VPNでは「城と堀のモデルの課題」は解決できない
前者のリモートアクセスVPNの課題に対して、緊急避難的に対策を行なうのであれば、まずやるべきはベンダーから提供されているセキュリティパッチを当てることだ。サポート切れの古い機器を利用しており、パッチが提供されていないのであれば、その機器の利用を止める必要がある。相対的に危険性の高いSSL VPNを廃止し、IPsecに移行するという手段もとられる。
VPN機器や既存のネットワークにおいても、もちろんできる対策はある。ユーザー認証を強化するため、複雑なパスワードを使ったり、可能であれば多要素認証を用いる。また、アタックサーフェスを減らすために、リモートアクセスVPNの利用時間を制限する、LAN内のルーターやスイッチを用いて、VPN経由でアクセスできるネットワークやセグメント間の通信を限定する。ランサムウェアの攻撃者はシンプルに「鍵の開いている家」を狙うので、現在できうる限りの対策を施す必要がある。
ただ残念ながら、ここまでの対策では、VPNが本質的に抱える「城と堀のモデル」の課題は解決できない。繰り返しになるが、VPNではいったん認証を通ってしまえば、そのユーザー端末は信頼され、社内ネットワークへのアクセスが可能になってしまうからだ。ランサムウェアの身代金、情報漏えいに対する保証、データの復旧や対策などに莫大なコストがかかる。これは昨今のセキュリティ事件の報道を見れば明らかだ。
そもそもクラウドの浸透で、社内ネットワークの境界線はあいまいになり、アクセスするユーザー端末も、アクセスされる業務システムのサーバーも、同じ社内ネットワークにはない可能性が高い。VPNをはじめとする「境界線型防御」が限界を迎えているというのは、VPN自体の課題に加え、企業のITに関わる外部環境の大きな変化がある。セキュリティ、ネットワークの本質的な課題に向き合い、より厳格なアクセス制御を検討する時期に差し掛かっている。
VPNの先にあるZTNA/SASEはまだ混沌としている
こうしたVPNの限界を超え、次世代のセキュアなネットワークを目指したのが、ZTNA(Zero Trust Network Access)である。2019年に調査会社のガートナーによって提唱された概念で、いったん認証を受けた通信相手でも信頼せず、継続的に認証をし続けるという「ゼロトラスト」の原則に則り、アプリケーションごとにアクセス制御をかけるのが特徴だ。
ZTNAでのアクセス管理は厳密だ。ユーザーのアクセス権限はアプリケーション単位で最小限に絞られ、ネットワークも複数のセキュリティゾーンに分割される。また、アクセスの鍵となる本人認証に関しても、パスワード以外を用いた多要素認証が必要になる。認証を通過した後のユーザーやデバイスの継続的なセキュリティチェックも重要だ。
ゼロトラストによるリモートアクセスの進化(出典:フォーティネットジャパン)
こうした複雑な仕組みをとるため、従来のVPNに比べて、ZTNAはセキュリティポリシーの策定やネットワーク設計のレベルははるかに高い。ZTNAの実現に向け、多くのベンダーがサービス化を進めてきたが、高いセキュリティを求めれば求めるほど、複雑性が増し、さまざまな技術の組み合わせが必要になった。その結果、ネットワークとセキュリティの課題ごとに設計された製品を統合し、ZTNAを1つのサービスとして利用可能にしたSASE(Secure Access Service Edge)が誕生している。特にSaaSへのアクセス制御においてはSASEは有効だ。
とはいえ、ZTNA/SASEの業界は混沌としている。脱VPNを推進し、ZTNAのコンセプトで新しいネットワークとセキュリティを実現しようとしている点は各社とも共通しているが、得意分野や買収したベンダーとの統合、コンセプトの違いで実現できることに幅があるのも事実。ユーザー企業がどのレベルのセキュリティを求めるかによって、製品選定も大きく異なり、導入や運用においてはパートナーの支援も重要になる。次回以降では、こうしたZTNA/SASE製品について見ていきたい。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
