
好きな所から読む
現代社会の企業は、リモートアクセスであるVPNの現代的な後継として、ゼロトラスト・リモートアクセス・ソリューション(ZTRA)を評価しています。(ゼロトラストの原理や原則を詳しく知りたい方はこちらもご覧ください。)
VPNの起源は1996年にさかのぼりますが、当時はデータセンターがもっとシンプルで静的で、インターネットへの露出が少なかった時代でした。
VPNは、信頼されたネットワーク上のリソースにアクセスする従業員のための「城と堀」のセキュリティ戦略のために設計されました。20年後には、この境界線ベースのセキュリティ・モデルは老朽化しています。ダイナミックなマルチクラウドやハイブリッド環境を運用する企業では、境界線はすべて蒸発しています。管理されていないBYODな端末を使用するモバイル従業員の増加と、企業の機密リソースにアクセスするサードパーティ(請負業者、B2B パートナー、開発者)の増加は、複雑さを増し、セキュリティとネットワークのリーダーがリモートアクセスの新しいアプローチを調査する原因となっています。
VPNの基本をおさらい
VPNとは?
まずはVPNの基本項目を確認していきましょう。VPNとは正式名称で「Virtual Private Network」の意味です。意訳すれば「仮想専用線」となります。インターネット上で離れた場所の間を仮想的な専用線を設けることで安全なデータ通信が可能となる仕組みです。仮想プライベートネットワークとも呼ばれています。この仮想的な専用線ルートを設けることによってインターネット空間をパブリックな空間からプライベートな空間を実現できるようになります。また、セキュリティ面でも、データや盗聴、不正な文書改ざんなど、様々な脅威から情報を守る事ができました。VPNの前は、企業専用のネットワーク専用線を用いていましたが、設置にはかなりのコストと時間がかかっていた為課題が多くありました。そこで、2000年頃にその課題を突破する為に登場したのがVPNでした。VPNはインターネット上で危惧される安全性の問題を、様々なセキュリティ対策へのアプローチにより精度を高めていました。
VPNの種類は?
VPNは大きく分けて二つの種類に分ける事ができます。
インターネットVPN
こちらは一般的なインターネット回線を用いてネットワークに接続します。さらにインターネットVPNもいくつかの種類がありますのでざっくりと紹介します。
・IPsec-VPN(IP Security Architecture)
インターネット上で安全な通信を行う為、情報を暗号化する技術や仕組みです。これにより、万が一情報が流出したり盗聴されていたとしても暗号化によって内容を解読する事が不可能になります。導入の際は、受信者と送信者が同一の専用のソフトをインストールしなければなりません。
・SSL-VPN
先述したIPsecと同様に暗号化することで通信内容を保護する事ができます。IPsecとの違いは、IPsec-VPNがネットワーク層で実装、対してSSL-VPNはセッション層で実装されます。ただ導入の際にはHTTPやPOPなどといったものをアプリケーションにSSLを対応させる必要があります。
・L2TP/IPsec
L2TPは「Layer 2 Tunneling Protocol」を正式名称とします。このL2TPには先述した二つのVPNの様な情報を暗号化する仕組みはありません。そこで、IPsecと併用し使用する事で通信内容の暗号化を行いデータの機密性や完全性を確保する事ができます。
PPTP
PPTPと先述したIPsecの違いは、データの送受信に使うトンネルの数が違います。PPTPは送信と受信ともに一つのVPNトンネルで行い、1本のVPNトンネルだけを使います。IPsecは送信と受信それぞれ別のトンネルを保有しています。Microsoft社によって提唱されたVPNの為、Windowsとの相性がよく、簡単にVPNを構築できます。
IP-VPN
インターネットVPNともう一つの種類がIP-VPNと呼ばれるものです。IP-VPNは大手通信事業者が用意している閉域網を利用したVPNとなります。仕組みとしては、閉域網によりシステムのセキュリティ保持力を高める事が可能で、情報漏洩や盗聴といった脅威から防御する事ができます。通信速度の安定性、セキュリティ面ではインターネットVPNよりも優れていると言えるでしょう。
なぜ今がVPNを交換する時期なのか
老朽化したVPNは、今日のダイナミックなマルチクラウドやハイブリッド環境でモバイル端末をBYOD活用し、企業の機密リソースにアクセスするサードパーティのホストを含む近代的な労働力を保有するような企業の要求には、全く沿うことが出来ません。VPN は、上記のみの理由で運用上非効率的なだけではありません。ダイナミック・クラウドは、毎日のようにニュースで耳にする壊滅的なデータ侵害の主な原因となっている横移動や不正アクセスの課題により、セキュリティ上の負債となっています。2019年の平均的なデータ侵害のコストは392万ドルに達しております。VPNの使い勝手に限らず、セキュリティとネットワークのリーダー・責任者たちがリモートアクセス時のセキュアな方法について新しいアプローチを模索しているのは当然のことです。
VPNの落とし穴
VPNの落とし穴:セキュリティ
- 幅広いネットワークアクセス
- 一回限りの承認や認証
VPNの落とし穴:管理の難しさ
- ネットワークポリシーの管理が複雑
- 他のセキュリティツールとの接続に限界がある
VPNの落とし穴:性能とコスト
- 従業員のユーザーエクスペリエンス(DX)が悪い
- 高価なハードウェア
脱VPNの実例
Google社
すでに脱VPNとし、セロトラストを導入している企業も存在している。世界的企業として有名な大手Google社ではいち早く脱VPNとし、ゼロトラストによる業務体制をとっている。新型コロナウィルスの流行もありリモートワークが世界で重要視される中、2020年4月にリモートワーカーが社内のwebアプリにどこからでもアクセスできるサービス「BeyondCorp Remote Access」の公開を発表しました。このBeyondCorp Remote Accessは、すでにGoogle社において10年近く社内で利用されてきたゼロトラストの理念に基づいて開発されました。これは、VPNを利用する事なく、大企業として多くの社員を抱えるGoogleだからこその課題にアプローチ、あらゆるデバイスから社内アプリケーションにアクセスできる機能を提供しています。このサービスはすでにGoogle社だけではなく、同社サービスのGoogle Cloudの顧客によりすでに多くの企業に使用されています。
Google社は従来のVPN接続での社内ウェブシステムへのアクセスについて以下の問題点を指摘しています。VPNは企業の外部、すなわち請負業者や臨時職員などに対して提供するとなった場合に状況が悪化しやすい事があると考えました。ユーザーが多く広がる場合、組織のネットワークを拡張する必要があります。拡張は多くのリスクを招く可能性があります。VPNはユーザーが全て信頼のおけることを前提としているのです。さらに、VPNは管理が難しく、特に大規模なユーザー数を抱える大企業にとって展開するのが困難です。
Google社は2011年からこれらの諸問題にアプローチした取り組み「BeyondCorp」と呼ばれるゼロトラストアクセスを実装実現のため取り掛かりました。これは、VPNを用いずにGoogle社の従業員と、それ以外の外部の従業員がさまざまなデバイスから作業可能となることです。これこそがVPNの次世代型であり、従来より抜群に細かなアクセス制御が可能となります。
LIXIL
建築材料・住宅設備機器業界最大手の企業LIXILでも脱VPNからゼロトラストへ移行しています。LIXILは、株式会社LIXILグループを中心とする住宅設備機器の主要企業の一つです。新型コロナウィルスの影響で2020年4月からLIXIL社員おおよそ2万5000人がリモートワークを実施しています。他企業では急なリモートワーク要請で多くの課題や問題が浮き彫りになるなか、所謂「VPN渋滞」とは無縁で実施がなされているリモートワークですが、どういった仕組みなのでしょうか?
LIXILは約1500もの業務アプリケーションを保持し、それをリモートワークで利用しながら社外でも社内と同じ様に業務を行う事ができます。LIXILはほんの約1年前までは、多くの企業と同じくリモートワークを行う場合はVPNを前提としていました。リモートワークの際はVPNを常に使用するのが原則であり、たとえ社内の業務アプリケーションを使用しない場合でもその原則が有効でした。SaaS(ソフトウエア・アズ・ア・サービス)やAmazon Web Services(AWS)上でシステムなどを利用する時にも、まず始めに本社にVPNで接続し、そこからインターネットに接続していました。VPNのキャパシティーは1500人分しかあらず、もしコロナが脱VPNの前に発生したとしたら、2万5000人もの従業員を抱えるLIXILはキャパオーバーであったことは言うまでもありません。しかし、現在のところ、リモートワークに移行したとこで大きな問題は起きていないそう。
LIXILはVPNを使わない、アイデンティティー認識型プロキシー(IAP)と呼ばれる新しいリモートアクセス手法を導入し新しいテレワーク環境に移行していました。従業員は業務用のパソコン端末を使えば社内以外のどこにいても、インターネットを接続することで社内と同じ様に働ける環境作りを行っていました。具体的手法としてLIXILは米アカマイ・テクノロジーズの「Enterprise Application Access(以下Akamai EAA)」を導入しています。SaaSやAWS上のアプリケーションを本社のDCを介さずに直接利用することや、社内で保有する1500ものアプリケーションの内1450もの種類がAkamai EAAで利用可能になるど、本社ではスタッフの99%がリモートワークに移行することに成功しています。
ゼロトラスト・ネットワークを実現するベンダーを正しく選定しましょう
ゼロトラストを理解する
ゼロトラストは、従来の境界型セキュリティで採用されていた「場所」による安全性の判定では現在のセキュリティ環境を防御することができないとした考えが背景にあります。守るべき情報そのものにアプローチし、そこにアクセスするユーザー、端末、アプリケーションなどの信頼性を常にチェックするアーキテクチャとなります。社内からのアクセスであっても、ある企業情報に対しアクセスしようと、常にユーユーザは本人なのか、アクセスする権限を持っているか、利用している端末は安全性があるのかといったことを確認します。正しいアクセス権を持ったユーザが本人だと認めれた場合のみアクセスが許可されるシステムです。
ゼロトラスト・ネットワーク・アクセス(ZTNA)は、リモートアクセスVPNに代わる現代的なソリューションです。
ZTNAは、リアルタイム要因、エンドツーエンドの暗号化、および最新のハイブリッドおよび複数のクラウド環境での利用を検討する際には、以下のような基準を考慮する必要があります。VPN に代わるゼロトラスト・ネットワーク・アクセス・ソリューションを評価する際に考慮すべき重要な基準を以下に示します。
【チェックリスト】ゼロトラストを実装するベンダーの判断項目
インストール | 迅速なROI – 15分で簡単にデプロイができる |
100%ソフトウェアプラットフォームになっている。ハードウェアまたは仮想アプライアンスは必要ありません。 | |
お客様のデータセンターへのクラウドインストールとオンプレミスの両方に対応している | |
AWS、GCP、Azure Marketplacesでクリックボタンのデプロイが可能。 | |
企業のネットワークインフラには最小限の変更要求に留める。 | |
統合の容易さ・可能性 | 既存のセキュリティツールと簡単に統合ができる。 |
IDaaS(例:Azure AD、Okta、Ping)と認証部分は連携ができる。 | |
端末の信頼性を検証するMDM / EMMツール(例:Airwatch、Intune、Jamf)などとも統合が簡単にできる。 | |
リアルタイムなデバイスのヘルススコア変更を検知するべく、EDR(例:CarbonBlack、Crowdstrike、Sophos)とも連携が可能。 | |
SIEMとUEBAツール(Splunk Phantom、Demistoなど)とも連携出来る。 | |
アクセス制御 | 最小限の特権アクセス制御のための使いやすい、GUIなど可読性の高いポリシーエンジンが含まれています。 |
アクセスおよびエンフォースメントの意思決定の一部として、既存のツールからのシグナルを組み込んだ信頼スコアリングフレームワークを提供します。 | |
リアルタイムのイベント監視とアラートも提供している。 | |
短期間の認証とトークンによる継続的な認証を提供する。 | |
非常に細かなレベルの操作も可能なAPIハンドラーを提供します。 | |
ネットワーク上では横方向の動きが制限され、インシデント時もリスクが最小限になる。 | |
ポリシーと設定の自動化のためにAPIを提供している。 | |
アーキテクチャ | オープンなインターネットからアプリケーションを隠蔽し、公開部分を減らすまたは無くす。 |
マルチクラウド環境向けに設計されたアイデンティティ対応のプロキシ・アーキテクチャを提供します。 | |
デバイスにインストールして姿勢を確認し、デバイスの信頼性を確立するための軽量アプリを提供している。 | |
中間のCDNクラウドではなく、組織がデータプレーンを所有することを可能にします。 | |
フューチャープルーフは、ユーザーサービスとサービスサービスのゼロトラストユーザーケースの両方をサポートしています。 | |
認証用のネイティブPKIを組み込み、既存のPKIと統合します。 | |
ユースケース | クラウド(IaaS、SaaS)とオンプレミスのユースケースをサポート |
ホスト型Webアプリケーション – HTTP | |
SaaSアプリケーション – SAML/OIDC | |
サーバ – SSH / RDP | |
クラウドサービス – TCP | |
従業員のUX | エンドユーザーに透過性のあるゼロトラストアクセスを提供 |
エンドユーザーの既存のワークフローに干渉しないフリクションレスなアクセス | |
パスワードレスなゼロトラストアクセスをサポート | |
エンドユーザーにトラストスコアのメトリクスを公開するオプションが含まれているため、サポートへの問い合わせを減らすことができます。 | |
ネットワーク | 既存のネットワーキング・インフラストラクチャに変更を加える必要はありません。 |
1つのサービスまたはアプリケーションを1つずつロールアウトする | |
レイヤー6とレイヤー7のネットワークアクセスで透過的に展開 | |
管理するIPアドレスやサブネットが重複しない | |
ネットワークアクセスにIPアドレスの代わりに暗号化されたIDを使用します。 | |
NGFW/VPNアプライアンスは不要 |
ゼロトラストのベンダー紹介
ここで、2019年に発表された調査会社Forrester社による「Zero Trust eXtended Ecosystem Platform Providers」で選出されたリーダー企業を紹介します。
・Cisco
Ciscoはクラウドベースの認証技術を提供するduo Securityを買収したのちに、従来のCisco製品へのポートフォリオ統合を目指し勧めています。買収したduoの強固な認証機能とシンプルなUIにプラスして、Ciscoの既存製品との相互作用によりゼロトラスト実現を目指しています。Ciscoはこの調査レポートの中でリーダー企業の中でも高いポジションの評価を誇っています。また。ネットワーク上のみならず、従業員やデバイスのセキュリティ、duoの持ち前のUIについて高い評価を得ています。
・Illumio
Illumioはゼロトラストにおけるインフラストラクチャのマイクロセグメンテーション構築に強力な強みを持っています。ワークロードセキュリティや可視化と分析だけではなく、自動化やオーケストレーション、管理やUI、APIsについてかなり高い評価を得ています。
・Palo alto Networks
Palo alto Networksは最初にゼロトラストを採用したベンダーの一つです。脱VPN以前からゼロトラストを提唱していました。Palo alto Networksも様々なベンダーの買収を行い、単なるネットワークセキュリティのみに止まらず、クラウドやワークロードへ拡大しました。なんといってもPalo alto Networksの強みは、ゼロトラストを構築するにあたり必要な要素を全て備えていることでしょう。ネットワークやワードロードのセキュリティについても高い評価を得ている他、Palo Alto Networksの戦略やビジョン、ロードマップや他企業との差別化についてなど、企業方針についても高い評価を得ました。
・Akamai Technologies
先述したLIXILでも導入しているアカマイ。セキュリティソリューションを主軸に、同項目ではマーケットリーダーとなる地位を確立しています。また、2016年からはゼロトラストをセキュリティ進出の重要な戦略として掲げています。アカマイも同様に企業戦略について高い評価を得ています。実装できるプロダクトのセキュリティにも高い評価を得ています。
・Okta
SSOのマーケットリーダに位置付けているOkta。scalefTを買収したことによりSSOだけでなく、脱VPNとしてリモートアクセスを提供することに成功しています。Oktaもネットワークや従業員のセキュリティ、戦略性に高い評価を得ています。
ゼロトラストの実装には、適切なベンダーの選定が必須
エンドユーザーの既存のワークフローに対して摩擦がなく、透明性のある適切なゼロトラスト・リモート・アクセス・ソリューションを見つけるということは、アプリケーションやネットワークに変更を加えることなく段階的に展開し、既存のセキュリティツールセットと統合することが求められます。ロールアウトを成功させ、ROIを確保するためにはこの評価ガイドが非常に重要です。この評価ガイドが企業のセキュリティ姿勢を強化するためのゼロトラストリモートアクセスソリューションを検討する際の参考になることを願っています。
ゼロトラストについて非常に詳しくまとまったホワイトペーパーがありましたので、補足としてこちらもご紹介します。