新型コロナウイルス対策により急遽テレワークになった人の中から聞こえてくるのは「VPN接続が急に重くなった」という声。テレワーク人口の急増により境界防御モデルの要となる技術VPNの問題点が露呈し、代わりにVPNとは真逆の発想でネットワークを守るゼロトラストの概念が今、注目を集めています。

テレワーク（在宅勤務）におけるセキュリティ対策として多くの企業が採用しているのが、「境界防御モデル」という従来型のセキュリティモデルです。一方、社内ネットワークと社外ネットワークの境界がますます曖昧になる中、中は安全・外は危険という前提に基づいた境界防御モデルでは、様々な不具合が生じ始めています。

そんな中、注目を集めているのが”すべてを疑いすべてを確認する”という考え方で守る、「ゼロトラストモデル」に基づいたセキュリティです。本記事では、テレワークにおけるゼロトラストセキュリティとは何か、従来型のセキュリティと比較しながら紹介します。

 

テレワークにおける従来型のセキュリティ

総務省が発行した「テレワークセキュリティガイドライン第４版」では、テレワークの方法を次の6パターンに分類しています。

1. リモートデスクトップ方式
   オフィスにある端末を遠隔操作
2. 仮想デスクトップ方式
   テレワーク用の仮想端末を遠隔操作
3. クラウド型アプリ方式
   クラウド上のアプリケーションを社内外から利用
4. セキュアブラウザ方式
   特別なブラウザを用いて端末へのデータの保存を制限
5. アプリケーションラッピング方式
   テレワーク端末内への保存を不可にする機能を提供
6. 会社ＰＣの持ち帰り方式
   オフィスの端末を持ち帰り、テレワーク端末として利用

この中でも多くの企業が採用しているのが、パターン1の「リモートデスクトップ方式」とパターン6の「会社ＰＣの持ち帰り方式」で、両者ともにセキュリティの鍵を握っているのが「VPN（Virtual Private Network）」になります。
VPNは、インターネット上に自社の社員など特定の人のみが利用できる仮想の専用線を設定し、データの送受信の安全性を確保するという技術です。

新型コロナウイルス対策によりテレワークが急拡大したことにより、これまでは着目されてこなかった、次のようなVPN接続の問題点が噴出しました。

通信が遅延・接続できなくなる

社外にいるVPNユーザーは、社内ネットワーク上に設置したVPNゲートウェイを経由して企業リソースにアクセスします。VPNは機器のリソース消費量が多いため、VPNを利用してテレワークする社員が急増すると、アクセスを処理しきれず、通信が遅くなったり接続すらできなくなるという問題が発生します。

マルウェア感染したPCが接続されると全体に危険が及ぶ

企業リソースとテレワーク端末を専用線で直結するVPN接続では、社員のテレワーク端末がマルウェアに感染してしまった場合、社内ネットワークも大きな感染リスクを負うことになります。

感染PCがVPNで社内ネットワークに接続すると、マルウェアにネットワーク内のシステムやアプリケーションへのアクセスを許可してしまうことになるため、機密情報流出などのリスクが高まります。

VPN管理者に大きな負担がかかる

VPN接続は、社内ネットワークと通信するときに、必ずVPNゲートウェイを経由させることで社内リソースを守る仕組みのため、VPNゲートウェイの運用と管理が非常に重要になります。VPNゲートウェイや周辺機器などの脆弱性情報が公開されたときには、直ちにソフトウェア更新などの対策を行う必要があります。このような作業はVPNの運用・管理者に大きな負担となります。

 

VPNとゼロトラスト テレワークにおける守り方の違い

このようなVPNの弱点は、以前から存在していたものの、テレワークの急増により顕在化することとなりました。そこで、注目を集めはじめたのがVPNとは全く逆の発想でセキュリティを確保しようとするゼロトラストの考え方です。

ゼロトラストセキュリティでは、VPNのように”VPN接続している端末は安全”と考えるのではなく、“すべての端末・アクセスにリスクがあるとみなし、アクセス毎にユーザー・デバイスにアクセス許可を与える”という考え方をします。

さらに、アプリケーションなどアクセスする先にも、アクセスを要求しているユーザーやデバイスによってアクセス制限をかけます。

 

ゼロトラストはテレワークをどう変える？

繰り返しになりますがゼロトラストとは概念であり、ゼロトラストモデルの構築については、様々な方法が議論されている最中です。ただ、ゼロトラストの「すべてのアクセスを毎回認証し、必要最低限のアクセスのみを与える」という方針に基づいて、フルアクセスを許可するVPNを廃止した場合、どのような変化があるのでしょうか。

不要なアクセスが減る

VPNユーザーからの要求であればどのようなアクセスでも受け付けるVPNを廃止するかわりに、必要最低限のアクセスのみを与えることで、社内リソースへの不要なアクセスが低減します。これにより、攻撃の対象範囲を狭くできることはもちろん、ネットワークリソースの無駄遣いを減らせます。

IT管理者の負荷の低減

VPNを廃止できれば、IT管理者がVPNゲートウェイへの更新プログラム適用などの重圧から解放されます。請負業者やサプライヤーなど本来、社内ネットワークには短期間だけアクセスすれば済む人に対し、VPNによるフルアクセスではなく、必要最低限のアクセスのみを許可できることで、アクセス監視や設定にかかる時間およびリソースがカットできます。

内部の人間による攻撃に備えられる

VPNは、従来型のセキュリティモデル「境界防御モデル」において、中核を担う技術です。ただ、昨今では、パブリッククラウドなどの台頭により社内と社外のネットワークの境界が曖昧になっており、境界防御モデルは限界であるという見方が大半です。

テレワーク（在宅勤務）の急増により、VPNの問題点が顕在化したことは、ゼロトラストセキュリティの導入を検討する良い機会になったのかもしれません。

 

 

概念から実用へ・・ゼロトラストセキュリティを実現するための製品が続々と生み出されています。「ゼロから学ぶ」ゼロトラスト#5」では、ゼロトラストセキュリティとセキュリティ製品について紹介します。

 

【執筆：編集Gp　近藤真理】