リモートワークの導入時には、セキュリティ対策の見直しも重要です。そしてその際に導入すべきツールとして、エンドポイントを守るゼロトラストと、通信環境を守るVPNの2つが主に挙げられます。そこで本記事では、リモート環境において、ゼロトラストとVPNのどちらが有効か、それぞれの特徴や違いを踏まえて解説します。
ゼロトラストの概要と特徴
ゼロトラストとは「決して信頼せず、確認せよ」という信条の下で運用されるセキュリティモデルを意味します。ゼロトラストにおいては、一度認証されたアカウントでも次の機会には悪意ある第三者に乗っ取られているリスクや内部不正などのリスクがあることを前提とします。そして、アクセス権や認証の管理をその都度実施することに特徴があります。ゼロトラストセキュリティを実現するためのツールとしては、ユーザーの使用端末やサーバーなどのエンドポイントを直接に保護するEDRやEPP、あるいはゼロトラストにおいて大量に発生する煩雑なセキュリティ運用業務を自動化するSOARなどが挙げられます。
ゼロトラストが従来システムと違う点
ゼロトラストと従来のセキュリティでは何が違うのでしょうか。
まず、従来の「境界型」と言われるセキュリティモデルは、社外と社内のネットワークが切り離されたオンプレミス環境を前提としていました。そして境界型セキュリティにおいては、「社外からのトラフィックは危険」、「社内のトラフィックは安全」という暗黙の前提の下に運用されていたのです。
しかし、クラウドサービスが普及した現在において、企業のシステムはもはやインターネット接続が前提となっており、社内外のネットワーク境界は曖昧になっています。また、近年、多くの企業において内部不正やヒューマンエラーによる情報漏洩が続出しており、組織内のユーザーだから安全という理屈は楽観的と言わざるをえない状況です。
ゼロトラストはこうした境界型セキュリティの脆弱性を克服するための次世代ソリューションです。オンプレミス環境に適した境界型セキュリティに対し、ゼロトラストはクラウド環境での運用に適しています。また、ゼロトラストは組織内のユーザーやそのトラフィックも絶えず警戒しているため、従来と比べて多くの項目をチェックする必要があります。
VPNとは
VPNとは“Virtual Private Network”の略で、仮想的専用回線を意味します。VPNを利用して行き来するトラフィックは暗号化され、他の通信から仮想的に隔離されたトンネルを通るため、第三者からデータ傍受されるリスクからユーザーのデータを守れます。VPNは通信回線に対して導入できるセキュリティ対策としては最も手軽な手段であることから、重要なデータを送受信したり、テレワークを実施したりする際に利用されています。
VPNが抱える課題とは
セキュアなインターネット通信を可能にするVPNですが、その運用においてはいくつかの課題を持っています。以下では、その課題を解説します。
クラウド移行ができない
VPNの欠点として、クラウド活用に適さないことが挙げられます。現在の企業はクラウドベースのアプリケーションを使用することが増えており、企業の通信量はますます大きくなっています。クラウドアプリケーションによって生成されたネットワークトラフィックも、VPNを介してエンドユーザーに届く前に企業のVPNサーバーを経由するため、過大なトラフィックにより通信回線に大きな遅延が発生し、ユーザーの利便性を大きく損ねるリスクがあります。つまり、従来型のVPN運用をしたままクラウドに移行するのは現実的ではないのです。
テレワークで通信速度が重くなる可能性
VPN通信には複雑な暗号化がなされていることから、大きな負荷がVPNサーバーにかかります。テレワークにおいては、多くの社員が多種多様な場所・デバイスから自社の社内ネットワークにアクセスしますが、この際、VPNを行き来するトラフィック量が過大になると、サーバーの能力を超えてしまい通信速度が遅くなる可能性があります。通信速度の遅延はインターネットの帯域不足によっても生じます。テレワークにおいては、通信の安定性が業務効率に直結するため、VPNによる通信速度の遅延は、テレワークにおいて致命的と言えるでしょう。
マルウェア感染時のリスク
VPNはセキュリティリスクを全般的にカバーできるものではないことにも注意が必要です。VPNは拠点間ないしは端末間を行き来するトラフィックを外部からの通信傍受リスクから守ります。しかし、VPNを行き来するトラフィックが既にマルウェアに感染していた場合、VPNの機能だけでは対処しきれません。とりわけ、社員が個人用の端末を使ってテレワークをしている場合、マルウェアの感染リスクは飛躍的に高まります。VPNを介して送られたトラフィックがマルウェアに感染していた場合、そこから社のネットワーク全体に感染が広がるかもしれません。そのため、たとえVPNの利用を続ける場合でも、同時にゼロトラストセキュリティを併用する意義は十分にあります。
企業の脱VPNにゼロトラストは有効
ゼロトラストを導入することで、上記のような課題やリスクを抱えたVPNから企業を脱却させることが可能です。第一にゼロトラストは、VPN接続では対応が難しいクラウド活用を安全に実現します。また、VPNも基本的には境界型のセキュリティモデルに属しているため、一度ネットワーク内に攻撃者の侵入を許した場合は脆弱性が露呈します。しかし、ネットワーク内部にまで監視の目を行き届かせるゼロトラストを導入すれば、VPNの弱点を克服してセキュリティを強化できるのです。さらに、こうしたゼロトラストの導入によってVPNの利用が不要になれば、VPN接続において起こりがちな回線速度の低下問題も解消され、ユーザーの利便性は飛躍的に向上します。
近い将来、クラウド活用によるDXや、テレワークなどの働き方改革がより進んでいくことが予想されます。このことからもゼロトラストセキュリティはVPNに比べて、将来においても有効な次世代型のセキュリティモデルであると言えるのです。
Azureセキュリティのコントロール機能でセキュリティを簡素化
Microsoft社は3,500人を超えるサイバーセキュリティの専門家によって、ユーザーのデータを安全に守るためのセキュリティ環境を提供しています。Microsoft AzureではAzure Virtual Machines (VM) による強力なネットワーク制御や、多要素認証・シングルサインオンなどの便利な認証機能によって安全かつ効率的なセキュリティ環境の構築が可能です。
また、Azureでは各チームメンバーへ職務に応じたアクセス権限を付与できるため、データガバナンスを維持したシステム運用ができます。これらのAzureセキュリティ機能によって、ユーザーはAzure上でゼロトラストセキュリティのベストプラクティスを実現できます。
Microsoft Azureとは何か?入門から応用まで徹底解説
まとめ
VPNは通信回線の遅延やクラウド運用、あるいは端末のマルウェア感染などに対して課題を抱えています。ゼロトラストセキュリティはこうしたVPNの課題を克服することが可能です。Microsoft Azureを活用すれば、豊富なセキュリティ機能により効果的なゼロトラストセキュリティが実施できます。ぜひ導入をご検討ください。
