移動するため、現在の基準から見ると非常に脆弱なソリューションといえるでしょう。次のセクションでは、なぜVPNから脱却してより堅牢なクラウド型セキュリティ ソリューションを採用する必要があるのかを解説します。
SASEがリモート アクセスVPNよりも優れている理由
SASEは、あらゆる場所のユーザーやデバイスなどのエンティティーをアプリケーションやサービスに安全に接続させる方法としてGartnerが提唱したフレームワークです。Gartnerは2019年のレポート「The Future of Network Security is in the Cloud」の中で、SASEフレームワークを「デジタル企業が求める動的かつ安全なアクセスをサポートする包括的なネットワーク セキュリティ(SWG、CASB、FWaaS、ZTNAなど)を備えた総合的なWAN機能」を提供するクラウドベースのセキュリティ ソリューションと定義しています。
リモート アクセスVPNの代わりにSASEアーキテクチャーを採用する主なメリットとして、次の3つが挙げられます。
- リスクの低減
- ユーザー エクスペリエンスの向上
- コスト、複雑さ、管理負荷の低減
ゼロトラストの重要な要素であるSASEについては、次のセクションで説明します。
ゼロトラスト ネットワーク アクセス(ZTNA)がリモート アクセスVPNよりも好まれる理由
ゼロトラスト ネットワーク アクセス(ZTNA)は、プライベート アプリケーション アクセスにおいてユーザーとアプリケーション中心のアプローチを採用し、個々のデバイスとアプリの間に安全なセグメントを作成することで、承認されたユーザーのみが特定のプライベート アプリケーションにアクセスできるようにします。
これにより、ネットワーク アクセスやラテラル ムーブメントが排除されます。また、ZTNAソリューションは物理アプライアンスや仮想アプライアンスに依存するのではなく、ソフトウェアを使用してアプリとユーザーをクラウドに接続し、仲介されたマイクロ トンネルはユーザーに最も近い場所につながれます。
Zscaler Private Access (ZPA)とは
Zscaler Private Access (ZPA)は、パブリック クラウドやデータ センターで動作するプライベート アプリケーションへのシームレスなゼロトラスト アクセスを提供するZscalerのクラウド サービスです。ZPAはアプリケーションをインターネットに公開しないため、権限のないユーザーにアプリケーションが表示されることはありません。
このサービスでは、ネットワークをユーザーに拡張する代わりに、インサイドアウト接続を用いてアプリケーションがユーザーに接続できるようにします。そのため、ユーザーがネットワークに接続されることはありません。このゼロトラスト ネットワーク アクセスのアプローチは、管理対象と管理対象外のデバイスだけでなく、Webアプリを含むすべてのプライベート アプリケーションに適用されます。
ZPAがリモート アクセスVPNよりも優れている理由
VPNとは対照的に、ZPAはより現代的で堅牢なセキュリティ ソリューションであり、次のようなメリットを備えています。
- 快適なユーザー エクスペリエンス
- ネットワークではなく、アプリケーションごとのセグメンテーション
- インターネット接続を企業ネットワークとして使用する機能
- セキュリティ管理を簡素化する自動化
- インサイドアウト接続によるアプリの不可視化
- 完全なクラウド型のゼロトラスト ネットワーク アクセス