VPNとゼロトラストの違い｜テレワーク時代のセキュリティ対策の進化

VPN：インターネット通信のセキュリティを強化

VPNは「Virtual Private Network」の略称で、日本語では「仮想専用線」とも呼ばれます。この技術は、送信側と受信側の機器で「カプセル化」という処理をおこない、第三者には通信内容が解読できない仮想的なトンネルを形成（「トンネリング」）して通信します。さらに、通信の安全性を高めるため、正規の利用者であることを確認する認証をおこない、通信内容は暗号化して送信します。この仕組みによって、拠点間を仮想の専用線で結び、安全な情報のやり取りが可能です。

ゼロトラスト：現代セキュリティの新標準

ゼロトラストは、全てのユーザー、デバイス、接続元のロケーションを原則として「信頼できない」と見なし、セキュリティを確保する概念です。ゼロトラストは、情報資産やシステムへのアクセスを常に検証し、不正アクセスや情報資産への脅威を防ぎます。

従来のセキュリティモデルが「Trust But Verify（信ぜよ、されど確認せよ）」の原則に基づいていたのに対し、ゼロトラストは「Never Trust, Always Verify（決して信頼せず、必ず確認せよ）」を基本原則としています。この考え方により、ネットワーク内外を問わずあらゆるアクセスの試みを検証し、未検証のアクセスを信頼しないことで、より強固なセキュリティを実現します。

VPNの課題：企業で「脱VPN」が進む背景

テレワークの普及により、多くの企業がリモートアクセスのためにVPNを導入しています。VPNは利便性とセキュリティを両立する手段として重宝されてきましたが、最近では多くの企業がVPNからゼロトラストへの移行を検討しています。この「脱VPN」の動きの背景にある理由は、以下のとおりです。

円滑な業務への支障

新型コロナウイルス感染症の流行にともなうテレワークの普及は、VPNの利用者数の増加とともに、社内ネットワークへの負荷を増大させました。この影響により、VPNを通じたアクセスの遅延や不安定性が発生し、クラウドサービスや社内システムの使用に支障が出ました。特に、VPNを経由したオンライン会議の遅延は、コミュニケーションの効率を著しく低下させ、業務のスムーズな進行を妨げてしまいます。こうしたVPNの課題の解決には、現代のテレワーク環境に適応するための技術的な進化や、補完的なソリューションの検討が必要です。

セキュリティ面でのリスク

コロナ禍におけるテレワークの急増にともない、多くの企業がVPN機器を活用しています。この状況は、攻撃者にとってVPN機器の脆弱性を狙う絶好の機会となりました。特に、VPN機器に存在する脆弱性を突くサイバー攻撃の増加が顕著です。脆弱性自体が問題であるだけでなく、多くの企業が、機器のアップデートを適切に行っていないことも、この問題を悪化させています。サイバー攻撃による情報漏えいや業務停止などのリスクが高まるなか、企業にはより高度なセキュリティ対策が求められています。

従来の「境界防御モデル」の限界

テレワークの普及はVPNへの依存を高め、この依存にともなう負荷の増加が従来の「境界防御モデル」の限界を露呈しました。境界防御モデルは、企業のネットワーク境界を仮想的な防衛線と見立て、この境界でのアクセス制御を厳格におこなうことにより安全を確保するという考え方に基づいています。この方法では、ネットワークの外側から内側への不正アクセスを防ぎ、内部ネットワークへの侵入を未然に防ぐことを目的としています。しかし、クラウドサービスの普及と働き方の多様化により、企業のネットワーク境界自体が曖昧になっています。こうした現状を背景に、全てのアクセスを検証するゼロトラストモデルへの移行に注目が集まっているのです。

VPNとゼロトラストの3つの違い

ゼロトラストとVPNは、テレワーク環境を構築するセキュリティ戦略の中心を担います。ゼロトラストとVPNの間には、主に以下の3つの違いがあります。

セキュリティポリシーの違い

ゼロトラストとVPNの顕著な違いは、セキュリティポリシーです。VPNの場合、各拠点のVPN機器によってセキュリティポリシーと性能が異なることが多々あります。これに対してゼロトラストは、クラウドサービスを利用してセキュリティポリシーを一元化し、管理の簡素化を実現しています。

また、VPNを使用すると、複雑で遠回りな通信経路を必要とする場合がありますが、ゼロトラストでは最短経路でスムーズな通信が可能です。ゼロトラストを導入することで、VPNの使用によるストレスを感じていた社員は、利便性が向上し、業務効率の改善を実感できるでしょう。

脆弱性の違い

ゼロトラストは全てのアクセスを疑い、都度認証を要求することで、多層的なセキュリティを提供し、セキュリティの層を厚くします。これにより、ひとつの関門が突破されても、次の関門で被害を防ぐことが可能です。

VPN接続は、従業員がインターネット上に設けた特定のアクセスポイントを通じて、企業ネットワークにアクセスします。このアクセスポイントはインターネット上に公開されており、悪意のある第三者によるアクセスや攻撃の対象となり得ます。実際に、アクセスポイントの脆弱性を突かれた被害が数多く報告されています。

対して、SASE（Secure Access Service Edge）やZTNA（Zero Trust Network Access）のようなゼロトラストを前提とした手法は、利用者は直接SASE網へ接続するだけで、インターネット上にアクセスポイントを公開する必要はありません。これにより、脆弱性を第三者に突かれるリスクが大幅に低減します。仮にSASE網にセキュリティ上の脆弱性が発見されても、SASE事業者が迅速に対応するため、より高いセキュリティレベルの維持が可能です。

スケーラビリティの違い

ゼロトラストとVPNでは、スケーラビリティの能力に違いがあります。VPN接続を利用した通信では、VPN終端装置やプロキシサーバ、Webフィルタリング装置といった特定の機器を経由するため、これらの機器にアクセスが集中すると通信の遅延や中断のリスクが増大します。

これに対応するには、ユーザー数やアクセス数の増加に応じて、増強や帯域の拡大が必要です。また、VPN機器のリプレース時においては、未来のネットワーク負荷の増加を予測して適切なサイジングをおこなう必要があり、この予測作業が計画の複雑さを高める要因となり得ます。

対照的に、ゼロトラストはクラウドベースでネットワークを構築するため、物理的な機器への依存がなく、スケールアップやスケールダウンを柔軟かつ迅速に実施可能です。将来のユーザー数やアクセス数の変動に簡単に適応でき、リプレース時のサイジングに関する懸念を軽減できます。

企業がVPNからゼロトラストに移行するタイミングは？

VPNは長年にわたり、リモートユーザーへの安全な通信手段として利用されてきました。しかし、リモートワークの急激な拡大によりVPNの通信品質が確保できなくなったことや、VPNの脆弱性を突く攻撃の増加など、VPN接続をめぐる環境が変化しています。このような状況を受け、より安全かつ効率的な通信手段への需要が増加しています。VPNの使用に関してはセキュリティ面での懸念が指摘され始めており、新たな対策としてゼロトラストモデルやSASEのような先進的な技術への移行が求められています。

一方のゼロトラストは、全てのデバイスとユーザーに対して認証を必要とし、不正アクセスを迅速に検出してブロックすることで、より高いセキュリティレベルの実現が可能です。

ゼロトラストへの移行を検討することは、現代のセキュリティ環境下において、企業にとって価値ある判断です。VPNとゼロトラストの選択に際しては、企業が自社のリモートアクセスに対するニーズとセキュリティ要件を正確に理解することが検討の第一歩です。それぞれが提供する保護のレベルと運用の複雑さが異なるため、どちらの技術が組織に最適かを判断するには専門的な見識が求められます。そのため、ゼロトラストの導入を検討する際には、専門家の助言を求めることをおすすめします。

まとめ

VPNは長年にわたり安全な通信手段として利用されてきましたが、テレワークの急速な広がりとともに、VPN接続をめぐる環境が変化し、新たな課題が明らかになってきました。こうした背景から、高度なセキュリティ性能や適応性の高さ、セキュリティポリシー管理の簡素化などを狙いに、ゼロトラストが注目を集めてきています。VPNがスケーラビリティの面での制限やセキュリティ上の課題がある一方で、ゼロトラストでは厳格なセキュリティ検証を通じて、より柔軟かつ堅牢なセキュリティ対策が可能です。

オプテージのゼロトラストソリューションは、VPNが直面する課題に対して包括的な解決策を提供します。
ゼロトラストの哲学に基づき、企業のネットワーク環境をSASEフレームワークに統合することで、セキュリティを強化し、リスクを最小化します。セキュリティ対策を強化し、ビジネスの安全性を向上させたい企業さまは、ぜひオプテージへご相談ください。オプテージが、お客さまの安全なテレワーク環境構築を全面的にサポートいたします。

◎製品名、会社名等は、各社の商標または登録商標です。