一度の認証ですべてにアクセス--従来型VPNは「ゼロトラスト」に対応できるか

國分俊宏 (シトリックス・システムズ・ジャパン)

2020-08-25 07:15

 テレワークの浸透が進むなか、改めて注目されているのが「ゼロトラストセキュリティ」です。ゼロトラストセキュリティとは、「企業ネットワークは信頼に足るものである」という前提を捨て、「信頼できないことを前提としてすべてのアクセスを検査する」という考えに基づくセキュリティモデルです。

 ゼロトラストセキュリティでは、サーバーへのアクセスがあれば、それを検査し、情報資産へのアクセスがあればそれを検査するなど、すべてのアクセスを確認し、アクセス元が適切な権限を有しているのか、アクセスに怪しい点はないのか、などの観点で情報資産や情報関連資産へのアクセスを徹底的に管理するため、ユーザーは、利用するデバイスやネットワーク、ワークスペースなど様々なリソースへのアクセスがコントロール、可視化、検査されます。

 企業がセキュリティの強化を検討する一般的な事例としてテレワーク中の従業員による企業アプリケーションやデータへのアクセスがあります。これには主に仮想私設網(VPN)テクノロジーが使用されています。

 しかし、今後よりテレワークが浸透し、多様なデバイスやネットワークが管理対象となりアプリケーションとモビリティーの状況が変化し脅威が進化するなか、VPNでのゼロトラストの実現は可能なのでしょうか?

従来のVPNベースが持つ限界

 VPNはオフィス外から社内のアプリケーションやデータにアクセスするための手段として使用されてきました。このモデルは従業員が企業ネットワークにアクセス可能な場合に有効であり、一般には企業が管理する認証済みのデバイスからのみ認められています。

 従業員への信頼は、企業ネットワークにアクセスしているという点にのみ基づいています。

 アプリケーションがウェブベースのアクセスに対応し、マルチクラウド環境で展開されるようになって来ていることに伴い、従来のVPNモデルは進化する使用スタイルや利用者のニーズに十分に応えられず、また従業員のユーザーエクスペリエンスやセキュリティへの要件も満たすことができません。

 この従来のVPNモデルを使ってゼロトラストを導入しようとした場合、以下のようないくつかの限界が生じます。

  • 管理の複雑さ
     VPNでは従業員のデバイスにエージェントをインストールする必要があります。従業員が企業のアプリケーションとデータへのアクセスに使用する個人のデバイスは、モバイル端末管理システム(Mobile Device Management:MDM)により管理されていることもあります。
     各デバイスが使用するオペレーティングシステムには、WindowsからMacOSまで、iOSからAndroidやLinux、あるいはそれ以外までのさまざまな種類があります。従来のVPNは設定が複雑なだけでなく、管理にも時間を要します。
  • 拡大するアタックサーフェス(攻撃対象領域)
     データセンターへのVPNトンネルは企業ネットワーク全体へのアクセス経路を開き、これは従業員が自分の役割や仕事に必要な少数のアプリケーションへのみアクセスする場合であっても同じです。またウェブブラウザー経由で使用できるアプリケーションも増えてきています。
     企業ネットワーク全体へのアクセス経路を開くことはアタックサーフェスを拡大させるだけでなく、攻撃の可能性も大きく高め、安全なアクセスに適したモデルでないことは明らかです。
  • コンテキストの欠如
     VPNは、コンテキストベースのポリシーを施行するにあたり、従業員やデバイスなどコンテキストの変化に対応しません。“脱獄(ジェイルブレイク)”したデバイス、あるいはデバイスが悪意を持った者に盗まれた場合にはすべての防御が失われます。これもまたゼロトラストモデルを無効化します。
  • トラフィックのバックホーリング
     SaaSとしてアクセスされるアプリケーションの場合、VPNのためのアプリケーションをデータセンターに置くにはすべてのトラフィックをデータセンターにバックホールする必要があり、それによって対応速度や従業員のエクスペリエンスが損なわれます。
  • ログインチェックは一度だけ
     従来のVPNでは、ユーザー認証はログイン時に一度行われるだけです。ハッカーが認証情報を盗み出せば、すべてのネットワークとアプリケーションへのアクセスが可能になります。セッション中にユーザーの身元を改めて確認するためのチェックや監視機能は存在しません。

より良い手段

 これらの制約を克服し、セキュリティが確保されたアクセス実現し、利用者ニーズの進化とともにデバイスベースのエージェントやクライアントに使用する証明書が不要になったとしたら? あるいは、従業員からのアプリケーションへのアクセスを、ウェブブラウザー経由で必要なアプリケーションだけに制限できるとしたら、状況はどのように変わるでしょうか?

 アクセスは単にネットワーク経由で行われるだけでなく、従業員とデバイスに基づくコンテキスト情報に基づいてコントロールされるようになります。またシステムが従業員の活動を継続的に監視し、認証情報の確認に加えて挙動やパターンを検証することも可能になります。

 これまでは、少数派のテレワーカーのためにIT環境を別途準備する企業が多かったかもしれません。しかし今後は、全ての従業員がいつでもテレワークに切り替えることが可能なIT戦略が必要になります。テレワークができることは当たり前となり、セキュリティ、管理運用の簡易化、従業員エクスペリエンスが今まで以上に注目されるでしょう。

國分俊宏(こくぶん・としひろ)
シトリックス・システムズ・ジャパン セールスエンジニアリング本部 金融SEグループ リードシステムズエンジニア
グループウェアからデジタルワークスペースまで、一貫して働く「人」を支えるソリューションの導入をプリセールスとして支援している。現在は、金融グループのリード・システムエンジニアとして、パフォーマンスを最大化できる働き方、ワークライフバランスを支援する最新技術を日本市場に紹介している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    最も警戒すべきセキュリティ脅威「ランサムウェア」対策として知っておくべきこと

  2. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  3. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  4. セキュリティ

    「どこから手を付ければよいかわからない」が約半数--セキュリティ運用の自動化導入に向けた実践ガイド

  5. ビジネスアプリケーション

    新規アポ率が従来の20倍になった、中小企業のDX奮闘記--ツール活用と効率化がカギ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]