VPNの限界がテレワークで見えた？　VPNからの脱却について

2020年に開催を予定していた東京オリンピック・パラリンピックを機に、東京都や国が推奨してきたテレワーク。奇しくも新型コロナウイルス感染拡大を受けて導入が進むこととなりました。

実際にテレワークの導入に踏み切ってみて、初めてわかることも多いものです。
なかでも、社外から社内ネットワークへ安全に接続する方法として採用されてきた「VPN」に限界を感じているという声がよく聞かれます。

本コラムでは、VPNにおける課題や、脱VPNのために必要なことについてご紹介いたします。

※VPNには、インターネットVPNとIP-VPNなどがありますが、本コラムでは、インターネットVPNを対象とします。

【関連記事】
テレワークにおけるセキュリティ対策

1.脱VPNすべき理由　VPNの課題とは？

2.脱VPNの例

3.脱VPNのために必要なこと

4.まとめ

脱VPNすべき理由　VPNの課題とは？

そもそも、VPNとは、Virtual Private Networkの頭文字を取ったもので、仮想専用線と訳されます。パブリックネットワーク、つまり、他人とネットワーク設備を共用している部分に、仮想的に構築されたプライベートネットワーク（専用線）のことです。

VPNは、特定のユーザーのみが利用でき、通信内容が暗号化されるため、パブリックネットワークを用いながらセキュリティを確保できる技術ですが、物理的にネットワーク機器を通して通信を行う本来のプライベートネットワークに比べると不正アクセスなどのセキュリティリスクは高いといえます。

そもそも、VPNは、社外からのアクセスを例外的に認める手段として、外回りのある営業担当者などのために導入されてきた経緯があります。
脱VPNすべきといわれるVPNの主な課題は、次の3点です。

円滑な遠隔コミュニケーションがとれない

VPNにおける通信は暗号化されるため、その分、通常のネットワークよりも通信負荷が大きく、時間を要します。このため、VPNに使用されるサーバや専用機には、快適な通信速度で使用するために一度に接続できる端末の台数に限りがあります。特に、動画や音声などをやり取りするとデータ通信量が増えるため、さらに負荷がかかり、通信がスムーズに行えません。

このため、テレワークでの主なコミュニケーション手段であるオンライン会議がVPNでは円滑に行いにくくなります。ここへさらに、自宅で契約しているインターネットの通信状況の悪化などの条件が重なると、なお重くなります。

これを解消するには、VPNサーバや専用機、同時接続数を増強する必要がありますが、コストの問題から十分なインフラを整備できていない企業が少なくありません。

クラウドのメリットが相殺されてしまう

テレワークにクラウドサービスを活用している企業は多いと思いますが、VPNでクラウドサービスを利用する場合、自宅などにあるPCからVPNを経由して、一度、社内ネットワークへ接続し、さらに、社外のクラウドサービスへアクセスすることになり、接続に時間がかかります。

また、本来、クラウドサービスの最大のメリットは、コンピューター資源を意識せずに利用できる点であるのに、VPNを経由しなければ利用できないとなると、VPNサーバがダウンしてしまえばクラウドも利用できなくなってしまい、本末転倒です。

VPN機器の脆弱性が狙われる

VPN接続の際には、端末にインストールするクライアントソフトウェアや、企業側に専用のルータを設置する必要などがあります。こうしたVPNを構築する機器類に脆弱性があった場合、これを悪用して不正アクセスされるリスクがあります。

実際にVPN機器の脆弱性が複数、報告されており、各メーカーは修正プログラムを提供しています。しかし、これを適用しないまま、脆弱性を悪用したサイバー攻撃の被害に遭っている事例も報告されています。

脱VPNの例

上記のような理由から、VPNからの脱却に取り組む動きも見られます。
VPNは、ゼロトラストセキュリティに対して境界型とよばれるセキュリティモデルに基づくネットワークモデルです。しかし、前章でお伝えしたような理由に加え、内部犯行によるサイバー攻撃対策の観点から、すべてのユーザー、アクセス要求、サーバを信用できないものとするゼロトラストセキュリティが登場しました。

実際にこのゼロトラストセキュリティに基づいてVPNを利用しないリモートアクセス手法を導入している企業もあります。

たとえば、VPNの代わりに、「アイデンティティー認識型プロキシ（IAP）」とよばれる手法を採用する方法があります。IAPとは、ユーザーとアプリケーションの間に入り、通信を仲介してくれるプロキシサーバを活用した接続で、ユーザーがアプリケーションにアクセスするたびに認証を行います。もし、不正アクセスが疑われる場合は、多要素認証が求められます。

ほかには、PCなどの端末に専用のソフトウェアをインストールした上で、クラウドを経由して社内ネットワークやインターネットへアクセスするタイプのセキュリティソリューションを採用している企業もあります。社内外を問わず、このクラウドからアクセスすることで、VPNを使用せずにセキュアなアクセスを実現しました。

脱VPNのために必要なこと

現状でリモートアクセスにVPNを利用している場合、一気に脱VPNを行うことは簡単なことではありません。ただ、将来的にVPNからゼロトラストネットワークへ切り替えることで脱VPNを実現できるよう、段階を踏んで少しずつ準備を進めることはできます。

具体的には、多要素認証などを導入して、オンライン会議やクラウドサービスなど、VPNを介すことで利便性が下がってしまう一部のアクセスから、様子を見ながらVPNを介さずにネットワークに接続する方法を模索していくのが良いでしょう。

ゼロトラストセキュリティ

脱VPNのために必要なのが「ゼロトラストセキュリティ」です。あらためて、ゼロトラストセキュリティとは、「すべてのユーザー、アクセス要求、サーバを信用できないもの」という考え方に基づくセキュリティモデルのことです。

従来型の「守るべき資産は社内のネットワーク内にあり、外部ネットワークとの境界を監視することで、外部からのアクセスを防ぐ」という考え方に基づく「境界型セキュリティ」に対して出てきたモデルです。

境界型セキュリティは、社内ネットワークと社外ネットワークの境界にファイアウォールやゲートウェイ型アンチウィルスソフトを設置し、不正侵入を検知・防御するという方法でセキュリティを守ります。

一方、ゼロトラストセキュリティでは、アクセスのリクエストがあるたびに、端末やユーザーをチェックして不審な場合はアクセスを許可しません。ID管理を徹底し、あらかじめ権限を付与した必要最低限のアプリケーションやクラウドにのみアクセスを許可します。

また、各端末から直接、インターネットに接続するようになるため、エンドポイントセキュリティを強化することも重要です。EDRなどを導入してマルウェアや不正なプログラムなどから端末を保護しましょう。

まとめ

テレワークの導入が進み、注目されたVPNですが、もともと、常時接続を想定せずに広まったリモートアクセスの手法でもあり、テレワークにおいてほころびが出てきています。
VPNは、従来型のセキュリティモデルである「境界型セキュリティ」に根差したネットワークのため、内部犯行にも弱い面があります。

VPNにおける課題を解決する新たなアクセス方法として、ゼロトラストモデルに基づくゼロトラストネットワークがあります。具体的には、ID管理やアクセスの可視化、ログの取得、エンドポイントセキュリティなどによって実現可能です。VPNに限界を感じている企業様は、ゼロトラストへの移行を検討されてみてはいかがでしょうか。

アイネスでは、ID管理や多要素認証、シングルサインオン機能をクラウドでご利用いただけるサービス「Okta」を提供しております。
詳しくは、下記ページをご覧ください。

【関連サービス】クラウド型ID管理・統合認証サービス／IDaaS　Okta

※ 本文に掲載されている会社名・団体名および製品名は各社または団体等の商標または登録商標です。