脱VPNをゼロトラストセキュリティで実現! VPNに依存しない安全な通信環境を構築

  • 投稿日:2024 - 7 - 29
  • 更新日:2024 - 10 - 3
  •   

VPNとは、“Virtual Private Network”の略称で、公衆のインターネット回線上において仮想的な専用線環境を構築する仕組みです。テレワークにおける社外から社内システムへのアクセス時や、クラウドへのアクセスを行う際などにセキュリティの安全性を確保するために用いられます。

しかし、近年ではさまざまな理由から、VPNを利用せずに安全な通信環境を構築する“脱VPN”が求められるようになっています。企業の情報システム部門や総務部門の担当者のなかには、「なぜ脱VPNが求められるのか」「VPNに依存しない安全な通信環境を構築するにはどうすればよいのか」などと気になる方もいるのではないでしょうか。

この記事では、脱VPNが求められる理由や期待できる効果、脱VPNを実現するゼロトラストセキュリティについて解説します。

脱VPNが求められる理由

脱VPNが求められる理由として、VPNに関する以下の課題が挙げられます。

▼VPNの課題
セキュリティに脆弱性がある
大容量の通信で不安定になる など

2019年に複数のVPN機器についてセキュリティの脆弱性が報告されて以降、VPN機器を狙ったサイバー攻撃が確認されるようになりました。現在では修正プログラムが製造事業者によって提供されているものの、未修正のまま放置されている機器が狙われるリスクはあり、2023年においてもVPNの脆弱性を利用したサイバー攻撃の被害が報告されています。

また、VPNは機器の能力を超える容量の通信が行われると不安定になる点も課題です。新型コロナウイルス感染症の拡大を契機に企業におけるテレワークの導入が進んだことで、許容量を超えた通信が行われやすくなっていると考えられます。

なお、VPNの課題についてはこちらの記事で詳しく解説しています。併せてご確認ください。

出典:法務省『サイバー空間における脅威の概況2022』/経済産業省『不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況

脱VPNで期待できる効果

脱VPNを行うことで、サイバー攻撃によるリスクの軽減や通信の高速化といった効果が期待できます。

脱VPNを行うことで、VPNの脆弱性を狙ったサイバー攻撃によるリスクの軽減が期待できます。また、VPNはIDとパスワードを用いて外部からの侵入を防ぐ形態のセキュリティです。そのため、IDやパスワードの流出・推測などによって内部への侵入を一度許した場合、VPNでは攻撃を防げない可能性があります。セキュリティの向上を図るには、侵入されたあとにも監視・対応できる仕組みを導入することが有効です。

さらに、脱VPNを実現した場合、クラウド上のデータへの安全なアクセスのために社内ネットワークを介する必要がなくなります。回線のひっ迫を避けられるようになり、通信の高速化につながると期待できます。

脱VPNはゼロトラストセキュリティに基づいた環境構築がカギ

脱VPNを実現するには、ゼロトラストセキュリティに基づいた環境構築を行うことが重要です。

ゼロトラストセキュリティとは、“すべての通信を信頼しない”という考え方を基に、ネットワークに接続する利用者やデバイスを特定して常に監視・確認を行うネットワークセキュリティ環境です。

ただし、ゼロトラストセキュリティを実現できる単一のソリューションは現状存在しないため、安全な通信環境を構築するには複数の手法を組み合わせる必要があります。

なお、ゼロトラストだけでは解決できない課題も存在します。詳しくはこちらの記事をご確認ください。

①ZTNA

ZTNAとは“Zero Trust Network Access”の略称で、ゼロトラストセキュリティの考え方に基づいて厳密なアクセス制御を行う手法です。

VPNの場合、ネットワーク内へのアクセスを包括的に許可または遮断します。それに対して、ZTNAではネットワーク内に存在するデータ・アプリケーションごとにアクセス権限を細分化したうえで接続後の検証を行い、必要最小限のアクセス権限をユーザに付与します。ZTNAを活用することで、IDやパスワードの流出が起きた際にも被害を抑えやすくなると期待できます。

②IAP

IAPとは“Identity-Aware Proxy”の略称で、日本語ではアイデンティティ認識型プロキシやID認識型プロキシと呼ばれます。オンプレミスやクラウド上のアプリケーションにアクセスする際にベンダーのクラウド上にあるIAPを経由し、そのタイミングで認証とアクセス権限の付与を行います。

ただし、IAP自体に認証機能はないため、IDとアクセス情報を管理するソリューションと連携を行うことが一般的です。

③SDP

SDPとは“Software Defined Perimeter”の略称で、オンプレミスやクラウド上のシステムへの接続要求を承認・許可するソリューションです。アクセスが許可された場合、ユーザとアクセス先の間に仮想通信網が一時的に構成されます。一連の通信が終了すると仮想通信網は消滅することから、ネットワークの内側と外側の境界をソフトウェアによって構成・制御する仕組みといえます。

また、IAPと同様にSDP自体に認証機能はないため、本人確認や適切なアクセス権限の付与を行えるソリューションと連携を行う必要があります。

④MAM

MAMとは“Mobile Application Management”の略称で、スマートフォンやタブレットなどのモバイル端末にインストールされたアプリケーションを管理するシステムを指します。

▼MAMによるアプリケーション管理の例

  • アプリケーションのインストール制御
  • ほかのアプリケーションとの連携制限
  • 端末へのデータ複製の制限 など

また、MAMではローカル環境から独立した仮想的な環境を端末上に構築して、仮想環境内でアプリケーションを動作させます。端末内にデータを残さずに業務を行えるためデータの管理が行いやすく、情報漏えいリスクの軽減が期待できます。

加えて、データの処理は端末上で行われることから、通信回線の影響を受けにくい点も特徴です。

なお、MAMについてはこちらの記事で詳しく解説しています。併せてご確認ください。

MAMツール『moconavi』でセキュアな通信を実現

VPNに依存しない安全な通信環境を構築して脱VPNを実現するには、ゼロトラストセキュリティを実施することが重要となります。

moconavi』は、ゼロトラストによる脱VPNを実現するMAMツールです。アプリケーションの管理によって情報漏えいを防止するだけでなく、moconaviを経由して業務を行うことで、セキュアな環境での通信を実現します。

▼moconaviによるセキュアな通信環境

  • 強固な認証機能
  • 各種クラウドや社内システムへの安全なアクセス
  • セキュアブラウザによる高セキュリティで安定したテレワーク

moconaviは独自の認証機能を搭載しており、外部の認証サービスと連携したログインを設定できます。また、IDとパスワードによる基本認証のほか、生体認証を利用したログインが行えます。

moconaviから各種クラウドサービスや社内システムにアクセスを行う際は、moconaviクラウドセンターを経由します。接続経路が一本化されることでIPアドレスによる通信制限が行いやすくなり、セキュアなアクセスが可能です。

詳しくは、以下よりご確認ください。

 

この記事をシェアする