Global Reachグローバル展開する企業を支援

MENU

コラム|Column

COVID-19を機に働き方が大きく変わりました。VPNは社外の様々な場所と社内ネットワークを繋ぐようになりました。しかし、そこを狙うサイバー犯罪は狡猾さを増しています。事実、VPNの脆弱性を狙ったサイバー攻撃は後を絶ちません。こうした背景から、脱VPNの機運が高まっています。

ゼロトラストネットワークアクセス(ZTNA)とVPNの違い

脱VPNを考える際、近年注目を集めているのがゼロトラストネットワークアクセス(ZTNA)です。VPNとゼロトラストネットワークアクセス(ZTNA)はネットワークという観点から同じ文脈で語られる場合もありますが、実際は大きく異なります。それぞれ解説します。

1. VPNとは

VPNには大きく分けて「インターネットVPN」「IP-VPN」があり、インターネットVPNがインターネット回線を利用するのに対し、IP-VPNは通信事業者が提供する閉域ネットワークを利用します。一般的にIP-VPNの方がコストは高くなります。

特にCOVID-19の感染症の拡大に伴うワークフロムホームを実現するための手段として、インターネットVPNの利用が急速に増加しています。

2. ゼロトラストネットワークアクセス(ZTNA)とは

ZTNAはZero Trust Network Accessの頭文字を取ったものです。基本的に何も信用しないという「ゼロトラスト」の原則に則り、社内・社外を問わず厳密にアクセスを制御する「考え方」です。

ZTNAは2019年にGartner社が提唱したアクセス形態で、2010年にForrester Research社が提唱したZero Trustをベースにした概念です。クラウドの普及やデジタルトランスフォーメーションなど、企業のインフラへの考え方が大きくなった近年、注目を集めています。VPNが一度認証を通った通信において、リソースへのフルアクセスを許す場合があるのに対し、ZTNAはアプリケーションやデータへアクセスする度に、ユーザーを評価しアクセスを制御します。

認証情報の漏えいによる不正アクセスや、それに起因する機密情報の漏えいなどのリスクを大きく抑制できるのが特長です。

(参考)ゼロトラストネットワークアクセス(ZTNA)とは?背景やゼロトラストを実現する機能を解説

脱VPNの機運が高まる背景

イメージ図

VPNはこれまでリモートアクセスの手段として広く使われてきました。しかし、昨今の働き方の変化によって仕組みとしての限界が顕在化しつつあるのも事実です。

1. COVID-19の影響で境界が曖昧になるワークプレイス

COVID-19の影響によって自宅や会社の外で業務を行う頻度が増え、社内と社外の「境界線」がより曖昧になっています。多様な環境から、社内ネットワークに接続するようになり、PCだけでなく、スマートフォンやタブレットなど複数の端末が接続されるようになりました。その中には、企業の管理外である私用端末なども含まれます。

2. クラウドの浸透によるインターネットトラフィックの増加

働き方の変化に伴い、Microsoft 365やZoomなどに代表されるクラウドサービスを業務で利用するケースが増加しました。日常的に使用する業務アプリケーションがクラウドになることで、インターネットトラフィックが大幅に増加しVPNの設備を圧迫するようになっています。コロナ禍ではVPNの通信速度が遅い、あるいは社内ネットワークにアクセスできないといったトラブルも頻発しました。

3. レガシーVPNの脆弱性を狙った攻撃の頻発

VPNの利用シーンが増えるにつれて、旧型のVPN機器やVPNサービスの脆弱性を狙った攻撃も多発するようになりました。脆弱性が発見されて、パッチが公開されているにも関わらず、すぐに対応できない機器も存在します。こうしたレガシーVPNはサイバー犯罪者の格好のターゲットです。

VPNは一度認証を通ってしまうと、ネットワーク内の他のリソースへのアクセスも許してしまうリスクがあります。パスワードなどの認証情報の漏えいから機密情報の漏えいやランサムウェア感染に繋がるケースも増加しています。

4. システム部門の業務負荷の増大

増大するトラフィックの制御や、ネットワーク機器の増設・メンテナンスなどシステム部門の負荷も高まっています。ユーザーのアクセス環境が多様化することで、リモートアクセス環境に対し、統一したセキュリティポリシーを設定することが難しくなっているのです。結果的に、拠点間でセキュリティポリシーや運用状況にバラツキが出るなどのほころびも生じています。

VPNの脆弱性が狙われた事例

イメージ図

実際にVPNの脆弱性が狙われた事例を紹介します。

1. 大手石油パイプラインのレガシーVPNを狙った攻撃

2020年に起こった石油パイプラインへのサイバー攻撃はメディアでも大きく報道されました。この攻撃では旧型のVPNがパスワード認証のみであったことで、不正アクセスの起点となってしまいました。犯罪者は不正アクセスによってネットワークへ侵入、ランサムウェアを感染させました。パイプラインが一次操業停止に陥る事態に発展し、440万ドルという多額の身代金が支払われました。

2. 大手VPNサービスの脆弱性を狙ったパスワード窃取攻撃

2019年、大手VPNサーバーの脆弱性が発覚し、修正パッチが提供されました。しかしながらパッチを適用しないまま運用を継続している企業が少なからず存在し、こうした企業のIPアドレス情報が闇サイトで取引されるようになりました。この脆弱性を狙った攻撃によりヨーロッパの複数の製造業でランサムウェアによる被害を引き起こしています。

VPNを使い続けるメリットはあるのか

変化する働き方や、高度化するサイバー犯罪。果たしてVPNを今後も使い続けるメリットはあるのでしょうか? 近年では全世界的に脱VPNの動きが加速しています。VPNをあえて使い続けるメリットは小さいといえるでしょう。しかし企業によっては、新たな設備投資を行う予算が少ない、あるいはオペレーションの変更が難しい場合も考えられます。

また、リモートワークの頻度が少なく、拠点数も限られる場合などはVPNを利用し続けるという選択肢もあります。ただしその場合は適切なパッチマネジメントと、パスワードポリシーの見直し、多要素認証の導入などは必要不可欠でしょう。

VPNからZTNAへ移行するメリット

イメージ図

VPNに換わる仕組みとして注目を集めているのがZTNAです。では、VPNからZTNAへ移行するメリットは具体的にどのようなものでしょうか?

1. リソースやポートに対する攻撃リスクを抑制できる

ZTNAでは基本的にユーザー(端末)は、ZTNAベンダーが提供するアクセスポイントと通信します。そのため、社内ネットワークなどのリソース(いわば開口部)を外部から隠蔽できます。そのためVPNと比べ、外部からの攻撃リスクを抑えられるのです。

2. マルウェアの拡散を抑えることができる

VPNではネットワークレベルでの接続がされるため、端末からのマルウェア・ランサムウェアの拡散が容易に行われてしまうのに対し、ZTNAではアプリケーションレベルでのアクセスになり、端末からのマルウェア・ランサムウェアの拡散を防ぐことができます。

3. 認証・認可を強固かつきめ細かく制御できる

上述の事例の通り、旧型のVPN装置はパスワード認証だけのものも少なくありません。またVPNに限らず複数のサービスを利用するケースにおいて、その認証強度がまちまちであることもよくあります。

パスワードの使い回しや、容易に想像がつく低強度のパスワードなどは、不正アクセスの起点となります。ZTNAでは多要素認証を含む認証・認可のポリシーをアプリケーションレベルで設定でき、かつ一元管理できます。

4. ネットワークトラフィックの集中や遅延を防げる

VPNでは基本的にすべての通信が社内ネットワークを経由します。そのためMicrosoft Teamsなどクラウド上にあるリソースも社内ネットワーク経由でアクセスします。多くの従業員がVPNを利用することで、トラフィックが集中し、通信の遅延などが生じやすくなるのです。

ZTNAは一度認証を通れば、社内ネットワークを経由することなく、直接クラウド上のリソースにアクセスできるため、トラフィックの集中や遅延を防げます。

VPNでトラフィックを抑制する際はインターネットブレイクアウトという手法を取ることがありますが、別途セキュリティ対策を検討しなければなりません。ZTNAのソリューションにはSWGやCASBを備えたものもあるため、利便性とセキュリティを両立できます。

まとめ

リモートワークの浸透によってワークプレイスの境界は曖昧になり、そこに乗じようとするサイバー犯罪者はその牙と爪を磨いています。こうした環境の変化とリスクの高まりに対し、VPNでは限界が来つつあるのは事実です。

企業はゼロトラストの原則に則り、境界型セキュリティから脱却する必要性があります。ZTNAはゼロトラストを体現し、脱VPNを推進するためのテクノロジーとしてますます重要になるでしょう。

ZTNAは安全性を保ちながら、快適な業務環境を提供できるソリューションです。IIJではZTNAソリューションである「Safous」を新たにリリースしました。詳しくは下記Safousのウェブサイトをご覧いただくか、お問い合わせボタンからお問い合わせください。

Safous公式ウェブサイト

関連リンク