ゼロトラスト時代のセキュリティ対策　レガシーVPNからの脱却とクラウド化のメリット

ゼロトラスト時代にVPNは不要との誤解

ゼロトラストネットワーク（ZTNA）こそが、次世代のネットワークアーキテクチャといわれ、VPNは時代遅れとの記事やニュースを目にすることが増えてきました。

しかしながら、VPNには、様々な種類が存在し、企業のバックボーンで利用されるIP-VPNなどもあるためVPNを一括りにして時代遅れと論じることは、誤解を招くこともあるだろうと私たちは考えています。

このような記事やニュースが出てくる背景には、主にリモートアクセスなどで利用されるレガシーVPN（Internet VPNなど）が持つ様々な課題や問題点にフォーカスされていることにあると考えています。レガシーVPNとは、『企業内に設置したVPN装置にPCにインストールされたVPNクライアントから通信経路を確立し利用するもの』をそのように呼んでおり、従来型VPNなどと表現されることもあるようです。

では、レガシーVPNとはどういったもので、どのような問題を抱えているのかをまずは見ていきましょう。

レガシーVPNとは？

レガシーVPNと呼ばれるものの多くは、「企業内ネットワークにVPN装置を設置し、PCにインストールされたVPNクライアントから、このVPN装置に安全な通信経路を確立することで、企業内ネットワークと安全に接続するもの」です。

これは、企業のネットワークは、インターネット上の様々な脅威からの侵入を防止する目的でFirewallなどを設置し、外部からのアクセスをブロックしつつ、許可されたユーザーのみ企業内へ通信を可能する、そして、その通信経路を仮想的に閉域網化することで、「インターネット上で通信パケットをモニタリングされ、通信内容を解析されること」の防止を主な目的としています。

では、まだ多くの企業で利用されているレガシーVPNにはどのような課題があるのでしょうか？具体的には、以下のような課題が指摘されています。

レガシーVPNの課題

• スケーラビリティが低い（拡張性が低い）
• 認証の弱さ（認証強度が弱い）
• セキュリティの低さ（サイバー攻撃に弱い）
• アクセスの柔軟性が低い（通信経路が限定され非効率）
• ユーザー頼み
• オンプレミス装置との親和性が低い
• コスト効率の悪さ

スケーラビリティが低い（拡張性が低い）

レガシーVPNは、企業内にVPN装置を設置し、この装置が外部からの通信と社内ネットワークをつなぎます。ハードウェアであるこの装置には、当然ながら性能というものが存在しています。つまり、同時接続可能な人数、通信可能なデータ量といったものに性能限界が存在しています。そのため、急激な接続数や通信量の増加への対応が難しく、VPN利用者や通信量の急増に対しての拡張性が弱いという欠点があります。

この場合、「VPN装置をより性能の高いものに変更する」、「新たな装置を追加する」などの対応が必要になりますが、当然ながら費用や構築期間が必要となるため、需要に合わせて即時にアップスケールするといったスケーラビリティが低い（拡張性が低い）という課題が出てきます。

急激な需要の変化へ対応することが難しく、その結果、ユーザーが接続できない、快適な通信速度で利用できないといった状況が発生することで、ユーザーの不満や業務効率の低下を招きます。

認証の弱さ

レガシーVPNの多くは、ユーザー認証にIDとパスワードを利用しています。ID/パスワードの危険性は、いまさら説明するまでもないと思いますが、VPNに限らず、ID/パスワードは、使いまわし、総当たり攻撃、漏洩など様々な問題を抱え、それを悪用した犯罪が後を絶ちません。VPN接続においても、二段階認証や証明書により認証強度を高める施策も存在はしていますが、ユーザー自身が正規の方法で利用しないシャドーITでは、この方法も万全とは言えません。証明書のコストや有効期限管理も課題の一つです。

また、ID/パスワードを不正利用しVPNから侵入するケースでは、情報を搾取する、ウイルスに感染し業務を停止させることを目的とされるケースも多く、大きな被害が出るまで侵入されたことに気が付きにくいといった特徴があります。また、侵入者は、必要な情報を入手すると、最後は侵入の痕跡を消去し何事もなかったかのように立ち去ることさえあります。正しいID/パスワードを利用しアクセスされた場合、それを使っているのが正規のユーザーなのか、不正アクセスを目的としたハッカーなのかを見分けることが困難なのが、ID/パスワードの弱点であり、認証の弱さにつながっています。（関連記事：『認証と認可を実現するIAMについて』）

セキュリティの低さ（サイバー攻撃に弱い）

レガシーVPNは、データセンターやサーバールームに設置されたVPN装置にPCにインストールされたVPNクライアントから接続することで利用します。では、このPCは認証を行うために、インターネットを経由してどこにアクセスするのでしょうか？当然ながら、VPN装置です。インターネット上のIPパケットには、このVPN装置が宛先として通信を行っている情報が含まれています。つまり、VPN装置はここにありますよ、ということが、わかってしまうのです。

VPN装置の場所が分かったからと言って、すぐに危険なわけではありませんが、この装置に脆弱性があった場合、それを利用して企業内ネットワークに侵入、またはVPN装置から認証情報を取得するということが可能になります。事実、VPN装置の脆弱性を悪用された事故は頻発しています。脆弱性の対応がされていないVPN装置のIPアドレスが、ハッカーが集うサイトで公開されていたことも確認されています。

また、警察庁の調査によると、ランサムウェアにあった国内企業のうち、その感染経路の実に62%がVPN装置からの侵入であったことがわかっており、適切な管理運用が行われなければ危険なポイントになりえます。

アクセスの柔軟性が低い（通信経路が限定され非効率）

VPN装置とPCをつなぐことで安全な通信を実現するレガシーVPNですが、その通信経路については、非効率さが目立ちます。

インターネットにアクセスする経路は、
PC→VPN装置→企業内ネットワーク→企業のFirewall→インターネット
という経路を通ることが一般的です。この経路には、VPNを利用しているユーザーの通信状況をFirewallで確認し、制御することができるメリットがある一方、すべての通信を一旦は企業内ネットワークに集めることから、VPN装置だけにとどまらず、企業内ネットワークやFirewallの負担が増加してしまいます。

また、レガシーVPNでは、その通信経路上でルート制御をできないケースが多く、通信集中による問題を解決したいといった要求を実現することが容易ではありません。

ユーザー頼み

レガシーVPNの多くは、ユーザー操作によって接続を開始します。そのため、ユーザーが操作をしなければ、PCはインターネットと直接通信をしています。「Webで調べ物をする」、「クラウドサービスを使う」、「個人的にSNSを閲覧する」、このいずれも、VPNを利用することを必須としないため、ユーザーからすればVPNを利用しなければならない意識が薄れる傾向があります。普段、スマートフォンでインターネットを利用している多くのユーザーにとっては、VPNを利用しないことの危険性を理解するのは難しい面もあります。VPNを利用するかどうか、それはユーザー次第という状況には、思わぬ落とし穴があります。

オンプレミスとの親和性が低い

SaaSや、ZTNAの世界では、オンプレミスこそレガシーかもしれません。しかし、企業にとって、インフラを大きく変えていくことは数年単位のプロジェクトになることもあります。オンプレミス環境を今日なくすことができる、そういった企業は少ないでしょう。そして、レガシーVPNは、こういったオンプレミスにある、さまざまな装置との相性がよくありません。

わかりやすい例として、「AD（Active Directory）を利用し、Windows ログインを管理しているケース」を想定してみましょう。

Windows PCの不正ログインを防止するために、一定間隔でのWindowsパスワードの更新を求めている企業は多いでしょう。また、ネットワークにつながず長期間利用されるとの防止や、紛失対策としてキャッシュログイン（パスワードの有効期間が切れても、Windows PCにログインできる機能）を無効にしているケースも多くあると思います。

つまり、ユーザーは社内ネットワークに接続し定期的にAD認証を行う必要があります。これにより、AD連携によるパスワードの定期更新などが確実に実施できるわけです。

ですが、レガシーVPNを使ったケースではどうなるでしょうか？レガシーVPNの多くは、Windowsにログオンし、VPNクライアントを起動することで、初めて企業内ネットワークとの通信が可能になる、ADと連携が可能です。

ここで、気になることはありませんか？パスワードの有効期限が切れ、Windowsログオンができなければどうなるでしょうか？Windowsにログオンできないため、当然VPNクライアントは起動できない。つまり、PCをVPNを経由してADと通信させることができないため、パスワードの更新ができない。でも、ADと通信しパスワードを更新しなければWindowsにログオンできない。そう、デッドロックしてしまうのです。働き方が多様化する時代を迎え、様々な場所でPCを安全に使う環境が求められる今、セキュリティレベルを下げずこのようなデッドロックを起こさない仕組みの実現は、レガシーVPNでは難しいのです。

コスト効率の悪さ

レガシーVPNはインフラストラクチャーを所有したり、メンテナンスを行ったりする必要があり、隠れたコストが発生しています。また、スケーラビリティが低いため、状況に応じた設備増強などが必要になってきます。

クラウドVPNなら、様々なメリットがある

このように、レガシーVPNには様々な問題があります。また、実際にレガシーVPNが原因となるセキュリティインシデントが起きている今、VPNが時代遅れといわれるのはこういったレガシーVPNの持つ課題・現状からきているものが多いと私たちは感じています。

ゼロトラスト時代に求められるVPN

では、ZTNA時代に求められるVPNとは、どういったものでしょうか？

――――その一つが、クラウドVPNです。

クラウドVPNは、これまでに上げたレガシーVPNが持つ多くの課題を解決できます。VAIOが提供するソコワクを例に、見てみましょう。

スケーラビリティの高さ

VAIOが提供するソコワクは、世界中で80億台、日本国内でも2億台が利用されている携帯電話の認証方式を活用し、非常に効率的な認証と、安定した大容量高速通信を実現しています。十分な能力を持ったクラウド認証装置によって、急な利用者の増加にもタイムリーに、かつ余裕を持った対応が可能です。

認証強度が強い

皆さんも、携帯電話を使った多要素認証の経験はあるでしょう。あなたが保有する認証情報（Something You Have）として携帯電話を一つの認証要素として利用することが増えています。これは携帯電話が持つ「同じ個体が存在できない個体認証方式の安全性」によって成り立っています。ソコワクはこの特徴をあらゆるIPネットワーク上で利用可能にし、個体認証を実現したことで不正アクセスを防止しています。認められた個体（PC）以外からのアクセスは決して認めない個体認証により、シャドーITや、認証情報の不正利用といったリスクがないことが特長です。

セキュリティの高さ

ソコワクの認証装置には、インターネットから直接アクセスすることはできません。アクセスには指定されたGWを通過する必要があり、複雑なキー交換方式によって許可された端末のみ通過が可能です。携帯キャリアを乗り換えたら、APNを書き換えないとスマートフォンが通信できなかった。そんな経験はありませんか？これは、認証装置の手前で、その端末が認証装置との認証手続きに入ることが許可された端末かどうか、その確認をしているためです。携帯電話のテクノロジを利用しているソコワクも、正しい情報を送らなければ、認証装置との通信すら認めません。このように、認証装置は前段で保護されており、セキュリティ対策も万全です。

そして、機器の脆弱性対応や安定稼働に必要な作業から情報システム部門の方々を開放できるマネージドサービスというメリットもあります。

アクセスの柔軟性

ソコワクは、当然ながら社内ネットワークにアクセスするための手段として利用できますが、経路上でインターネットに抜けることも、主要なクラウドプロバイダーに専用線で接続することも可能です。これにより、通信の負荷分散や、クラウドアクセスの速度向上などが実現でき、柔軟なネットワーク構成が実現可能です。

無意識に実現される安心

ソコワクは常時接続、自動接続です。ユーザーが操作すること無く、PCを常に指定した通信経路に接続させることで、インターネットの様々なリスクから守ることが可能です。これによって、PCの通信は必ず決められた経路を通るため、端末通信のログ収集なども確実に行えるメリットがあります。

オンプレミス装置との親和性が高い

ソコワクの常時接続・自動接続には、他のVPNと比較し大きな特徴があります。それは、システムレベルでの常時・自動接続を実現していることです。つまり、Windowsログイン画面では、すでにADとの通信が可能となっています。これにより、PCがネットワークに接続すると同時に、たとえユーザーがログインしていなくても、ADは端末との通信が可能です。他にも、資産管理システムに情報を送信させるといったことが可能になり、PCがどこにあっても、あなたの会社が持つオンプレミス環境の監視下に置くことが可能です。

コスト効率の高さ

クラウドVPNは、レガシーVPNと比較して、インフラストラクチャーを所有したり、メンテナンスを行ったりする必要がなく、コストを削減することができます。また、必要な構成に応じてサービスを購入するため、使用しないリソースに対して支払う必要がなく、コスト効率が高くなっています。

クラウドVPNのさまざまなメリット

ゼロトラスト実現に向けて

ゼロトラストは、現代のセキュリティにおける重要なアプローチであり、従来のネットワークセキュリティの課題を克服するために、企業が採用すべきセキュリティのアプローチの1つですが、クラウドVPNが持つ様々なメリットを、ゼロトラストと組み合わせることで、よりセキュアで柔軟なアクセスを実現することができます。