ZTNA image

ZTNAソリューションの種類、メリットから導入時のチェックポイントまで

by ブログ

ZTNA image

コロナ禍をきっかけにリモートワークの普及が進み、社外から社内のネットワークにアクセスするVPN接続の利用も広がっています。しかし昨今、VPN接続を狙ったサイバー攻撃も増加しつつあり、ネットワークのセキュリティ対策の重要性が見直されつつあります。近年、ネットワークのセキュリティに関して注目を集めているのが、ZTNAと呼ばれる考え方です。ここでは、ZTNAソリューションの種類やメリット、そして導入する際におさえておきたいチェックポイントについてご紹介します。

 

ZTNAとは?

ZTNAという概念について簡単に解説しておきます。ZTNAとは「Zero Trust Network Access」の略称です。「ゼロトラスト」とは、ネットワークの外側も内側も信頼しない、という考え方です。従来のセキュリティは、ネットワークの内側だけを信頼し、外側は信頼しない、という考え方に基づいた対策を採用していました。しかし昨今のクラウドのように、社外に情報資産を置いたシステムの利用も活発化しています。そのため、従来のセキュリティでは不十分とみなされつつあります。そうした現状の中で注目されているZTNAは、あらゆるアクセスを信頼せず、外部だけではなく内部からのアクセスもチェックし、信頼できるものだけを通過させる仕組みです。

ZTNAについて、詳しくはこちらの記事をご覧ください。

企業担当者必見!ZTNAとは?概念とセキュリティモデルを解説!

 

ZTNAソリューションを導入するメリット

ZTNAソリューションを導入するメリットとして、以下のようなことが挙げられます。

  • セキュリティの向上
  • 管理負担の軽減
  • アクセス負荷の低減

それでは、ZTNA導入におけるメリットを詳しく説明します。

セキュリティの向上

ZTNAソリューションを導入することで得られるメリットとして、まずはセキュリティの向上が挙げられます。VPNと異なり、すべてのアクセスを信頼せずにチェックを行うZTNAは、セキュリティの向上につながります。また、認証を通過したデバイスのみ、制限された領域にのみアクセスできるような仕組みを提供するため、万一デバイスの盗難等の被害に遭った場合にも、情報漏洩等の被害を最小限に抑えることができます。

管理負担の軽減

管理者の負担を軽減することも可能です。特に社員数が多い会社の場合、情報システム部門で管理すべき情報は膨大な数に上ります。ZTNAソリューションを導入することで、認証情報等を一括して管理することができるため、管理の負担を減らすことができます。ソリューションを選ぶ際には、管理インターフェースの使いやすさ等も考慮しておきましょう。

アクセス負荷の低減

アクセス負荷を低減することもできます。ユーザーは限られたアプリケーションにしかアクセスできなくなるため、必要なアクセスのみが発生し、無駄なアクセスを減らすことができるようになります。

 

ZTNAソリューションの種類

それでは、ZTNAに基づいたセキュリティ対策を実現する製品について、さらに詳しく解説していきます。ZTNAソリューションには、大きく分けて「サービス主導型」と「クライアント主導型」の二種類があります。それぞれの特徴と、向いている企業についてご紹介します。

 サービス主導型

「サービス主導型」のZTNAソリューションは、サービス(アプリケーション)を提供している側がアクセス権限等を主導的に管理する仕組みです。サービス主導型のソリューションはSDP(Software Defined Perimeter)という概念を取り入れています。SDPとは、ソフトウェア上に新しく境界線を設けることで、ユーザーのアクセス権限等を一括して管理する考え方です。サービス主導型のZTNAソリューションは、ユーザーのデバイスにインストール等を行う必要がありません。そのため、ユーザーが各々のデバイスを利用して業務に携わる形態を採っている企業に向いています。

 クライアント主導型

「クライアント主導型」のZTNAソリューションは、クライアントであるユーザーの状態やデバイスに応じてアクセス制御を行います。オンプレミスでもクラウド上でもアクセスが可能となるため利便性が高く、アプリケーションの構成変更も少ない場合が多いため、サービス主導型に比べ導入しやすいという特徴があります。クライアント主導型のZTNAソリューションは、デバイスの方にインストール等を行うことになります。社用のPCやスマートフォンを支給している場合など、デバイスを限定して管理している企業に向いています。

 

ZTNAソリューションを導入する際のチェックポイント

それでは、ZTNAソリューションを導入する際のチェックポイントについてご紹介していきます。複数のZTNAソリューションの中から自社の業務にとって適切なものを選ぶためにも、重要なポイントをおさえておきましょう。

セキュリティの固さ

1つ目のポイントはセキュリティの固さです。セキュリティソリューションである以上、性能の低いものであっては意味がありません。強固なセキュリティを実現可能か見極めるために、ソリューションの特徴をきちんと把握し、信頼できるベンダーを選定する必要があります。

操作性と管理のしやすさ

2つ目のポイントは操作性です。ユーザーにとっての認証画面にしても、管理者にとっての管理画面にしても、操作しやすいことに越したことはありません。ユーザーにとっては、あまりに煩雑な認証画面が与えられると業務効率の低下が想定されます。管理者にとっても、ユーザー情報をはじめ管理すべき情報が多いため、効率的な業務のためには管理用のインターフェースにも気を配りたいところです。

サポートの充実

ネットワークに関わるソリューションである以上、問題が起こった場合に即時に対応ができないと、業務に大きな支障をきたす恐れがあります。セキュリティ関係の事故が発生した場合など、ベンダーの助けがなければ原因究明や対応ができない可能性もあります。手厚いサポートが用意されているかどうか、ということも選ぶ際のポイントになります。

 

ZTNAソリューションのおすすめ「Cloudbric RAS」を紹介!

製品によって提供形態やサービス内容が異なるため、ZTNAの導入をする際は製品を見極めて自社にあったサービスを選ぶことが重要です。そして、導入するZTNA製品を見極める際のチェックポイントとしては、前述した内容である、下記の3つが挙げられます。

  • セキュリティの固さ
  • 管理のしやすさ
  • サポートの充実

これら3つのポイントからおすすめするZTNAソリューションは「Cloudbric RAS」があります。「End To Endのゼロトラストセキュリティ環境」を構築することができるクラウド型セキュリティサービスです。より詳しい内容を確認したい方は、こちらをご覧ください。

 

まとめ

今回は、ZTNAのソリューションの種類や導入のメリット、そして導入するために確認する必要があるポイントについて解説してきました。今まで解説してきた導入のメリットやチェックポイントを踏まえた上で、ZTNAソリューションから自社に適切なものを選択しましょう。

 

what is ztna2

ZTNA(Zero Trust Network Access)の重要性とは?メリットなども解説!

by ブログ

働き方改革とコロナ禍の影響から、日本企業でもテレワークのリモート・在宅勤務の導入が増加しています。そして、テレワーク増加と比例して増加している事例がVPNの脆弱性を狙ったサイバー攻撃です。

そんななか、VPNのような境界型セキュリティでは防ぐことのできないサイバー攻撃に対応できる次世代のセキュリティとして注目されている概念が「ZTNA(Zero Trust Network Access)」です。ZTNAの概念やセキュリティモデルについての詳細は、こちらの記事で解説しています。

ZTNA(Zero Trust Network Access)とは?概念とセキュリティモデルを解説!

本記事では、次世代セキュリティとして注目されるZTNAの重要性と導入のメリットについて解説しています。ぜひ、最後までご覧ください。

 

企業担当者必見!ZTNA(Zero Trust Network Access)の重要性とは?

ZTNAが注目されるようになった背景には、ITの技術や働き方の変化によって、VPNなどの従来の境界型セキュリティでは守り切れない事例が頻出してきたことが挙げられます。IT技術の変化や企業のクラウド環境への移行が進むとともに、求められるセキュリティ対策も変わってきました。そしてテレワークのリモート・在宅勤務の増加など働き方が急激に変化する中、リモートアクセスに対するセキュリティ対策を見直す必要があるという議論がはじまって、従来のVPNに代わる対策としてZTNAが注目されました。

それでは、なぜZTNAの導入が重要なのでしょうか?まずは、クラウド環境におけるZTNAの重要性について、詳しく解説していきます。

クラウド環境ではZTNAが重要!

近年、ランニングコスト削減効果や安価でスピーディーな環境構築などを目的にクラウド環境の導入・移行に踏み切る企業が増加傾向にあります。クラウド環境とは、離れた場所にあるシステムの本体(物理的なサーバなど)から、インターネットなどのネットワークを介して、ユーザにサービスを提供する形態のことです。

境界型セキュリティと呼ばれている従来のセキリティは、下記のポイントを軸に対策されています。

  • 外部ネットワークとの「境界線(ペリメータ)」でセキュリティ対策を行う
  • 内側(社内)と外側(社外)の接点における悪意のある第3者の存在

つまり、従来のセキュリティ対策としての考え方は、外側は信用できず内側は信頼できるという意識が働いていました。システムの本体が内側にあれば、従来のセキュリティ対策でも、悪意のある第3者からの攻撃は防げるでしょう。

しかし、クラウド環境で離れた場所にシステムの本体がある場合、境界型セキュリティでは攻撃を防ぐことはできません。それに対して、ZTNAは、ゼロトラストという「ネットワークの外側も内側も依存しない」という考えでセキュリティ対策を行うため、クラウド環境にも対応しています。だからこそ、クラウド環境に移行した企業や移行を考えている企業は、クラウド環境にある情報資産を守れるセキリティ対策として、ZTNAの導入は重要となります。

 VPNが安全な対策であると言えない理由は?

境界型セキュリティとして最も一般的で、テレワークでのリモート・在宅勤務での主流となっていた仕組みと言えば、VPNがあります。テレワークの推進やコロナ禍の影響でリモート・在宅勤務をする方が増加したことで、社内ネットワークに外部から安全にアクセスする際に使うVPNは急速に多くの企業に拡がりました。しかし、VPN製品の脆弱性が相次いで発見され問題となりました。そして、その脆弱性を利用したサイバー攻撃や攻撃者の侵入が次々と発覚し、もはやVPNは安全なセキュリティ対策ではないといわれています。

 また、脆弱性があることだけでなく、VPNのような境界型セキュリティは「内側が安全」と考えられているため、他者のなりすまし攻撃に弱いという特性があります。そのため、社内ネットワークへの攻撃を防ぐことは困難といえるでしょう。

ZTNAは脱VPN事故に不可欠!

VPNを狙った悪意のある第3者によって、VPN事故(VPNの欠陥をついた攻撃による情報流出などの事故)が発生する可能性は十分あります。VPNは、もはや安全なセキュリティ対策とはいえなくなっており、一刻も早く「脱VPN」への対策が必要といえるでしょう。そして、そんな脱VPN対策として注目されている概念が、ZTNAの導入です。

 

VPNの代わりに注目されるZTNA(Zero Trust Network Access)のメリットとは?

ZTNAであれば、VPNなどの境界型セキュリティでは守り切れない資産を守ることができますが、他にも下記のようなメリットが得られます。

  • アクセス速度が早まる
  • セキュリティが強固となる
  • 管理者の負担が減る
  • ユーザの増加に柔軟に対応できる

それでは、ZTNA導入におけるそれぞれのメリットについて、詳しくみていきましょう。

アクセス速度が早まる 

ZTNAは、VPNとは異なり、許可された限られたユーザしかネットワーク上のアプリケーションやデータにはアクセスができません。そのため、これまでより無駄なアクセスが減り、接続が最適化されたことでアクセス待ちの時間が短縮します。また、クラウド環境でVPNを利用したリモートワークは、下記のようなアクセス経路を辿ります。

  1. リモート端末
  2. 社内ネットワーク
  3. クラウド

そのため、社内ネットワークに対して、VPNアクセスとクラウドへのアクセスで2重に負担がかかることで速度が遅延しやすいという特性がみられます。ZTNAを導入すれば、効率的なクラウド利用が可能となるでしょう。

 セキュリティが強固となる

ユーザがIDとパスワードによる認証が通過すれば、ZTNAでは、アクセス権限を持つアプリケーションのみアクセスが可能となるよう権限の制御が可能です。もしユーザの端末が乗っ取られても、悪意のある第3者は限られたアプリケーションにしかアクセスできないため、被害を抑えられるでしょう。また、IPアドレスは許可されないユーザには公開されないため、IPアドレスの外部公開によるサイバー攻撃の軽減も期待できます。

 管理者の負担が減る 

VPNの場合、拠点ごとにアクセス制御ポリシー(保護リソースに対するアクセスをユーザに許可するか拒否するかを定義する一連の条件)の管理が必要です。ZTNAを導入すれば、組織全体のアクセス制御ポリシーがすべてクラウド上で一元管理できるため、拠点ごとに管理する必要がありません。そのため、管理者の負担が大きく軽減されるでしょう。また、ACL(アクセス制御リスト)も簡素化できることから、さらに管理者の負担は減るところは大きなメリットです。

ユーザの増加に柔軟に対応できる

VPNの場合、ユーザが増加すると、利用規模に対してサーバなどの性能や容量が負荷に耐えられません。そのようなシステム障害の発生を防止するためには、サイジングの必要性や急なユーザ追加に対して、柔軟に対応しなければなりません。しかし、ZTNAを導入すれば、性能による問題などの処理はすべてクラウド上で行えるため、急にユーザ増加があっても柔軟で迅速な対応ができます。

 

ZTNAソリューションのおすすめ「Cloudbric RAS」を紹介!

脱VPNのセキュリティ対策として、ZTNAを選ぶ企業もあることでしょう。すでに、各企業からいくつものZTNA製品(ZTNAソリューション)の提供を開始しています。しかし、製品によって提供形態やサービス内容が異なるため、ZTNAの導入をする際は製品を見極めて自社にあったサービスを選ぶことが重要。そして、導入するZTNA製品を見極める際のポイントとして、は、下記の4つが挙げられます。

  • セキュリティ能力
  • 情報の管理のしやすさ
  • 相互運用性の良さ
  • 問題が起きた際の対処・対応速度

これら4つのポイントからおすすめするZTNAソリューションといえば「Cloudbric RAS」があります。マルチ・クラウド上に構築されている複数のWebアプリケーションに対し、利用者単位でアクセス権限を設定できるクラウド型セキュリティサービスです。

 

さいごに

今回は、ZTNAの重要性やメリットなどについて解説してきました。セキュリティコンサルティングを世界的に展開しているガートナー社によると、現在「VPN」を利用している企業の約6割が、2023年までにZTNAへ移行すると予想しています。これまで、VPNは利用すべき安全対策といわれてきましたが、今の時代や環境に対応できていない事例が数多く報告されているのが現状。今後のテレワークを推進や会社のクラウド化を目指しているのなら、ぜひZTNAを導入して、脱VPNを検討してみてはいかがでしょうか。

 

ZTNA ソリューション「Cloudbric RAS」の詳細はこちら

Cloudbric RAS

ztna

ZTNAとは?VPNに代わるゼロトラスト時代の新しいアクセスモデルを解説

by ブログ

テレワークやクラウドサービスの普及により、従来の「社内は安全」という境界型防御の考え方は限界を迎えつつあります。そこで注目されているのが、「すべてを信用せず常に検証する」ゼロトラストの考え方を実現するZTNA(ゼロトラストネットワークアクセス)です。

本記事では、ZTNAの仕組みやVPNとの違い、導入によるメリットや注意すべきポイントを紹介します。

 

ZTNA(ゼロトラストネットワーク)とは

ZTNA(Zero Trust Network Access)は、ゼロトラスト思想に基づくセキュリティモデルです。内部・外部を問わず、すべての通信を検証してからアクセスを許可します。

従来の境界防御では防ぎにくかった内部侵入や認証情報の悪用を防ぎ、ユーザーやデバイスごとにアクセス権を細かく設定します。要求のたびに認証・端末状態・権限を確認します。

VPNのようにネットワーク全体を開放せず、必要最小限のリソースのみアクセスを許可することで、不正アクセスや情報漏えいのリスクを低減します。

 

ゼロトラストとは

ゼロトラストとは、「何も信用しない(Never Trust, Always Verify)」という考え方に基づいたセキュリティ思想です。従来の「社内は安全」という境界型防御モデルから脱却し、すべての通信を疑うことを基本としています。以下はZTNAとの比較になります。

 

ZTNAが生まれた背景

ZTNAが生まれた背景には、従来の境界型防御モデルの限界があります。境界型防御は「社内は安全」という前提でネットワークの内と外を明確に分けて守る仕組みでしたが、近年の環境変化により境界が曖昧になり、新たなセキュリティモデルが求められるようになりました。

具体的には、以下の3つの要因が挙げられます。

  • サイバー攻撃の高度化
    攻撃手法が巧妙化し、VPNの脆弱性悪用や認証情報の窃取による侵入が増加
  • クラウドサービスの普及
    企業システムが社外のクラウド環境に分散し、従来の境界防御では保護が困難に
  • 働き方の多様化
    テレワークの拡大により「内部」と「外部」の境界があいまいになった

こうした環境変化により、すべてのアクセスを継続的に検証するZTNAの発想が不可欠となりました。

 

ZTNAとVPNの違い

VPNは、通信を暗号化して遠隔から社内ネットワークに安全に接続する仕組みで、リモートワークの主流として活用されてきました。しかし、ネットワーク全体へのアクセスを許可するため、侵入後の内部拡散リスクが課題です。

一方、ZTNAはアプリケーション単位で接続を制御し、アクセスごとに認証を行うことで安全性を強化します。ZTNAとVPNは対立関係ではなく、VPNを補完・代替する次世代技術として位置づけられます。企業はZTNAを段階的に導入することで、既存のVPN環境からスムーズに移行できます。

VPNについては、以下の記事で詳しく解説しています。あわせてお読みください。

VPNとは?仕組みからメリット、選び方まで徹底解説

 

ZTNA(ゼロトラストネットワーク)導入のメリット

ZTNAを導入することで、企業はセキュリティ強化と業務効率化の両立を実現できます。ここでは、ZTNA導入による4つの主要なメリットを紹介します。

 

メリット①セキュリティの強化

ZTNAは、アプリケーションやシステムを外部から不可視化し、攻撃者が侵入経路を特定できないようにする仕組みです。公開ポートを最小限に抑えて攻撃対象領域を削減し、セキュリティリスクを根本から軽減します。

これにより、利用者は業務に必要なアプリケーションのみにアクセスでき、最小権限の原則に基づいて制御されます。さらに、アクセスごとに認証や端末状態を検証するため、MFAと監視の併用で高水準の安全性を維持します。

 

メリット②運用効率の向上

ZTNAは、セキュリティポリシーをクラウド上で集中管理し、複数拠点や端末への設定を自動的に反映できます。これにより、管理者が個別の機器を操作する手間がなくなり、設定ミスや運用のばらつきを防止します。

さらに、クラウドベースで動作するため、ユーザー増減や拠点追加にも柔軟に対応でき、ハードウェアの導入・保守も不要です。世界各地のアクセスポイントを経由し、最適な通信経路を自動選択することで、遅延の少ない安定した接続を実現します。

メリット③VPN接続時の遅延解消

従来のVPNは「ハブ・アンド・スポーク」構成を採用し、すべての通信を本社やデータセンターのゲートウェイ経由で処理していました。そのため、遠隔地ほど通信距離が長くなり遅延が発生しやすく、同時接続数の増加で速度低下を招くこともありました。

ZTNAは世界各地のアクセスポイントを活用し、最寄り経路から直接接続することで通信を最適化します。これにより、距離による遅延を抑え、クラウド上での負荷分散により安定した通信を実現可能となっています。

 

メリット④クラウド環境への柔軟な対応

クラウド利用が拡大する中、ZTNAは従来の境界型ネットワークでは対応が難しかった環境にも柔軟に適応できる仕組みを提供します。オンプレミスとクラウドが混在する構成でも、一貫したアクセス制御と統一ポリシーの適用が可能です。

さらに、AWS・Azure・Google Cloudなど複数クラウドをアイデンティティベースで統合管理でき、複雑な設定やVPN構成を削減します。SaaSへの直接接続により、安全で遅延の少ない通信を実現します。

 

ZTNA(ゼロトラストネットワーク)導入における注意点

ZTNAは高いセキュリティと柔軟な運用を実現する一方で、導入や運用にはいくつかの注意点があります。ここでは、導入時に押さえるべき主な課題と対処のポイントを解説します。

 

注意点①ポリシー設計の複雑化

ZTNAでは、「最小権限の原則」に基づき、ユーザー・デバイス・アプリケーションごとに詳細なアクセス条件を設定する必要があります。VPNのように一括で許可する方式とは異なり、「誰が・どの端末で・どの時間帯に・どのアプリへ」アクセスできるかを細かく定義するため、ルールが多層化しやすくなります。

特に、既存のVPNやオンプレミス環境と併用する移行期には、複数の境界をまたぐアクセス制御が発生し、設計が複雑化しがちです。導入前に現行のアクセス権限や業務フローを可視化し、段階的にZTNA化を進めることが重要です。

ルールのグルーピングや自動化機能を活用し、定期的にポリシーを最適化することが効果的です。

 

注意点②既存システムとの整合性

多くの既存システムは「境界防御モデル」を前提に設計されており、内部ネットワークを信頼する構造を採用しています。一方、ZTNAは「内部でも信用しない」設計思想のため、従来のアクセス制御や認証方式と整合しにくく、設定の全面見直しが必要となる場合があります。

特に、Active Directoryや独自データベースなど複数の認証基盤を統合する際は、構成の複雑化が課題です。さらに、レガシーアプリがSAMLやOpenID Connectに非対応な場合は、ゲートウェイやプロキシの導入が求められます。

ZTNA導入前に各システムの構成や認証方式を可視化し、影響範囲を把握した上で段階的に移行を進めることが重要です。

 

注意点③運用フェーズでの可視化と継続的改善

ZTNAの運用段階では、すべてのアクセスに対して詳細なログが記録されるため、膨大なデータから異常を抽出・分析する作業が複雑になりがちです。多層的なポリシー設定によって、アクセス拒否の原因を特定する際にも時間を要するケースがあります。

ゼロトラスト環境は導入して終わりではなく、新たな脅威や業務変化に応じたポリシーの継続的な見直しが不可欠です。定期的なログ分析や権限棚卸しを実施し、セキュリティ運用の品質を維持することが求められます。

さらに、SIEMなどの分析ツールを活用して可視化を進め、アラート対応やアクセス制御の自動化を図ることで、継続的な改善体制を強化できます。

 

注意点④ユーザー教育と運用ルールの定着

ZTNA導入後の課題として挙げられるのが、ユーザー側での理解不足や操作習熟度の差です。ZTNAはアプリケーションごとに認証やデバイス確認を行う必要があり、従来のVPNと比べて操作手順が複雑に感じられる場合があります。

利用者の意識や知識に差があると、誤操作やルール違反によってシステム全体の信頼性を損なうおそれもあります。そのため、導入目的や利便性・安全性の両面での効果を社内で共有し、段階的な教育を行うことが重要です。マニュアルや動画教材、eラーニングを整備し、初期サポート体制とFAQを充実させることで定着を支援します。

さらに、定期的な啓発活動や評価制度により、ルール遵守を組織全体に根付かせることが効果的です。

 

まとめ

本記事では、ZTNAの仕組みやVPNとの違い、導入によるメリットや注意すべきポイントを解説しました。

ZTNAは、ゼロトラストの思想を具体化し、企業ネットワークをより安全かつ効率的に運用するための次世代モデルです。VPNに代わるリモートアクセス基盤として、セキュリティ強化・運用効率化・クラウド対応など多くの利点があります。

一方で、ポリシー設計や既存システムとの整合性、ユーザー教育などの課題も存在します。段階的な導入と継続的な改善を重ねることで、ZTNAの効果を最大限に発揮できるでしょう。

VPNのデメリットとゼロトラスト

VPN脆弱性を狙ったサイバー脅威急増!VPNを代替するゼロトラストとは?

by ブログ

新型コロナウイルスの感染拡大を受けてテレワークの推進が進む中、多くの企業で社外に持ち出したPCや自宅のPC等を組織内部のネットワークに安全に接続させるための手段としてVPNが利用されています。それに伴い、VPNを実現するための装置を狙ったサイバー攻撃が増加しています。テレワークの動きが広がる一方、企業の安全対策が急務となっています。企業には、利用するVPN機器などの脆弱性情報の収集や、設定の見直しなどの迅速な対応が求められています。今回はVPNの安全性を検証すると共に、よりセキュアな代替手段についても解説していきます。

 

VPNのメリットとデメリット

VPN(Virtual Private Network)とは仮想の専用ネットワークのことであり、本来は広く公に開かれているインターネット上にまたがる形で仮想空間を作り、個人専用のネットワークのような機能、セキュリティを実現して通信をおこなうことを指しています。VPNは互いの拠点に専用のルーターを設置することにより、その拠点間上に仮想の専用ネットワークを構成、直接的な接続を可能にしています。利用している回線はごく普通の公衆インターネット回線ですが、外部から中でやり取りされている内容が読み取れないよう、暗号化が施されています。あくまでも「仮想」の専用回線を公衆のインターネット上に作り上げていますので、実際のLAN接続による社内ネットワークとは違い、セキュリティ面などいくつかの問題点も抱えています。

メリット

・低コストで通信可能

パブリックネットワークを利用したVPNは専用回線が不要で、運用に必要なルーターも安い製品が多いので低コストで通信できます。携帯端末からのアクセスも無料Wi-Fiを安全に利用できるので、出先からのアクセスに通信費を気にしなくても大丈夫です。

・通信内容の暗号化で安全な通信ができる

VPNは暗号化技術とトンネリングを併用しているので、通信内容の盗み見や不正アクセスに対する安全が高いメリットがあります。通信内容の暗号化は、専用のソフトを会社と利用者双方が導入して安全を保ちます。トンネリングで専用回線に近い環境を整え、社外からのアクセスが繋がらない設定もできます。

・遠隔でもアクセス可能

全国各地や海外に拠点がある場合でも、VPNは遠隔操作でアクセスできます。距離を気にすることなくネットワークを構築できることはメリットの一つです。新型コロナウイルス対策としてのテレワーク(リモートワーク)にも活用が可能です。

・専用線ではない複数の拠点でも接続可能

拠点が複数であっても、VPNを利用することでスムーズにデータ通信を行えます。また、自社と拠点間のみの通信しかできない専用線と違って、拠点間同士でもセキュアな環境下で通信することができます。

デメリット

・情報漏えいの可能性

さまざまなセキュリティ機能を搭載しているVPNでも、万能というわけではありません。ネット環境を利用すれば情報漏えいのリスクもゼロではありませんし、VPNの設定を適切におこなえず、IP漏えいを助長してしまう可能性もあります。初期設定の誤りは、IPアドレスや通信ログ流出に繋がります。サービス提供者によるマルウエア感染のリスクもあります。安全性が絶対的に確保されているものではないことを、理解しておく必要があります。

・通信速度が遅い場合がある

VPNで一般回線を利用すると、混雑時には通信速度が遅いこともあります。接続するサーバーが日本にない時は、海外のサーバーを利用するので通信速度が国内とは異なる場合もあります。セキュリティ機能のためにルーター側のCPUに負担がかかり、速度に影響を及ぼすことも原因です。

・機能によってコストがかかる場合がある

VPNは機能によってコストが異なるので、価格に見合った価値があることを確認する必要があります。SSLはグループウェアやウェブブラウザに搭載されているので、導入コストを下げられますが、社内システムによっては専用クライアントソフトが必要になることもあります。IPsecは独自のクライアントサーバシステムにも導入可能で、社内ネットワークに適していますが、出先からのリモートアクセスが多い場合はSSLが有効です。

・管理面からみた非効率性

VPNはエンタープライズセキュリティにきわめて現実的な脅威を及ぼします。VPN はその特性から、ネットワークファイアウォールに穴を開け、ネットワークへ自由にアクセスできるのが一般的です。また、VPN はインテリジェンスも欠如していて、ネットワークにアクセスしようとしているユーザーの本人確認を正確に行うことはできず、多要素認証(MFA)に応じて承認と却下の判断が常に変わります。さらに、VPN はベテランの IT スタッフを独占することになります。接続を提供し、日常のオンボーディング、オフボーディング、および一般監査の複雑さを容易にするために、VPN のサポートだけに費やされる時間数や、それに関連した過剰なシステムをユーザーが目にすることはほとんどありません。

 

VPNの脆弱性を狙ったサイバー攻撃

Citrix社製品の攻撃

2019年12月にCitrix社の一部の製品に関する任意のコードを実行可能な脆弱性(CVE-2019-19781)が公開されました。攻撃手法の詳細が公開され誰でも試せる状態になりました。この脆弱性が悪用された場合、データ改ざんや流出などの被害が発生する恐れがあり非常に危険だと報じられました。「複数の Citrix 製品の脆弱性 (CVE-2019-19781) に関する注意喚起」も2020年1月にJPCERT/CCより出されています。
この攻撃で、検証コードを使って製品のパスワードファイル/etc/passwdの取得ができることが示されています。対象はCitrix Application Delivery Controller(旧称Citrix NetScaler ADC)、Citrix Gateway(旧称NetScaler Gateway)、Citrix SD-WAN WANOP を利用するユーザー、サービス、サポートされている製品バージョンと全てのプラットフォームです。これにより該当製品、サービスを利用している企業は必要外(インターネット等)の環境からの接続制限、Citrix社の公開する緩和策の適用、FWやIPS/IDSによるExploitコードの遮断等が求められました。

Pulse Secure社製品の攻撃

2020年8月下旬、米Pulse Secure社(パルスセキュア)のVPN機器から、テレワークに欠かせない社外接続の認証情報などが流出したと報じられました。パルスセキュアのVPN機器(Pulse Connect Secure)を使用する複数の国内大手企業が不正アクセスを受け、テレワークに利用されるVPNの認証情報などが流出したとの内容です。
同社ではこの機器について2019年4月に脆弱性を公表、修正プログラムも公開しており、JPCERT/CCからも注意喚起が公開されていました。情報が流出した企業では、この修正プログラムを反映していなかったとみられています。脆弱なVPN機器は、組織への侵入経路として標的型攻撃やランサムウェア感染などで悪用されるおそれがあります。第三者が機密情報を抜き取ったりウイルスをばらまいたりするなどの被害の拡大も予想されます。

英外貨両替大手Travelexのランサムウエア攻撃

上記で説明した脆弱性のあるPulse Secure社製品を未修整のまま使用していたとされる外貨両替大手Travelexが、ランサムウエア攻撃を受け、ビットコイン2億5000万円相当を支払いました。Travelexは2019年12月31日にランサムウェア「Sodinokibi」の攻撃を受けていました。Travelexはコメントを出していませんが、9月にパッチが出ていた脆弱性(CVE-2019-11510)に対して11月までパッチを適用してなかった可能性が指摘されています。

 

より高速、シンプル、安全なVPNの代替手段、ゼロトラスト・ネットワーク・アクセス(ZTNA)

VPNは、ユーザが正当なユーザであることを確認したり、デバイスの状態を確認したりすることなく、ファイアウォールを通過させるため、セキュリティホールが生まれリスクが増大します。またリモートユーザが VPNでネットワークにトンネリングされると、そのユーザは「信頼済み」と見なされる。本当に信頼できるかどうかは不明であるにも関わらず、 そのユーザに水平方向のネットワークアクセスが許可されてしまいます。そこで近年PNの代替として注目を集めるのがゼロトラスト・ネットワーク・アクセス(ZTNA)です。

ゼロトラスト・ネットワークでは、ネットワークの境界は防御線としての意味をなさず、すべての通信アクセスを信頼しないという考え方に基づき、対策を講じます。守るべき情報そのものにアプローチし、そこにアクセスするユーザー、端末、アプリケーションなどの信頼性を常にチェックするアーキテクチャとなります。社内からのアクセスであっても、ある企業情報に対しアクセスしようと、常にユーユーザは本人なのか、アクセスする権限を持っているか、利用している端末は安全性があるのかといったことを確認します。正しいアクセス権を持ったユーザが本人だと認められた場合のみアクセスが許可されるシステムです。

ゼロトラストのアプローチ

  • 境界を改めて定義し、「外部」だけでなく「内部」からの攻撃も防御
  • 境界をソフトウェアで構築し、集中制御
  • 社内/社外の境界を定義せず、デバイスごとに管理
  • 通信アクセスをすべて可視化/検証する
  • すべての記録(ログ)を残す
  • 必要最低限の認可をユーザーに与える

ゼロトラスト・ネットワークを検討するうえで欠かせないのが、エンドポイント(PCなどの端末)におけるセキュリティです。以前まで、エンドポイントは境界の内側(内部ネットワーク)にあるものだとされていましたが、境界がなくなったゼロトラストネットワークモデルにおいては、エンドポイントの挙動を可視化し、保護/管理することが重要となります。

 

さいごに

今回実際に被害にあった事例としてご紹介したTravelexは全世界26か国に1000を超える店舗とATMを持ち、業界大手の企業です。Travelexでは一定水準以上のセキュリティ体制が取られていたかと思いますが、ランサム攻撃者は、そんなグローバル企業ですら被害を受けてしまいます。この事に、日本企業ももっと注意を払う必要があるのかと思います。自社が利用しているVPN機器の脆弱性について企業は常に把握しておかないと、大きな代償を払う事になります。はっきり言いますとVPNの利用は時代遅れになりつつあり、サイバー攻撃だけでなく、内部犯行による情報漏えいも見据えるなら、今回ご紹介したようなゼロトラストのアプローチが必要になってきます。データを暗号化してアクセスコントロールを行うことはもちろん、誰がどこでどのようなデバイスやツールを使用して企業のシステムにアクセスするのかの可視化するソリューションが重要になってくるでしょう。

弊社は ゼロトラストを実現するセキュリティ・ソリューション、Cloudbric RASをご提供しております。暗号化、適切な2要素認証、モニタリング、不正侵入識別および遮断など、企業システムにアクセスしようとする全てのユーザを徹底的に識別し、VPNでは防御しきれない内部侵入者の攻撃を未然に防げます。

ゼロトラストに基づいたエンタープライズセキュリティ導入をお考えの方は、是非こちらの詳細をご確認ください。

Cloudbric RAS

テレワークセキュリティ対策

【無料提供】ゼロ・トラストでテレワーク実現!テレワーク・セキュリティ・ガイドライン 配布!

by お知らせ

昨今の企業のIT環境はテレワーク導入につれ大きな変化を遂げつつあります。しかしテレワークの盲点を突くサイバー攻撃による被害も拡大しているため、より徹底としたテレワーク・セキュリティ対策を講じる必要があります。そのため弊社は、テレワーク時代を見据えて従来のセキュリティ観点を刷新すべきの時点だと考えながら、今回、テレワーク・セキュリティ・ガイドラインを配布することになりました。

本資料では、テレワーク時代に更に複雑化しているIT環境のなか、従来のセキュリティが抱えている課題の解決を目指し、「ゼロ・トラスト」という新たなセキュリティモデルをご紹介いたします。また、その「ゼロ・トラスト」に踏まえ、安全なテレワークを実現するセキュリティソリューションまでご覧いただけます。

今回のガイドラインの配布を通じ、皆様の安全・安心できるテレワーク環境の実現にお役に立てれば幸いです。

 

テレワーク・セキュリティ・ガイドライン、こんな悩みがありましたら、一読をお勧めします。

  • 現在、社内で導入しているテレワーク・セキュリティ対策に不安やご心配をお持ちの方
  • セキュリティ確保・ネットワーク快適化を両立するテレワーク対策の導入で、働き方のデジタル化の実現をご希望の方
  • VPN等の脆弱性から発生しうるセキュリティ事故にご懸念をお持ちの方
  • ゼロ・トラスト・セキュリティ対策の導入方法をお探しの方
  • セキュリティ専門知識なしでも理解できる、簡単かつ安全なテレワークセキュリティ対策をお探しの方

他にも、テレワークセキュリティにおける様々な悩み・課題に直面している方々は是非ご一覧をお願いします。

資料のダウンロードはこちら

資料ダウンロード

クラウドブック「リモートアクセスソリューション」

テレワーク導入を阻むセキュリティ課題をゼロトラスト視点で見直す

by ブログ

大東建託株式会社が今年9月に行ったテレワーク実施状況などに関するインターネット調査では、実施率は26.3%と依然4分の1以上の企業がテレワークを継続している状況です。コロナ過の長期化に伴い、テレワークで働く人が一定数いる状況は今後も続くと予想されますが、セキュリティ対策強化の困難さが問題として浮き上がっています。従来、業務用PCは物理的にIT部門の近くにあるため管理も比較的容易でしたが、テレワークにより設置場所が社員の自宅へと一気に拡散し、管理が複雑になることで、セキュリティリスクの上昇とともに、トラブル対応が増加し生産性の低下などを招く可能性も出ています。 今回はテレワークを推進するにあたっての、セキュリティ上の課題とその解決策をまとめていきたいと思います。

 

テレワークのセキュリティ課題

Wi-Fiからの情報漏えい

外出先でインターネットに接続して作業する際に、公共Wi-Fiを利用することがあるかもしれません。公共Wi-Fiは無料で利用できて便利です。しかし、公共のWi-Fiはどのようなセキュリティ対策が施されているかわかりません。万が一不備がある場合は、データの盗み見や詐欺サイトへの誘導など、第三者への情報漏えいの懸念があります。

また家庭用Wi-Fiもセキュリティに不備があると、ネットワークへの不正侵入や不正サイトへの誘導、ウイルス感染の可能性があります。社内ネットワークにアクセスする手段として、家庭内Wi-Fiが悪用される可能性もあるので注意が必要です。

セキュリティ対策のない私物端末の使用

テレワークで使用されるパソコンに、ウイルス対策ソフトなどのセキュリティ対策が施されていないと、万が一ウイルスに感染した際に対処できません。最悪の場合、パソコンからデータを抜き取られ、会社の情報漏えいにもつながります。

 

VPNの負荷と脆弱性

VPN(Virtual Private Network)接続とは、インターネット上に仮想の専用線を設定し、特定の人のみが利用できる専用ネットワークです。接続したい拠点(支社)に専用のルーターを設置し、相互通信を行うことができます。「トンネリング」「暗号化」「承認」を設定することで、セキュリティ上安全にデータのやり取りを行うことができるといわれていて、テレワーク下で多くの企業が利用しています。しかし、VPNアプリは決して万能ではありません。

実際にテレワークで使ってみると、VPNで会社につなげたくても、回線や機器の負荷が高すぎてつながらない」「重たくて仕事にならない」といった声があがっています。従来のアーキテクチャでは、従業員からの通信はVPNを利用していったん内部に集約されます。クラウドサービスの利用も、いったん企業のVPNゲートウェイを経由して行われます。ダイレクトにクラウドサービスを利用する場合に比べ、データセンターへの行ったり来たりが増えて帯域もセッション数も消費し、ボトルネックとなっています。

標的型攻撃や最近のランサムウェアといったサイバー攻撃の高度化も深刻な懸念材料になっています。RDP(Remote Desktop Protocol)やVPNといったリモートアクセス環境で弱いパスワードが設定されているアカウントを乗っ取ったり、脆弱性を悪用したりと、さまざまな手段で攻撃を仕掛けてきます。一旦内部に侵入されてしまえば、共有ファイルサーバやディレクトリサーバへのアクセスも可能になり、社内セキュリティは無防備にさらされます。ユーザがインターネットを利用している間に、ウイルス感染したサイトに誘導することもできるため、VPNの使用は慎重に行わなければなりません。

 

ゼロトラスト・セキュリティ

VPN接続の場合、ファイアウオールなどによるネットワークの「境界防御」が破られ、「安全な」ネットワークの内側に侵入されると、侵入者によって社内アプリケーションへ好き勝手にアクセスされてしまう問題があります。これまでのセキュリティ対策は、ITの世界を、信頼できる「内部」と、脅威が蔓延する危険な「外部」とに分け、外側から侵入を試みる不正アクセスやマルウェア、悪意あるメールなどを、境界で検知してブロックするという境界防御の考え方が主流でした。しかしIT環境の変化とサイバー攻撃の高度化により、もはやこの境界防御では防ぎきれない現実があります。また社内に置かれていたサーバがIaaSやSaaSといったクラウド環境にどんどん移行し、これまでは通信先も通信元も社内にあったのが、今はいずれも内部にあるとは限らず、内と外を分ける境界自体があやふやになっています。そのため、境界防御の考え方に代わって注目され始めたのが「ゼロトラスト・セキュリティ」です。場所にとらわれることなく常に認証やセキュリティ状態のチェックを行い、その結果に基づいて適切なリソースへのアクセスのみを許可していくというセキュリティの概念です。

実際米グーグルは従業員が在宅勤務をする際、VPNを一切使っていません。グーグルがVPNを使わなくなった背景には、いわゆる「ゼロトラスト・ネットワーク」の考え方があります。ゼロトラスト・ネットワークの考え方においては、どのような種類のネットワークであっても信頼しません。社内アプリケーションへのアクセスは、社内ネットワークからであっても社外からであっても必ず「アクセスプロキシー(認証サーバ)」を経由させ、社内アプリケーションの利用の可否を細かく制御しています。

 

Cloudbric Remote Access Solutionによる安全で簡単なテレワークセキュリティの実現

Cloudbric Remote Access Solution(クラウドブリック・リモートアクセス・ソリューション)は、境界防御にとらわれない企業専用ソリューションです。クラウド基盤で提供されるため、専用線やVPNを構築せず安全なリモートアクセス環境を提供します。VPNは一般のインターネット回線を使用してユーザとサーバを接続するため、安全性が低い場合もあります。例えば、ハッカーがネットワークに侵入した場合、これを防ぐ手立てがありません。 Cloudbricが提供するRemote Access Solutionは、権限のないユーザのアクセスを遮断し、プライベートネットワークに向かうすべてのトラフィックをリアルタイムでモニタリングするセキュリティ機能を提供します。

インストールや複雑な設置が不要

既存のVPNソリューションとは異なり、複雑なインストールが不要でWebブラウザ環境からログインするだけで、社内ネットワークにアクセスできます。テレワーク体制が必要な企業だけでなく、様々なオンラインサービスなどを行わなければならない教育機関や公共機関でも簡単に導入することができます。またユーザにプライベートネットワーク(Private Network)にあるWebサーバ、サーバ内のデータ、あるいはアプリケーションにリモートアクセスできるクラウドベースのセキュリティのみならず、ハッキングやの侵入、DDoS攻撃まですべて防御できるセキュリティ機能も提供します。

特徴

  • 拠点間ゲートウェイの設置不要
  • 追加ソフトウェアのインストール不要
  • DNS情報の変更だけですぐに利用可能
  • Webブラウザからログインするだけで遠隔地からも業務を進められる
  • モバイル、タブレットなど様々な端末から社内環境へアクセス可能

リモートアクセス環境を安全に保護

3つのセキュリティ対策を通じて、あらゆる方向からのサイバー攻撃を事前に防御します。様々なWeb脅威を防御し、送受信されるすべてのトラフィックへの安全性を確保しつつ、いつ、どこでも社内ネットワークに安全にアクセスすることができます。すべてのセキュリティ機能には、別途インストールが必要なく、ユーザとサーバ間のトラフィックが基本的に暗号化されて転送されます。

3-Layer Security

  • Traffic Monitoring(トラフィックのモニタリング)
  • User Authentication(ユーザ認証)
  • Hack Prevention(ハッキング対策)

新型コロナウイルス感染症はいまだ終息が見えません。セキュリティ面から導入を取りやめる企業もでているテレワークは、経営課題である人手不足への有効な対応策にもなり得るメリットもあり、今後積極的に活用できるかどうかで企業の人事戦略に大きく影響がでてくることも予想されます。セキュリティの構築が面倒、VPNでは防御しきれないとあきらめる前に、導入も簡単で、高精度なセキュリティを実現するRemote Access Solutionをご検討ください。

Cloudbric RAS

【セミナーレポート】ポストコロナ時代、ビジネス継続性を支える考え方としてのセキュリティとは

by お知らせブログ

2020年6月22日、大韓貿易投資振興公社(KOTRA) 東京IT支援センター主催の「第88回 Korea IT Cafe」にて、ペンタセキュリティシステムズ株式会社日本法人代表取締役の陳 貞喜(ジン・ジョンヒ)が「ポストコロナ時代、ビジネス継続性を支える考え方としてのセキュリティとは~求められている脱VPNと、セキュリティ課題への新たな取り組み方~」を主題として講演を行いました。今回は、そのWebセミナーの内容をまとめてご紹介させていただきたいと思います。

実はコロナ禍以前から、政府主導で働き方改革の一環としてテレワークが推進されてきました。遅々として進まなかったのですが、コロナをきっかけにリモートワークや在宅勤務など、従来と違った形の柔軟な勤務形態が急速に普及しています。そしておそらく、コロナが終息しても、そのまま新たな働き方は当然のように定着していくでしょう。

https://www.youtube.com/watch?v=LL-FyUslqXQ&t=752s

セミナー資料のダウンロードはこちら

 多くの企業ですでにテレワークを導入されている、もしくは導入を検討されていると思いますが、テレワークのためのソリューションといえばVPNをイメージする方が多数おられると思います。しかし、VPNもまた、決して安全だとは言い切れません。コロナがもたらした大規模なテレワークとともに、VPNによる様々な問題が浮き彫りになってきており、もはや今は「脱VPN思考」が求められているのです。

その理由の一つ目は、VPNの渋滞問題です。

VPNを経由して社内ネットワークに入ろうとする利用者の急増に伴い、ボトルネックが発生し、渋滞が起きる可能性が高まります。また、VPN環境を構築するにはVPNゲートウェイを企業側のネットワークに設置し、またユーザのPCにもVPNクライアントなどソフトウェアをインストールする必要があります。つまり、利用者急増に伴う処理能力の限界やシステム管理時の負担など、 ITシステム担当者側の負担がかなり増加しかねません。

二つ目は、セキュリティ問題においてVPNのみでは不十分であることです。

セキュリティにご興味のある方なら、よく耳にする言葉だと思いますが、「Zero Trust Model」という概念があります。Zero Trust Modelは内部・外部すべてが信頼できない危険な状態だと認識することを意味します。だからこそ、システムの外・内部を問わず、全領域にセキュリティを適用すべきだということになります。VPNの場合、社内システムの外側のみにセキュリティを適用しているため、システム内部に潜んでいるかもしれない脆弱性への対応までは保証できかねます。Zero Trust Modelに基づいたセキュリティ対策への取り組みが必要だということです。

クラウドブリック株式会社は、外部から社内に安全にアクセスできるテレワーク・セキュリティ・ソリューション「Cloudbric Remote Access Solution」をリリースしました。VPNを構築せず企業システムにアクセスできるSaaS型テレワークプラットフォームであるため、追加のインストールなしに、DNS情報変更のみで簡単に導入できます。また、同時接続者数の増減による処理能力を調整できるため、VPNの渋滞問題を解決し、システム管理時の負担をも軽減させます。セキュリティの面では不正侵入防御、2FA認証、トラフィック・モニタリング機能という3つのセキュリティ対策を提供し、テレワーク環境を安全に保護します。あらゆる脆弱性にさらされているテレワーク環境だからこそ、「脱VPN思考」に基きセキュリティを最優先に考慮した上で、テレワーク対策に向けて取り組んでいただけたらと思います。

セミナーの内容を簡単にまとめてみましたが、いかかでしたか。Cloudbric Remote Access Solutionは10月7日まで、3か月間無料でご利用いただけますので、ご興味のある方は、ぜひお試しいただけたらと思います。また、ご相談や質問なども、お気軽にお問い合わせしてください。

seminar

■6/22(月) Webセミナー■ 「脱VPN、全社員在宅勤務の切り札、ゼロトラスト」開催のご案内

by セミナー情報

新型コロナウイルス感染拡大により、テレワークが普及しました。ポストコロナ時代では、常時テレワーク化が求められ、VPN渋滞とセキュリティが問題となります。20年以上の実績をもつ韓国セキュリティ専門企業が解決策を提案いたします。

テーマ
ポストコロナ時代、ビジネス継続性を支える考え方としてのセキュリティとは
~求められている脱VPNと、セキュリティ課題への新たな取り組み方~

日時:2020年6月22日 16:30~17:30(16:10から接続開始)

場所:オンライン
※ライブ配信で行われます。

参加費:無料

内容

  1. コロナがもたらした働き方改革の加速化
  2. ポストコロナ時代企業の課題とは
  3. なぜ、脱VPN? 渋滞問題とVPN越しのゼロセキュリティ問題
  4. ゼロトラストの概念と、CRAS(Cloudbric Remote Access Solution)
  5. セキュリティにおける企業のアカウンタビリティ

主催:大韓貿易投資振興公社(KOTRA) 東京IT支援センター
お申し込み:こちらからお申し込みください。
※ お申込みいただいた方に、ライブ配信のURLをお送りします。