fbpx

VPNからゼロトラストネットワークアーキテクチャへの移行を検討

現代社会の企業は、リモートアクセスであるVPNの現代的な後継として、ゼロトラスト・リモートアクセス・ソリューション(ZTRA)を評価しています。(ゼロトラストの原理や原則を詳しく知りたい方はこちらもご覧ください。)

 

VPNの起源は1996年にさかのぼりますが、当時はデータセンターがもっとシンプルで静的で、インターネットへの露出が少なかった時代でした。

VPNは、信頼されたネットワーク上のリソースにアクセスする従業員のための「城と堀」のセキュリティ戦略のために設計されました。20年後には、この境界線ベースのセキュリティ・モデルは老朽化しています。ダイナミックなマルチクラウドやハイブリッド環境を運用する企業では、境界線はすべて蒸発しています。管理されていないBYODな端末を使用するモバイル従業員の増加と、企業の機密リソースにアクセスするサードパーティ(請負業者、B2B パートナー、開発者)の増加は、複雑さを増し、セキュリティとネットワークのリーダーがリモートアクセスの新しいアプローチを調査する原因となっています。

VPNの基本をおさらい

VPNとは?

まずはVPNの基本項目を確認していきましょう。VPNとは正式名称で「Virtual Private Network」の意味です。意訳すれば「仮想専用線」となります。インターネット上で離れた場所の間を仮想的な専用線を設けることで安全なデータ通信が可能となる仕組みです。仮想プライベートネットワークとも呼ばれています。この仮想的な専用線ルートを設けることによってインターネット空間をパブリックな空間からプライベートな空間を実現できるようになります。また、セキュリティ面でも、データや盗聴、不正な文書改ざんなど、様々な脅威から情報を守る事ができました。VPNの前は、企業専用のネットワーク専用線を用いていましたが、設置にはかなりのコストと時間がかかっていた為課題が多くありました。そこで、2000年頃にその課題を突破する為に登場したのがVPNでした。VPNはインターネット上で危惧される安全性の問題を、様々なセキュリティ対策へのアプローチにより精度を高めていました。

VPNの種類は?

VPNは大きく分けて二つの種類に分ける事ができます。

インターネットVPN

こちらは一般的なインターネット回線を用いてネットワークに接続します。さらにインターネットVPNもいくつかの種類がありますのでざっくりと紹介します。

・IPsec-VPN(IP Security Architecture)

インターネット上で安全な通信を行う為、情報を暗号化する技術や仕組みです。これにより、万が一情報が流出したり盗聴されていたとしても暗号化によって内容を解読する事が不可能になります。導入の際は、受信者と送信者が同一の専用のソフトをインストールしなければなりません。

・SSL-VPN

先述したIPsecと同様に暗号化することで通信内容を保護する事ができます。IPsecとの違いは、IPsec-VPNがネットワーク層で実装、対してSSL-VPNはセッション層で実装されます。ただ導入の際にはHTTPやPOPなどといったものをアプリケーションにSSLを対応させる必要があります。

 

L2TP/IPsec

正式には「L2TP over IPsec VPN」といいます。L2TPとは「Layer 2 Tunneling Protocol」のことです。ネットワーク間でVPN接続を実現するトンネリングプトコルのことです。L2TP自体には暗号化の仕組みはないのですが、IPsecと併用することで通信内容の暗号化を行い、データの機密性や完全性を確保します。

PPTP

PPTP(Point to Point Tunneling Protocol)もVPNを構築するための方式の一つです。PPTPとIPsecの違いはデータの送受信に使うトンネルの数が異なります。PPTPでは送信・受信ともに一つのVPNトンネルで行い、1本のVPNトンネルだけ作ります。一方でIPsecは送信用と受信用でそれぞれ別のトンネルを作ります。

PPTPはマイクロソフト社によって提唱されたこともあり、Windowsとの親和性が高く手軽にVPNを構築できます。

2. IP-VPN

VPNのもう一つの種類がIP-VPNです。IP-VPNは大手の通信事業者が用意している閉域網を利用したVPNです。

閉域網を使用することでセキュリティを高め、情報漏洩や盗聴される心配もありません。そのため通信速度の安定性やセキュリティ面ではインターネットVPNより優れています。

IP-VPNではMPLS(Multi Protocol Label Switching)と呼ばれる技術が利用されています。ラベルと呼ばれる2種類のヘッダを付与することで、データの転送経路とネットワークを識別します。

 

なぜ今がVPNを交換する時期なのか

老朽化したVPNは、今日のダイナミックなマルチクラウドやハイブリッド環境でモバイル端末をBYOD活用し、企業の機密リソースにアクセスするサードパーティのホストを含む近代的な労働力を保有するような企業の要求には、全く沿うことが出来ません。VPN は、上記のみの理由で運用上非効率的なだけではありません。ダイナミック・クラウドは、毎日のようにニュースで耳にする壊滅的なデータ侵害の主な原因となっている横移動や不正アクセスの課題により、セキュリティ上の負債となっています。2019年の平均的なデータ侵害のコストは392万ドルに達しております。VPNの使い勝手に限らず、セキュリティとネットワークのリーダー・責任者たちがリモートアクセス時のセキュアな方法について新しいアプローチを模索しているのは当然のことです。

VPNの落とし穴

VPNの落とし穴:セキュリティ

  • 幅広いネットワークアクセス
  • 一回限りの承認や認証

VPNの落とし穴:管理の難しさ

VPNの落とし穴:性能とコスト

  • 従業員のユーザーエクスペリエンス(DX)が悪い
  • 高価なハードウェア
VPNがなぜテレワークに適していないのか、より詳しい内容をホワイトペーパーでまとめております。
今だけ無料でダウンロード出来ますので、興味のある方は是非ご覧ください。

ゼロトラスト・ネットワークを実現するベンダーを正しく選定しましょう

ゼロトラスト・ネットワーク・アクセス(ZTNA)は、リモートアクセスVPNに代わる現代的なソリューションです。
ZTNAは、リアルタイム要因、エンドツーエンドの暗号化、および最新のハイブリッドおよび複数のクラウド環境での利用を検討する際には、以下のような基準を考慮する必要があります。VPN に代わるゼロトラスト・ネットワーク・アクセス・ソリューションを評価する際に考慮すべき重要な基準を以下に示します。

他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

【チェックリスト】ゼロトラストを実装するベンダーの判断項目

インストール 迅速なROI – 15分で簡単にデプロイができる
100%ソフトウェアプラットフォームになっている。ハードウェアまたは仮想アプライアンスは必要ありません。
お客様のデータセンターへのクラウドインストールとオンプレミスの両方に対応している
AWS、GCP、Azure Marketplacesでクリックボタンのデプロイが可能。
企業のネットワークインフラには最小限の変更要求に留める。
統合の容易さ・可能性 既存のセキュリティツールと簡単に統合ができる。
IDaaS(例:Azure AD、Okta、Ping)と認証部分は連携ができる。
端末の信頼性を検証するMDM / EMMツール(例:Airwatch、Intune、Jamf)などとも統合が簡単にできる。
リアルタイムなデバイスのヘルススコア変更を検知するべく、EDR(例:CarbonBlack、Crowdstrike、Sophos)とも連携が可能。
SIEMとUEBAツール(Splunk Phantom、Demistoなど)とも連携出来る。
アクセス制御 最小限の特権アクセス制御のための使いやすい、GUIなど可読性の高いポリシーエンジンが含まれています。
アクセスおよびエンフォースメントの意思決定の一部として、既存のツールからのシグナルを組み込んだ信頼スコアリングフレームワークを提供します。
リアルタイムのイベント監視とアラートも提供している。
短期間の認証とトークンによる継続的な認証を提供する。
非常に細かなレベルの操作も可能なAPIハンドラーを提供します。
ネットワーク上では横方向の動きが制限され、インシデント時もリスクが最小限になる。
ポリシーと設定の自動化のためにAPIを提供している。
アーキテクチャ オープンなインターネットからアプリケーションを隠蔽し、公開部分を減らすまたは無くす。
マルチクラウド環境向けに設計されたアイデンティティ対応のプロキシ・アーキテクチャを提供します。
デバイスにインストールして姿勢を確認し、デバイスの信頼性を確立するための軽量アプリを提供している。
中間のCDNクラウドではなく、組織がデータプレーンを所有することを可能にします。
フューチャープルーフは、ユーザーサービスとサービスサービスのゼロトラストユーザーケースの両方をサポートしています。
認証用のネイティブPKIを組み込み、既存のPKIと統合します。
ユースケース クラウド(IaaS、SaaS)とオンプレミスのユースケースをサポート
ホスト型Webアプリケーション – HTTP
SaaSアプリケーション – SAML/OIDC
サーバ – SSH / RDP
クラウドサービス – TCP
従業員のUX エンドユーザーに透過性のあるゼロトラストアクセスを提供
エンドユーザーの既存のワークフローに干渉しないフリクションレスなアクセス
パスワードレスなゼロトラストアクセスをサポート
エンドユーザーにトラストスコアのメトリクスを公開するオプションが含まれているため、サポートへの問い合わせを減らすことができます。
ネットワーク 既存のネットワーキング・インフラストラクチャに変更を加える必要はありません。
1つのサービスまたはアプリケーションを1つずつロールアウトする
レイヤー6とレイヤー7のネットワークアクセスで透過的に展開
管理するIPアドレスやサブネットが重複しない
ネットワークアクセスにIPアドレスの代わりに暗号化されたIDを使用します。
NGFW/VPNアプライアンスは不要

ゼロトラストの実装には、適切なベンダーの選定が必須

エンドユーザーの既存のワークフローに対して摩擦がなく、透明性のある適切なゼロトラスト・リモート・アクセス・ソリューションを見つけるということは、アプリケーションやネットワークに変更を加えることなく段階的に展開し、既存のセキュリティツールセットと統合することが求められます。ロールアウトを成功させ、ROIを確保するためにはこの評価ガイドが非常に重要です。この評価ガイドが企業のセキュリティ姿勢を強化するためのゼロトラストリモートアクセスソリューションを検討する際の参考になることを願っています。

ゼロトラストについて非常に詳しくまとまったホワイトペーパーがありましたので、補足としてこちらもご紹介します。

SNSでもご購読できます。

コメントを残す

*