ネットワーク&エンドポイント
VPNとゼロトラスト、どちらがテレワークのセキュリティーに最適か?
2021-05-13
カテゴリー ネットワーク&エンドポイント
記事をシェアする:
数十年にわたり、社外で業務対応する場合の職場環境へのアクセス方法の定番は、企業の仮想プライベート・ネットワーク(VPN)接続でした。VPNはシンプルかつ低コストで、比較的安全だったからです。しかし、ここ数年、企業のVPNセキュリティーは時代遅れではないか、あるいは少なくとも簡単な手段とは言えなくなったのではないか、といった議論が盛んに行われるようになりました。ただし、パンデミック後も多くの企業でテレワークやハイブリッドワークを続ける可能性が高くなったことで、その議論にも今や新たな問題(正直に言えば、かなりの難題)が投げかけられています。さらに、ゼロトラスト・モデルが支持を得るにつれて、どちらの選択肢が優れているのか、多くの企業が迷っているのではないでしょうか。
誰もがそれぞれのリモート・オフィスへと向かっていた2020年の春、VPNは手取り早く、かつ簡単な手段でした。企業のVPNを使用することで、従業員は安全な方法で企業ネットワークに接続し、システム、データ、ファイルにリモートからアクセスすることができました。現在、ほとんどの企業にとって、テレワークは依然として近い将来にも求められる手段であり、恒久的な解決方法となりそうです。今こそ、長期にわたる解決策として機能する安全なテレワーク環境の構築を、正面から厳しく見直す時です。最初のステップは、VPNまたはゼロトラストを自社のテレワーク・ポリシーの基盤とすべきかどうかを決定することです。
VPNはどの程度効果的なのか?
VPNは20年近く前に、デバイスをオンプレミス・ネットワークに接続することを目的として作られました。しかし、今日のクラウド・ベースのインフラストラクチャー(パブリック、プライベート、ハイブリッド)において、VPNは、環境を保護しようとしていますが、そもそもその役目はVPN誕生時には想定されていませんでした。これは効率的ではなく、攻撃者にチャンスを与える可能性さえあります。VPNは、リニア・アクセスが行われるフラット・ネットワークではなく、境界ネットワークを保護しようとしているのです。
従業員にVPNの使用に関して問いかけてみてください。VPNは遅くて使いにくいというようなことを耳にするかもしれません。多くの従業員が在宅勤務がもたらす柔軟性をますます活かし、オフィス所在地とは異なる都道府県や国で仕事をするようになると、企業の物理サーバーと従業員との距離が離れるにつれて、接続スピードはさらに低速になります。テレワークを行う従業員が増加すればするほど、その傾向は高まります。
Zoomミーティングやその他の動画プラットフォームによりさらに拍車がかかります。従業員がそれぞれのリモート・オフィスからVPNを介して共同で作業する場合、たびたび難しい局面に出くわすことがあります。ブレーンストーミング・セッションで、チームの複数のメンバーが考えている最中に、画面がフリーズしたことはありませんか?
しかし、もっと大きな問題は、ますます巧妙になる最新の脅威に対する防御としては、VPNは一貫して十分に安全ではないということに尽きます。リモートワーカーが使用している場合には、なおさらその傾向が高まります。2020年、サイバー犯罪者は、VPNを介して機密情報を入手するよう特別に設計されたビッシング詐欺を仕掛けるようになりました。多数のデバイスやロケーションが関係するVPNは、保護しなければならない対象が非常に多くなります。VPNはネットワーク全体へのアクセス権をユーザーに付与することが多いため、攻撃が行われた場合、見込まれる被害は甚大なものになります。
VPNはまた、手間がかかり、管理にコストがかかることがあります。管理者は新しいVPNをそれぞれ手動で構成しなければならず、多くの場合、オンプレミスでサーバーをプロビジョニングすることになります。また、VPNアクセスを拡張する場合、追加されるVPNごとにさらに多くの管理作業が必要になります。言うまでもなく、VPNライセンスごとの支払いのコストもかかります。
テレワークの世界におけるゼロトラスト
ゼロトラスト・ネットワーク・アクセスは、デバイスとユーザーがアクセスを許可されていないことを前提として運用され、接続要求ごとに認証が行われます。このアプローチによって、保護の対象が限定されて必要な拡張性が提供されます。さらに、ゼロトラストでは、すべてのユーザーとデバイスを可視化して把握できます。これは、VPNにはない機能であり、より高いレベルの保護が可能になります。個人用デバイスの場合特に威力を発揮します。また、セキュリティー専門家が行動分析を収集して人工知能と組み合わせて活用し、今後の攻撃を未然に防ぐのに役立てています。このような連携も含めて、ビジネスにおいてますます普及が進むゼロトラストを採用すると、パートナー、ベンダー、お客様、請負業者にアクセス権を必要に応じて安全に提供できます。
テレワークに伴うメリットにより、この1年で多くの企業がゼロトラストに移行しました。Pulse Secureのレポートによると、60%の企業がパンデミックとテレワークがゼロトラスト戦略を加速させたと回答したのに対して、パンデミックがゼロトラストに向けた進展にマイナスの影響を及ぼしたと回答した企業は15%に留まりました。テレワーク環境でゼロトラストを採用している企業の大半は、少なくともある程度の成果をあげたと回答しています。このうち、50%の企業が成功を収めたと回答し、44%が自社の体験はある程度の成功を収めたと評価しています。
ゼロトラストでは、ユーザー名とパスワードだけでなく、コンテキストのような拡張ユーザー認証が使用されます。これにより、許可ユーザーになりすましている悪意のあるアクターをより簡単に検知できるようになります。VPNの境界セキュリティー・モデルでは通常、いったん許可されたユーザーは完全なアクセス権を持つことになります。これでは、攻撃を受けている間の被害が大きくなります。ゼロトラストは、最小特権アクセスという概念に基づいて運用されます。つまり、ユーザーは業務で必要なデータ、ネットワーク、アプリケーションにしかアクセスできないのです。ゼロトラストでマイクロ・セグメンテーションを使用すると、許可されていないユーザーがアクセス権を入手した場合でも、アクセスがさらに制限され、影響が抑えられます。
テレゼロトラストとVPNを組み合わせて使用
現在繰り広げられているセキュリティーに関する議論では、多くの場合、VPNとゼロトラストのどちらの方法を選ぶべきかということが焦点となっています。しかし、別の選択肢として、両方のテクノロジーを組み合わせるという方法もあります。これは、ゼロトラスト・アプローチへと移行している間の短期間に採用する場合に、最も便利な方法です。移行が複雑になり、長くかかることもあるためです。ゼロトラストは包括的な認証アプローチですが、VPNは単にリモート・ユーザーにアクセス権を提供するだけなので、VPNをゼロトラストのアクセス方式の一部として使用できます。しかし、いったんゼロトラストのフレームワークが展開されると、そのフレームワークを拡張したり成長させたりするのにかかる時間が大幅に短縮されます。
パンデミックによって仕事を行う方法に変化が生じ、その変化は恒久的である可能性が高まっています。オンプレミスのインフラストラクチャー向けに設計されたテクノロジーを使い続けることで、企業のセキュリティー問題のリスクが高まり、生産性が妨げられます。ゼロトラストに移行することで、今日の新たな脅威に対抗し、 新規のユーザー、アプリケーション、クラウド、データの拡張に備えることができます。
当ブログは、「Is VPN or Zero Trust Best for Remote Working Security?」を抄訳、一部更新したものです。
【関連情報】
IBM Securityの概要はこちら
【お問い合わせ】
IBM Securityへのお問い合わせはこちらから
【著者情報】
Jennifer Gregory
Jennifer Goforth Gregoryは、サイバーセキュリティーを専門とするフリーランスのB2Bテクノロジー・コンテンツ・マーケティング・ライターです。その他にも重点を置いている分野として、B2B、金融、テクノロジー、人工知能、IoT、パーソナライゼーション、クラウド・コンピューティング、小売テクノロジー、通信、医療テクノロジー、ホスピタリティー・テクノロジーなどがあります。
VPNとゼロトラスト、どちらがテレワークのセキュリティーに最適か?
数十年にわたり、社外で業務対応する場合の職場環境へのアクセス方法の定番は、企業の仮想プライベート・ネットワーク(VPN)接続でした。VPNはシンプルかつ低コストで、比較的安全だったからです。しかし、ここ数年、企業のVPN […]
サイバーセキュリティーのスキル・ギャップの解消にゼロトラストがどのように役立つか
ゼロトラスト・モデルを使用すると、スキル・ギャップなど、今日のサイバーセキュリティーにおける主要な課題の取り組みの助けになります。 2020年7月、Deloitteは、Webセミナーの参加者を対象に、それぞれの組織のゼロ […]
ゼロトラスト: ビジネスの保護を盤石にし、大胆に成長を実現
セキュリティー・リスクを心配しなくてよくなったら、ビジネスでどんなことができるでしょうか?お客様のためにどのような製品を創り出しますか?社員にどのような体験をもたらし、生産性を高められるでしょうか?ビジネスをさらに推進す […]