VPNとは

VPNとは、Virtual Private Networkの略称で、日本語では「仮想専用通信網」の意味です。アクセスごとに認証システムを設けて、一度安全と「許可」したアクセス以外は拒否する「境界型モデル」という仕組みになっています。大きく分けて「インターネットVPN」と「IP-VPN」があり、急拡大した在宅勤務に対応するためにも、低コストで導入障壁の低いインターネットVPNの利用が特に広まりました。

クローズドネットワークのIP-VPN

通信業者によって企業ごとに設けられた専用のクローズドネットワークを使うVPNで、オリジナルなネットワークを活用するためVPNの中ではセキュリティが堅牢なタイプになります。そのほか通信速度や品質が安定しているのも魅力ですが、運用コストが高額になりがちな点や、一度不正に侵入されると社内ネットワークすべてにアクセス可能な点は注意です。

オープンネットワークのインターネットVPN

誰でも使えるインターネット回線をそのまま流用するVPNで、IP-VPNと比較するとかなりの低コストで利用できます。一方で、世界共通のインターネットを使うため、誰でも自社のネットワークに不正アクセスしやすいリスクが伴います。また、通信品質・速度なども不安定な面があるのも注意点です。

ゼロトラストネットワークアクセス（ZTNA）とは

ZTNAとは、Zero Trust Network Accessの略称です。基本的に守るべき情報資産にアクセスするものはすべて信用せずにその安全性を検証するという「ゼロトラスト」の原則に則り、社内・社外を問わず厳密にアクセスを制御する「考え方・仕組み」です。

そもそもZTNAは2019年にGartner社が提唱したアクセス形態で、2010年にForrester Research社が提唱したZero Trust（ゼロトラスト）をベースにしています。SaaSなどクラウドサービスの普及や、DX（デジタルトランスフォーメーション）など、企業や組織の働き方やビジネスのあり方が大きく変化する中で、近年特に注目が高まっています。

注目の高まりに比例して、いくつかのベンダーやプロバイダがZTNA関連のサービス・ソリューションを提供しています。ZTNAの概念を元にセキュアな環境がありながらも、業務の効率性も高めるようなものもあるため、セキュリティ体制を強化したい企業の担当者の方はいくつかチェックしてみると良いでしょう。

ゼロトラストネットワークアクセス（ZTNA）とVPNの違い

セキュリティ面で脱VPNを考える際、近年注目されているのがゼロトラストネットワークアクセス（ZTNA）です。VPNとゼロトラストネットワークアクセス（ZTNA）は、ネットワークという観点から同じ文脈で語られる場合もありますが、実際は下記の表のように大きく異なります。

ここからはVPNとゼロトラストネットワークアクセス（ZTNA）の違いについて、IIJ編集部にもよく問い合わせがある部分を中心に解説します。

セキュリティポリシーが違う

もっとも顕著な違いとしてセキュリティポリシーの違いがあります。VPNはネットワーク単位でのアクセス許可であり、一度許可すると基本的に広範囲にアクセス可能な「信頼するセキュリティ」です。一方で、ZTNAはアプリ単位のアクセス制御で、内部にアクセス後も継続的に認証する「何も信頼しないセキュリティ」となっています。セキュリティポリシーの観点でいえば正反対のスタンスといえるでしょう。

セキュリティの範囲や強度が違う

セキュリティポリシーが異なることから、セキュリティの範囲や強度も大きく違っているといえるでしょう。VPNは特定のネットワーク全体を包括する形で制御する一方で、ZTNAは特定のネットワークの中で部門や階層などに個別の細かなアクセス制御をかけるイメージです。

VPNが一度侵入してしまえば全体にアクセスできる一方で、ZTNAは一部権限に侵入できてもほかの部門の権限へアクセスできません。ZTNAは個々のセキュリティ範囲は極めて小さいですが、だからこそ細かな認証を必要とし、全体のセキュリティの強度を高めています。

拡張性やパフォーマンス性が違う

VPNはユーザ数や接続地点が増えるとサーバーに限界が出てくるため、パフォーマンス面でも接続の遅延・不安定性が現れてくるでしょう。一方で、ZTNAはクラウド上での運用のためリソースを動的にスケール可能であり、一定レベル以上の通信速度・品質の安定化も望めます。細かい範囲でそれぞれアクセス制御していることで、直接且つ適切なトラフィックが可能です。

IIJ編集部には企業のセキュリティ担当の方から「ZTNAの通信品質ってどうなの？」とお問い合わせがたまにありますが、答えは「ZTNAはクラウド上で細かくアクセス制御を実施するため、制御のクオリティだけでなくパフォーマンスも高めている」ということになります。

例えば、IIJが提供するソフトウェアサービス・Safousは、下記イメージのように国内外からのリモートアクセスを最寄りのPOP（Point of Presence）へ繋ぐため、基本的に最適化されたネットワーク経路を使用します。パフォーマンスを安定・向上させつつ、リモートアクセスの側面からZTNA及びゼロトラストを構築できるのが強みです。

VPNが抱える課題

ZTNAとVPNを比較・整理したところで、つづいてはその比較から見えてくるVPNが抱える課題をいくつかピックアップして深掘りします。

インターネットの回線速度が落ちる

VPNはネットワークごとの制御のため、ユーザ数やアクセス地点が増えるごとにキャパが限界を迎えます。例えば、自社にてリモートワークでアクセスする従業員が増えすぎてしまうと、インターネットの回線速度が落ちるリスクがあります。特に安価なインターネットVPNは、全世界で共通のネットワークを使用しているため、通信品質が不安定になりがちなので注意です。

拡張性がない

VPNはアクセスごとの制御になるため、アプリレベルでの制御が可能なZTNAと比べると細かな拡張性が低いです。また、IP-VPNをはじめ専用線・閉域網を活用するVPNは、新しい拠点の追加や変更を実施する際に工数がかかってしまいます。リモートワーク環境をクイック＆柔軟に対応していきたい場合に対しても、VPNは拡張性・柔軟性が低いのは留意しておきましょう。

セキュリティインシデントのリスクがある

ここまで解説してきた通り、VPNはもともと「信頼する」セキュリティシステムのためインシデントにつながりやすいです。IP-VPNなどの比較的セキュリティ精度の高いタイプでも、一度内部のネットワークに入れば認証なしでどこでもアクセスしやすいのはほかのVPNと同様になります。インシデントを未然に防ぎたい場合は、ZTNAのセキュリティ体制を構築するのがおすすめですよ。

脱VPNが進む背景

ここまでVPNの抱える課題について整理してきましたが、海外を中心に「脱VPN」が進んでいる背景には様々な外的要因も絡んでいます。ここでIIJ編集部が考える「VPNを取り囲む状況の変化」について少し触れていきます。

1. リモートワークの影響でワークプレイスの境界が曖昧になった

現在、テレワークやリモートワークなど自宅や会社の外で業務を行う頻度が増え、社内と社外の「境界線」がより曖昧になりました。また、PC・スマートフォン・タブレットなど複数の端末からアクセスされることもあり、その中には企業の管理外である私用端末なども含まれます。管理外のアクセス含めITガバナンスを効かせる必要が発生してきており、その方法として脱VPN及びZTNA化が検討され始めているのです。

2. クラウドの浸透によるインターネットトラフィックの増加

働き方の変化に伴い、Microsoft 365やZoomなどに代表されるクラウドサービス(SaaS)を業務で利用するのが一般的になりました。また、日常的に使用する業務アプリケーションがクラウドになることで、インターネットトラフィックが大幅に増加してしまいVPNの設備を圧迫するようになっています。IIJ編集部でも、実際に「VPNの通信速度が遅い」あるいは「社内ネットワークにアクセスできないから改善したい」といった不満の声をお聞きしたことがあります。

3. レガシーVPNの脆弱性を狙った攻撃の頻発

VPNの利用シーンが増えるにつれて、旧型のVPN機器やVPNサービスの脆弱性を狙った攻撃も多発するようになりました。脆弱性が発見されパッチが公開されているにも関わらず、企業が更新を放置して未対応のままの機器も存在します。

こうした「レガシーVPN」は、サイバー犯罪者の恰好のターゲットです。VPNは一度認証を通ってしまえば、ネットワーク内の他のリソースへのアクセスも許してしまうリスクがあります。そのため、パスワードなどの認証情報の漏えいから機密情報の漏えい、ランサムウェア感染などの被害に繋がるケースも増加中です。VPNの脆弱性について詳しく知りたい方は下記記事をチェックしてみてください。

4. システム部門の業務負荷の増大

さまざまな環境変化に伴い、増大するトラフィックの制御、ネットワーク機器の増設やメンテナンスなど、システム部門の負荷も高まっています。ユーザーのアクセス環境が多様化することで、リモートアクセス環境に対して統一したセキュリティポリシーを設定するのは困難です。

結果として、拠点間でセキュリティポリシーや運用状況にバラツキが出るなどのほころびも生じています。セキュリティポリシーやガバナンスに関しては、下記コンテンツにて具体的な実践方法や事例も交えつつ解説していますので、お悩みの場合は併せてご確認ください。

VPNの脆弱性が狙われた事例

上記のような課題を抱えるVPNは、実際にサイバー攻撃などの標的にされています。ここで実際の攻撃例を紹介しつつ、それぞれがどのような対策を講じておくべきだったのか考えてみます。

1. 名古屋の港湾会社を狙った攻撃

2023年7月、名古屋の港湾会社を狙った攻撃は記憶に新しいと思います。同社のシステムがランサムウェア攻撃の被害に遭い、港湾の全ターミナルの操業が3日間にわたり停止し、物流に大きな影響を及ぼしました。

この攻撃は保守用VPN機器の脆弱性を突かれ、システムのデータが暗号化されています。同社は運用面の利便性を重視した結果、IDとパスワードさえ合致すれば誰でもアクセス可能な状態で、さらにVPNには数か月前に脆弱性が公表されていたものの脆弱性への対応が未対応だったことも判明しています。

本事例のように簡素な認証システムからインシデントに繋がった例は枚挙にいとまがないです。そこでセキュリティ意識の高まりとともに、MFA（多要素認証）及びSSO（シングルサインオン）を組み合わせてリスクを低減している企業が増加中。どちらも効率的且つ堅牢な認証システムの構築には欠かせなく、ゼロトラストの重要な構成要素としても知られています。MFA・SSOなどセキュリティシステム解説は下記記事でもご確認ください。余計なトラブルを防ぐためにも理解を深め、適切に対処していきましょう。

2. 大阪の医療機関を狙った攻撃

2022年10月、大阪の医療機関を狙ったサイバー攻撃はメディアでも大きく報道されました。侵入経路は医療機関の給食委託業者がリモート保守のために設置したVPN機器。VPNの脆弱性を突いた「サプライチェーン攻撃」の一例であり、医療機関は電子カルテを暗号化され、閲覧不能の状態に陥りました。システムが完全に復旧するまで3か月程度かかり、被害額は調査と復旧に数億円、診療制限で十数億円に上ったと言われています。

サプライチェーン攻撃は医療・製造といった分野で急増している脅威で、自社よりもシステム面で脆弱なサプライヤー経由で不正侵入するというもの。ZTNAのようなゼロトラスト体制を構築することでリスクを低減できます。特に社外関係者に対して個別のアクセス権限を与えるサービスやソリューションは、サプライチェーン攻撃への有効打になるでしょう。

3. 大手石油パイプラインのレガシーVPNを狙った攻撃

2020年に起こった石油パイプラインへのサイバー攻撃は、メディアでも大きく報道されました。この攻撃では旧型のVPNがパスワード認証のみであったことで、不正アクセスの起点となってしまいました。犯罪者は不正アクセスによってネットワークへ侵入し、攻撃先のシステムをランサムウェアに感染させたのです。パイプラインが一次操業停止に陥る事態に発展し、440万ドルという多額の身代金が支払われました。

本事例のように古いVPNを使用し続けていたり、組織内ネットワークの脆弱性に無自覚なケースは数多いです。このことからセキュリティ対策を講じるよりも前に、組織内のネットワークやシステムに脆弱な部分があるか、どのような対策が必要なのかを調査することも肝心といえます。

VPNからZTNAへ移行するメリット

あらゆる側面で問題のあるVPNに代わる仕組みとして、IT業界をはじめ様々な業界で注目が高まっているのがZTNAです。VPNからZTNAへ移行するメリットは具体的にどのようなものでしょうか？

1. リソースやポートに対する攻撃リスクを抑制できる

ZTNAでは基本的にユーザー（端末）は、ZTNAベンダーが提供するアクセスポイントと通信します。そのため、社内ネットワークなどのリソース（いわば開口部）を外部から隠せるため、VPNと比べ外部からの攻撃リスクを抑えられます。

2. マルウェアの拡散を抑えることができる

VPNではネットワークレベルでの接続がされるため、端末からのマルウェア・ランサムウェアが容易に拡散されてしまいます。一方で、ZTNAではアプリケーションレベルでのアクセスになり、端末からのマルウェア・ランサムウェアの拡散を防ぐことができます。仮に侵入されたとしても、ZTNAはVPNと比べると被害範囲を限定できるでしょう。

3. 認証・認可を強固かつきめ細かく制御できる

上述の事例の通り、旧型のVPN装置はパスワード認証だけのものも少なくありません。またVPNに限らず複数のサービスを利用するケースにおいて、その認証強度がまちまちであることもよくあります。

パスワードの使い回しや、容易に想像がつく低強度のパスワードなどは不正アクセスの原因になりがちです。ZTNAでは多要素認証を含む認証・認可のポリシーをアプリケーションレベルで設定でき、かつ一元管理できます。セキュリティの運用・保守をシンプルにしたい場合はZTNAがおすすめです。

4. ネットワークトラフィックの集中や遅延を防げる

VPNでは、基本的にすべての通信が社内ネットワークを経由します。そのためMicrosoft TeamsやZoomといったクラウド上にあるリソースも、社内ネットワーク経由でアクセスします。多くの従業員がVPNを利用することでトラフィックが集中し、通信の遅延などが生じやすいです。

ZTNAは一度認証を通れば社内ネットワークを経由することなく直接クラウド上のリソースにアクセスできるため、トラフィックの集中や遅延を防止できるというメリットがあります。

VPNを利用する上でのトラフィック抑制の仕組みとしてはインターネットブレイクアウトという手法がありますが、別途セキュリティ対策を検討しなければなりません。ZTNAのソリューションにはSWGやCASBといった便利な機能を備えたタイプもあるため、機能が豊富なものを選べば普段の業務効率をアップできます。

ZTNAを構築して脱VPN！

リモートワークの浸透によってワークプレイスの境界は曖昧になり、そこに乗じようとするサイバー犯罪者はその牙と爪を磨いています。こうした環境の変化とリスクの高まりに対し、VPNでは限界が来つつあるのは事実です。

企業はゼロトラストの原則に則り、境界型セキュリティから脱却する必要性があります。ZTNAはゼロトラストを体現し、脱VPNを推進するためのテクノロジーとして、ますます必要性が高まるでしょう。

IIJではPRA（Privileged Remote Access）の側面からZTNAを構築するサービス「Safous」を提供しています。業界別ユースケースを無料配布中、FAQについても別途公開中のためぜひ参考にしてください。

そのほか、セキュリティレーティングサービスの「Safous Security Assessment」なども展開中。大手企業・グローバル企業向けの様々なセキュリティサービス・ソリューションを提供していますので、気になる点あればぜひお気軽にお問合せ下さい。

サービスの詳細やお見積りなど担当者よりご返事します

フォームでのお問い合わせ

1

ご相談やご質問をお知らせください

2

担当者よりメールまたはお電話でご連絡いたします

今すぐ相談する

関連リンク

• ゼロトラストネットワークアクセス（ZTNA）とは。背景やゼロトラストを実現する機能を解説
• SASEとは？ ゼロトラストネットワークアクセス（ZTNA）とどう違い、どのような機能があるのか
• ゼロトラストネットワークとは？境界防御にはない強靭性・利便性のポイントを解説