オフィスワーカーの69%が個人所有のノートPCを業務に使用していると報告されており、2030年までに5,000万~8,000万件のオフィス内業務がリモートで行われるようになるという専門家の予測もあることから、組織のリソースのリモートアクセスの安全確保は不可欠となっている。遠隔地の従業員は、公衆ネットワークから会社のリソースにアクセスしたり、マルウェアが含まれている可能性のあるデバイスを使用したりすることが多く、データ漏洩や機密データ漏えいなど、マルウェアの一種によるエンドポイント攻撃を受けた企業の81%に影響を与えています。
最も一般的なセキュア・アクセス・アプローチは、VPN(バーチャル・プライベート・ネットワーク)とZTNA(ゼロ・トラスト・ネットワーク・アクセス)の2つである。VPNは中央集中型のアプローチで、中央サーバーを経由してネットワークにデータを転送する前にユーザーを認証する。ZTNAは、ユーザーがアクセスすることを許可されたネットワーク内の特定のリソースへの直接的で安全なアクセスを提供する。
VPNとは?
VPNは、ユーザーのデバイスとネットワークの間に、インターネット上で安全で暗号化された接続を作成するために設計された技術です。VPNのデータ・セキュリティは、デバイスやネットワーク間で転送されるデータの暗号化されたトンネルの作成に基づいています。
もともとVPNは、1990年代にマイクロソフト社がPPTP(Point-to-Point Tunneling Protocol)を導入した際に開発された。インターネットの進化とサイバー攻撃の高度化に伴い、VPNの利用は組織や個人を問わず増加している。 VPNは、社内リソースへの安全なリモートアクセスの許可、支社と本社の接続、出張中のプライバシー強化など、さまざまな企業アプリケーションに不可欠なソリューションです。
VPNの仕組み
VPNは、通常パスワードや二要素認証を使ってユーザーの身元を確認する認証から始まります。次に、VPNクライアントとサーバーは、L2TP、IKEv2、OpenVPNなどのVPNプロトコルを使用して、データの暗号化と復号化の方法を確認するプロセスであるハンドシェイクを実行します。セッション中、データ・パケットはカプセル化され、潜在的に安全でないネットワークを安全に転送されます。
VPNには大きく分けて、リモートアクセスとサイト間の2種類がある。リモート・アクセス・ネットワークは、個人が遠隔地のネットワークに接続するために使用します。サイト・ツー・サイト・ネットワークは、複数の拠点間で安全で暗号化された接続を作成することにより、ネットワーク全体を接続するために使用されます。
VPNは、認証されたユーザーにネットワーク全体へのアクセスを許可する。このアプローチには、脅威行為者に悪用される攻撃対象が増えるという欠点があるため、多くの組織がネットワークへの安全なアクセスを提供するために、より制限的なソリューションを求めるようになっている。
ZTNAとは?
ZTNAは、ゼロトラストの原則に基づくセキュアなネットワークアクセスのための最新のソリューションである。ZTNAネットワークでは、接続されたデバイスはデフォルトでは信頼されない。ZTNAネットワークでは、接続されたデバイスはデフォルトで信頼されておらず、アプリケーションやサーバーなど、接続が許可されたリソース以外のリソースを認識することはできません。ZTNAにおけるユーザー・アクセスは、アイデンティティ、デバイスの姿勢、コンプライアンスに基づいて各デバイスのセキュリティ・ステータスを評価した後に許可される。
人気の高まりとともに、ZTNAはクラウドベースの環境でセキュアなアクセスを管理するための堅牢なソリューションとして組織に採用されている。中央ネットワークを経由しない条件付きアクセスにより、分散したチームを抱える組織にとって有利なソリューションとなっている。
ZTNAの仕組み
ZTNAのセキュリティモデルは、ネットワーク境界の内外に信頼がないことを前提に構築されている。特定のリソースへのアクセスを許可する前に、各ユーザーとデバイスを個別に検証する。このプロセスでは、ユーザーの身元を認証し、デバイスのセキュリティ態勢を評価することで、コンプライアンスに準拠し、許可されたデバイスのみにアクセスを許可します。
ZTNAは、位置情報、デバイスの健全性、その他のリスク指標の評価など、アクセスごとにコンテキストに応じたセキュリティチェックを常に適用している。ユーザー認証では、MFA(多要素認証)やIAM(ID・アクセス管理)など、複数のテクノロジーを活用する。さらに、マルウェアのチェック、最近のセキュリティ・アップデートの確認、エンドポイント保護が有効であることの確認など、さまざまな方法でデバイスのセキュリティを評価します。
最小特権の原則を採用することで、ZTNAは各セッションに必要なリソースのみにアクセスを許可する。これは、ネットワークセグメント全体へのアクセスを許可するVPNとは対照的であり、必要のないアプリケーションやデータがユーザーに公開される可能性があります。
ZTNAソリューションの利点
セキュリティ・ベネフィット
ZTNAは、必要なリソースのみにアクセスを許可することで、攻撃対象領域を縮小する。セキュリティ侵害が発生した場合、ZTNAのポリシーが敵対者の横方向の動きを制限する。
ユーザー・エクスペリエンスの向上
ユーザーは、特定のソフトウェアに依存することなく、最小限の設定で、自分のデバイスからZTNAを介してアプリケーションに安全にアクセスします。ZTNAのコンテキスト・セキュリティ・チェックによるセキュリティ上の利点に加え、ユーザーが各アプリケーションを個別に再認証する必要もありません。
スケーラビリティ
ZTNAはクラウドやハイブリッド環境に適した設計になっており、管理者はアプリケーションの追加や削除、ユーザーのアクセス権限の変更を簡単に行うことができる。
パフォーマンス
ユーザーは中央サーバーにルーティングすることなく直接アプリケーションに接続するため、遅延が少なく、パフォーマンスが向上します。このアプローチにより、ネットワーク・トラフィックの多いVPNソリューションで時折発生するボトルネックを回避することができます。
コントロール強化
各ユーザーの接続に対するきめ細かいアクセス制御は、各ユーザーがどのリソースにアクセスできるかを保証する。
ZTNAとVPNの比較
セキュリティ・モデル
- VPN:ユーザーの認証は一度だけ行われ、その後ネットワーク全体の信頼が確立される。
- ZTNA:セッションごとに認証が必要で、ユーザーとデバイスの継続的なコンテキスト認証に重点を置いている。
きめ細かなアクセス制御
- VPN:接続はユーザーを認証した後、ネットワーク全体へのアクセスを許可する。
- ZTNA:コンテキスト・セキュリティ・ポリシーに基づいて、特定のアプリケーションやリソースへのきめ細かなアクセスを提供する。
パフォーマンスとスケーラビリティ
- VPN:大容量データの転送や同時接続ユーザーの増加により、パフォーマンスが低下する可能性がある。VPNは複数のサーバーを経由してデータセンターの中央ポイントにデータを転送するため、クラウド環境での拡張が難しい。
- ZTNA:直接アプリケーションに接続するアプローチにより、中央集中型の接続が不要になり、パフォーマンスが向上するため、クラウド環境での拡張に適したソリューションとなる。
ユーザー エクスペリエンス
- VPN:エンドユーザーがクライアント・ソフトウェアをローカル・マシンにインストールする必要がある。VPNクライアントのインストールや設定は、多くのユーザーにとって難しい。また、ネットワークトラフィックの多い時間帯に接続速度が低下すると、フラストレーションや生産性の低下につながる可能性がある。
- ZTNA:その複雑さのほとんどは初期設定に関するもので、ITやクラウドの専門家が対応します。ユーザー・レベルでは、エンド・ユーザーが認証されると接続がスムーズになり、必要なアプリケーションへの迅速かつシームレスなアクセスが可能になります。
リモートワークへの適応性
- VPN:会社のリソースへの広範なアクセスは、複数の場所から会社のネットワークに接続する、ダイナミックで拡張可能なリモートワーカーには適さないかもしれない。
- ZTNA:クライアント・アプリケーションをインストールする必要がなく、必要なリソースへのアクセスのみを可能にするため、遠隔地にいる従業員のアクセスを保護するのに適している。
企業にとっての主な考慮事項
スケーラビリティ
SaaS、Fintech、AIサービスなど、常にスケーラビリティを必要とするビジネス環境では、クラウド環境とともに拡張できるZTNAの方が適しているかもしれない。VPNは、継続的なメンテナンスが必要であり、管理するために多様なスキルセットを持つ専門家が利用可能であるため、これらの環境に課題を追加する可能性がある。
セキュリティ
ZTNAはネットワーク内での横方向の移動を最小限に抑えるため、BYODポリシーの強化やサードパーティ・アクセスを可能にするシステムには好ましいソリューションです。しかし、ZTNAソリューションは斬新であるため、レガシー・システムに対するサポートが不足している場合があります。このような場合、レガシー・アプリケーションへのセキュアなアクセスにはVPNの方が有益です。
パフォーマンス
ZTNAは、地理的に様々な場所にチームが分散している組織にとって有利なソリューションとなり得る。ゼロ・トラスト・ネットワーク・アクセスとVPNの比較では、その分散型ダイレクト・アクセス・モデルにより、低遅延とボトルネックが生じません。
既存のインフラ
組織によっては、特定のコンプライアンス要件やビジネスモデルのために、オンプレミスのインフラストラクチャに多額の投資を行っている。VPNの運用と保守に必要なインフラが存在し、組織内部で管理されているため、このような投資はVPNソリューションの採用を容易にする。
結論
リモートワークや分散チームの急速な増加により、企業はリモートアクセスのセキュリティ向上を検討している。ZTNA(ゼロトラストネットワークアクセス)とVPNは、最も人気のあるリモートセキュアアクセスソリューションです。組織のニーズと各ソリューションの仕組みを知ることで、組織内でどちらを取り入れるべきか、十分な情報を得た上で決定することができます。
MetaDefender IT Access™は、MetaDefender® Access PlatformのSecure 、あらゆるデバイスからクラウドとレガシーアプリケーションの両方へのアクセスセキュリティを保証します。SAML IdP統合とSoftware 定義境界SDP)を備えたCloud 、ネットワークは規制コンプライアンスを遵守し、最小特権モデルを活用し、ネットワーク攻撃面を減少させることができます。MetaDefender IT Access どのように可視性を強化し、不正なネットワークアクセスを防止するかをご覧ください。
