「ゼロから学ぶ」ゼロトラスト#04:ゼロトラストセキュリティはテレワークをどう変える?

新型コロナウイルス対策により急遽テレワークになった人の中から聞こえてくるのは「VPN接続が急に重くなった」という声。テレワーク人口の急増により境界防御モデルの要となる技術VPNの問題点が露呈し、代わりにVPNとは真逆の発想でネットワークを守るゼロトラストの概念が今、注目を集めています。

テレワーク(在宅勤務)におけるセキュリティ対策として多くの企業が採用しているのが、「境界防御モデル」という従来型のセキュリティモデルです。一方、社内ネットワークと社外ネットワークの境界がますます曖昧になる中、中は安全・外は危険という前提に基づいた境界防御モデルでは、様々な不具合が生じ始めています。

そんな中、注目を集めているのが”すべてを疑いすべてを確認する”という考え方で守る、「ゼロトラストモデル」に基づいたセキュリティです。本記事では、テレワークにおけるゼロトラストセキュリティとは何か、従来型のセキュリティと比較しながら紹介します。

 

テレワークにおける従来型のセキュリティ

総務省が発行した「テレワークセキュリティガイドライン第4版」では、テレワークの方法を次の6パターンに分類しています。

  1. リモートデスクトップ方式
    オフィスにある端末を遠隔操作
  2. 仮想デスクトップ方式
    テレワーク用の仮想端末を遠隔操作
  3. クラウド型アプリ方式
    クラウド上のアプリケーションを社内外から利用
  4. セキュアブラウザ方式
    特別なブラウザを用いて端末へのデータの保存を制限
  5. アプリケーションラッピング方式
    テレワーク端末内への保存を不可にする機能を提供
  6. 会社PCの持ち帰り方式
    オフィスの端末を持ち帰り、テレワーク端末として利用

この中でも多くの企業が採用しているのが、パターン1の「リモートデスクトップ方式」とパターン6の「会社PCの持ち帰り方式」で、両者ともにセキュリティの鍵を握っているのが「VPN(Virtual Private Network)」になります。
VPNは、インターネット上に自社の社員など特定の人のみが利用できる仮想の専用線を設定し、データの送受信の安全性を確保するという技術です。

新型コロナウイルス対策によりテレワークが急拡大したことにより、これまでは着目されてこなかった、次のようなVPN接続の問題点が噴出しました。

通信が遅延・接続できなくなる

社外にいるVPNユーザーは、社内ネットワーク上に設置したVPNゲートウェイを経由して企業リソースにアクセスします。VPNは機器のリソース消費量が多いため、VPNを利用してテレワークする社員が急増すると、アクセスを処理しきれず、通信が遅くなったり接続すらできなくなるという問題が発生します。

マルウェア感染したPCが接続されると全体に危険が及ぶ

企業リソースとテレワーク端末を専用線で直結するVPN接続では、社員のテレワーク端末がマルウェアに感染してしまった場合、社内ネットワークも大きな感染リスクを負うことになります。

感染PCがVPNで社内ネットワークに接続すると、マルウェアにネットワーク内のシステムやアプリケーションへのアクセスを許可してしまうことになるため、機密情報流出などのリスクが高まります。

VPN管理者に大きな負担がかかる

VPN接続は、社内ネットワークと通信するときに、必ずVPNゲートウェイを経由させることで社内リソースを守る仕組みのため、VPNゲートウェイの運用と管理が非常に重要になります。VPNゲートウェイや周辺機器などの脆弱性情報が公開されたときには、直ちにソフトウェア更新などの対策を行う必要があります。このような作業はVPNの運用・管理者に大きな負担となります。

 

VPNとゼロトラスト テレワークにおける守り方の違い

このようなVPNの弱点は、以前から存在していたものの、テレワークの急増により顕在化することとなりました。そこで、注目を集めはじめたのがVPNとは全く逆の発想でセキュリティを確保しようとするゼロトラストの考え方です。

ゼロトラストセキュリティでは、VPNのように”VPN接続している端末は安全”と考えるのではなく、“すべての端末・アクセスにリスクがあるとみなし、アクセス毎にユーザー・デバイスにアクセス許可を与える”という考え方をします。

さらに、アプリケーションなどアクセスする先にも、アクセスを要求しているユーザーやデバイスによってアクセス制限をかけます。

 

ゼロトラストはテレワークをどう変える?

繰り返しになりますがゼロトラストとは概念であり、ゼロトラストモデルの構築については、様々な方法が議論されている最中です。ただ、ゼロトラストの「すべてのアクセスを毎回認証し、必要最低限のアクセスのみを与える」という方針に基づいて、フルアクセスを許可するVPNを廃止した場合、どのような変化があるのでしょうか。

不要なアクセスが減る

VPNユーザーからの要求であればどのようなアクセスでも受け付けるVPNを廃止するかわりに、必要最低限のアクセスのみを与えることで、社内リソースへの不要なアクセスが低減します。これにより、攻撃の対象範囲を狭くできることはもちろん、ネットワークリソースの無駄遣いを減らせます。

IT管理者の負荷の低減

VPNを廃止できれば、IT管理者がVPNゲートウェイへの更新プログラム適用などの重圧から解放されます。請負業者やサプライヤーなど本来、社内ネットワークには短期間だけアクセスすれば済む人に対し、VPNによるフルアクセスではなく、必要最低限のアクセスのみを許可できることで、アクセス監視や設定にかかる時間およびリソースがカットできます。

内部の人間による攻撃に備えられる

VPNは、従来型のセキュリティモデル「境界防御モデル」において、中核を担う技術です。ただ、昨今では、パブリッククラウドなどの台頭により社内と社外のネットワークの境界が曖昧になっており、境界防御モデルは限界であるという見方が大半です。

テレワーク(在宅勤務)の急増により、VPNの問題点が顕在化したことは、ゼロトラストセキュリティの導入を検討する良い機会になったのかもしれません。

 

 

概念から実用へ・・ゼロトラストセキュリティを実現するための製品が続々と生み出されています。「ゼロから学ぶ」ゼロトラスト#5」では、ゼロトラストセキュリティとセキュリティ製品について紹介します。

 

【執筆:編集Gp 近藤真理】

関連記事

ピックアップ記事

  1. インテル株式会社は、 5月18日 (水) に 「インテルが支えるクラウド・インフラストラクチ…
  2. テレワークやDX(デジタルトランスフォーメーション)、コロナ禍も後押しし、企業の働き方は大きく変わり…
  3. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  1. 【足を運べばクラウドが分かる!】エンドユーザーとクラウド事業者が語る“成功の秘訣”、5/18(水)に品川で開催![PR]

  2. PCNW:専門家に聞くインシデント発生現場の課題と対策【ITトレンド勉強会#2】1/28(金)開催

  3. シリーズ【SSL可視化とセキュリティ】4)リモートワークが推進される中での暗号化通信の脅威対策

  4. 松田軽太の「ボッチ情シスノススメ」#23:業務改善の実施は計画的に!

  5. 業務サービス辞典:クラウド型B2B請求代行サービス「SEIKYU+」

  6. 情シスアカデミア#01:ASP/SaaS/クラウド事始め「コンピュータの基礎」

  7. DXを実現するためのあるべきITシステム「スサノオ・フレームワーク」とは-IPA

  8. 使える! 情シス三段用語辞典126「HTTP/3」

  9. 【DX白書2021】日米企業におけるDX動向を解説-IPA

  10. いまさら聞けない【情シス知識】Windowsサンドボックス:君子危うきに近寄らず!?

プレスリリース

登録されているプレスリリースはございません。

関連サービス

情シス求人

  1. 第二創業期を基盤から支えます。大手クライアント中心。リモートワーク可/フレックス求人! 『サイ…
  2. Findyで1人目のコーポレートエンジニアを募集!会社と組織の基盤づくりをお任せします。 「テ…
  3. 圧倒的な成長、ITによる事業貢献を実現したいあなたへ。 皆さんもスポーツ用品やアウトドア用品で…
  4. あなたのやりたいことを、叶えてください! 今回は、千代田区岩本町に本社を構える株式会社クリアス…
  5. 帰宅後や休日の束の間、ゲームでストレス解消! なんて方も多いのではないでしょうか? 今…
ページ上部へ戻る