【情シスの疑問】テレワークにVPNは必要なのか

「今日はなぜかイントラにアクセスできない!」
「午前中は、ずっとアクセスが遅い・・」
「出勤の打刻さえできない…」

新型コロナウィルス感染症拡大による緊急事態宣言をうけて、急遽実施した在宅勤務(テレワーク)。しかしながら、急な導入までは成功したものの、特に多くの社員を抱える大企業では社員から上記のような悲鳴が聞こえた2020年前半だったのではないでしょうか。

そしてそんな状況はテレワーク環境につきものといえるVPNが原因だったりするのです。国内企業においては、外部ネットワークから社内ネットワークへの接続手法として広く使われており、これを別の手段に短期間で置き換えるのはなかなかに難しいというのも事実ではあります。

このようにVPN経由の社内アクセス急増で、これまでは表面化していなかったVPNの課題が噴出しているのが現状です。
今回はVPNの基本を確認しつつ、VPNを使わずに安全な通信を実現している事例を紹介します。

おさらいVPN:仮想的な線で接続するとは?

改めてVPN(Virtual Private Network)とはどのようなネットワークなのか、確認してみましょう。

VPNの基本構成

VPNは、拠点間上に仮想的に張り巡らせた専用ネットワークのことです。重要な役割を担うのが、各拠点に設置した専用のルーターです。
VPNで利用する回線は公衆インターネット回線ですが、通信に暗号化が施されているため、外部からVPN内でやり取りされている内容は読み取れません。(トンネリングと暗号化)
拠点間を仮想線ではなく、物理的なケーブルの専用線で繋ぐ方法もありますが、ネットワーク構築コストが膨れ上がってしまいます。専用線を仮想化してコスト面でのデメリットを解消したのがVPNなのです。

VPNのメリット&デメリット

VPNのメリットは、専用線と同等のセキュリティを確保しながらも、専用線より安価なことです。
また、VPNは遠隔からでもアクセスできるため、全国各地や海外に拠点がある企業の場合、すべての拠点から利用することができます。
海外出張で中国に行かれた方はVPNの恩恵にあずかったこともあるのではないでしょうか?(中国では特定のサービスへのアクセスができないことがある為)
一方で、アクセスが集中してしまうと、これがボトルネックとなり通信が遅延したり、ネットワークへ接続できなくなってしまうデメリットもあります。HWの増設やローカルブレイクアウトなど従業員(アクセス)規模に応じた対策が必要です。
また、社内ネットワークと外部ネットワークとの境界でまとめてアクセスを制御するVPNでは、VPNの初期設定を誤ってしまうとIPの漏えいなど大事故につながってしまいます。
このようなことから、IT管理者の負担が大きいのもVPNの欠点です。

 

2020年、テレワークの現場で起きていること

新型コロナウイルス対策で、テレワークを導入する企業が急増しました。完全テレワークに移行し、オフィスを廃止してしまったという極端な企業も現れています。
このような変化に伴い、急に在宅勤務となった人たちからはVPNの問題点を指摘する声が聞こえはじめています。
一方で、勤務環境が変化しても、何の影響も受けていない企業もあります。
今、テレワークの現場では何が起きているのでしょうか。

テレワーク急増でVPNの問題点が噴出

VPNは新しい技術ではないものの、テレワークの急増に伴い「急に重くなった」という声が殺到しています。
理由は、VPNでは非常に複雑な暗号化処理を行っているため、アクセスが集中するとVPNサーバーに負荷が掛かるためです。
テレワークで急激にVPNの利用者が増えたために、これまでは問題視されていなかったVPNのデメリットが注目されてしまうことになりました。
もちろん、VPN環境下でもクラウドアクセスプロキシなどを導入し、回線を振り分けるなどを行うなどで回避することは可能です。しかしながら、その為にはアプライアンス機器の導入やコストが必要となります。

VPNを使わない会社Google

一方、勤務環境がどう変化しようが何の影響も受けていない企業もあります。
そのひとつが、「Google(グーグル)」です。

開発システムや経理システムなどは、どこの企業でも使用している社内アプリケーションでしょう。
Googleでは、このような社内アプリケーションのすべてがインターネット経由で利用できるようになっているため、そもそも従業員がVPNを利用して、社内ネットワークにアクセスする必要がないと言います。(クラウド企業であるからこそ、そもそも境界防御という概念を持っていないのかもしれません。)
このようにVPNを使用せずに安全なアクセスを実現する取り組みは、Google社内のイニシアチブとして始まり、「BeyondCorp」という考え方として一般にも公開されています。

引用:BeyondCorp/Google

“VPNで守られた境界内は安全だ”という前提に基づくVPNに対し、「BeyondCorp」は、”どのようなネットワークもユーザーも一切信用せず、あらゆるアクセスを確認する”という「ゼロトラスト」という概念に基づいて設計されています。
「BeyondCorp」では、ユーザーのID・デバイスのステータス・場所・その他の属性に基づいて、アプリケーションごとにアクセス制御を行います。
VPNでは、アクセス制御地点は社内ネットワークと外部ネットワークとの境界にありますが、「BeyondCorp」では、個々のユーザーやデバイスにアクセス制御地点が移動しているのが特徴です。

LTEプロトコルをIPネットワーク上で利用「LTE over IP」

そしてこのゼロトラストとは真逆の考え方として注目すべきなのが「LTE over IP」です。
「LTE over IP」は、VPNの一種でもあります。(参考:使える! 情シス三段用語辞典59「LTE over IP」

電話でおなじみのLTEの通信プロトコルを無線LANやイーサネットなどのIPネットワーク上で利用します。IPネットワークの中に、LTE化された通信のトンネルを作るイメージとなります。(トンネリングという意味ではVPNと同じ)

Wi-FiなどのIPネットワークに対しては、セキュリティ面での課題(悪意のあるAPや同一無線LAN利用による盗聴など)が従来から指摘されていました。例えば、某有名コーヒーショップが提供する無料のWi-Fiを使ってリモートワークをする際、当然VPNを利用して社内ネットワークにアクセスしますが、この時に一瞬でも”ローカルWi-Fiに接続することなく、手順に従いVPNで接続する”というのは、かなり意識していないとできません。
しかしながら、この「LTE over IP」を活用することで、電源を入れた瞬間から通信は秘匿され、企業側も既存のネットワーク構成を一切変更することなく低コストで安全性の高い仮想専用線を構築できることになります。

「LTE over IP」を実現するサービスでは、テレワークをするユーザーが自身の端末にSIMカードを刺して利用します。(その他、サービス事業者によってはソフトウェアSIM、USBドングルなどを利用する方法もあるようです)

ユーザー側から見ると、SIMで認証しているため、VPNのようなIDやパスワードの入力が不要となり、そういったわずらわしさから解放され、安心してカフェの無料Wi-Fiでも、出張中のホテルのLANでも使えることが大きなメリットでしょう。

また、SIMによるデバイス認証ができる点も「LTE over IP」の特長です。PCとSIMの組み合わせが正しくないと接続できないため、万が一、盗難されたSIMでなりすましを試みる者がいたとしても、そのSIMをリボークしてしまえば、社内リソースへのアクセスは成功しません。

企業のIT管理者の立場から見ると、有線のEthernet・公衆Wi-Fiなどどのような回線を利用していたとしても、企業リソースにアクセスする端末IPは固定するため、アクセス管理が簡素化するメリットがあります。

しかしながら、LTE over IPを利用する際にも注意点はあります。それはInternetとの通信です。
LTE over IPでは、LTE-X基地局から先は社内ネットワークに接続されているので、言うなれば巨大Intranetです。この中で通信している分には境界内の為、心配はありません。
また、Microsoft 365やAWSなど様々なサービスと専用線でつながっていれば、外部サービスであれども安全*といえます。(*:LTE over IPサービス提供者及び外部サービスの構成にも影響されます)

但し、そこからInternetに出るには何かしらの防御を施す必要があります。これに関してはサービス事業者に依頼するか、自前でその口を用意する必要があります。

また、まだまだこのサービスが利用できる環境が少ないことも、デメリットかもしれません。

 

 

このように従来のVPN以外にも安全な通信を実現する技術は続々と登場しており、既にBuzzワード化している「ゼロトラスト」を含めて、脱”従来型の”VPNの動きは加速すると見られています。

また、その他にも方法はあります。単純にVPNの利用をやめるのであれば、オンプレミスなサーバーの利用をやめてクラウドへ切り替えることです。通信経路の盗聴に対しては何かしらの対策が必要になりますが、5G時代になり、通信単価も下がることが見込まれる(菅政権の大きな方針の一つが通信料の値下げ)ことから、モバイルルータまたはスマートフォンのテザリング等でカバーできるようになるでしょう。

各企業でも、自社に合った通信方法を再度検討する時期にきているようです。

 

【執筆:編集Gp 近藤真理】

関連記事

カテゴリー:

ナレッジ情シス知恵袋

情シス求人

  1. チームメンバーで作字やってみた#1

ページ上部へ戻る