脱VPN：企業が脱VPNを進める背景とVPNに代わるものとは？

ネットワークの中に、別のプライベートなネットワークを仮想的に作り出すVPN(Virtual Private Network) は通信を暗号化し、安全性を確保しています。コロナ禍でテレワークが普及し、VPNの利用者が増えたことでさまざまな問題が浮き彫りになりました。

また、近年、多くの企業がオンプレミス型からクラウド型のサービスへ移行していますが、クラウド型サービスの多くはセキュリティ対策が施されており、VPNを利用する価値が薄くなっていることも事実です。

ここでは、企業が脱VPNを進める背景を詳しく掘り下げるとともに、ポストVPNとして注目を浴びるゼロトラストモデルやIDaas、今後注目すべきIAPやSASE、SDPなどのソリューションについても紹介します。

企業が脱VPNを進める背景とは

VPNからの脱却を進める企業が増えていますが、その要因はどのようなところにあるのでしょうか。ここでは大きく4つの理由を挙げて解説します。

テレワークの増加

コロナ禍をきっかけに、テレワークを行う社員が大きく増えました。それによって起こったことのひとつが、ユーザーの増加に伴う通信速度の低下です。

テレワークの際は多くのケースでVPNが利用されてきました。しかし、トラフィックが増加したことで、通信速度の低下や、データにアクセスできないなどの問題が起こり、業務に支障がでるケースが散見されるようになりました。

そうした状況を解消するための方法としては、VPNサーバーの増築やトラフィックの拡大など、VPN環境の再構築が考えられますが、コロナ禍と時を同じくして起こった半導体不足の影響などにより、すぐに問題を解消できないケースが相次ぎました。

こうした問題を回避できる「仮想アプライアンス型」のVPNもありますが、こちらはユーザーが増えるほどライセンス費用が高くなる構造になっていることがネックとなり、ユーザー企業の経済的負担が大きくなってしまいます。

このような状況から、オンプレミスからクラウドへの移行や、このページの後半で紹介するゼロトラストモデルへの移行を検討する企業が多くなり、脱VPNの動きが加速しています。

クラウドサービスの普及

前述のとおり、従来のVPNは、主に外出先やテレワークを行っている従業員が、外部から企業内のネットワークに接続する際に利用されていました。しかし、近年は、オンプレミスからクラウドサービスへ移行する企業が増えており、こうした状況も脱VPNを検討する企業が増えたひとつの理由と考えられています。

なぜなら、クラウドサービスの提供元は常に最新のセキュリティ環境を導入し、セキュリティリスクが最小限になるよう取り組んでおり、ユーザーは今までのようにVPN環境を用意しなくても、安全にサービスを利用することができるようになっているからです。

コストの増大

VPN環境を維持するためには、さまざまなコストがかかります。VPNに必要なサーバーやルーターなどのハードウェアコスト、VPNクライアントソフトウェアなどに代表されるソフトウェアコスト、そしてこれらを維持するためのメンテナンスコストなどです。

VPNを利用するユーザーが増えるほどコストは増大するため、企業はクラウドサービスを活用したり、ゼロトラストセキュリティなどの新たなセキュリティモデルに移行したりして、コストを抑える動きを見せ始めています。

セキュリティの脆弱性

VPNは、通信を暗号化することで、セキュリティの高い通信環境を実現しています。しかし、VPNそのものにはセキュリティ上のいくつかの脆弱性が存在するのも確かです。

もっとも大きいのは、ラテラルムーブメントに弱いことです。ラテラルムーブメントとは、攻撃者がコンピューターネットワーク内を移動して攻撃を行うことをいいます。VPNは一度社内ネットワークに入ってしまうと、その後ノーチェックとなるため、攻撃者がラテラルムーブメントを行いやすいのです。

また、VPNのユーザーIDやPWの管理は従業員個人に任されていることも多く、これらを誤って流出させてしまうケースも少なくありません。こうした特性も、外部からの侵入を容易なものとさせています。

令和4年に警視庁が発表した調査結果によれば、ランサムウェアの被害にあった企業のうち、感染経路が判明している企業の実に68％が「VPN機器からの侵入」と回答しています。

VPN機器から侵入したランサムウェアは、社内ネットワーク内を移動して攻撃を行い、一般的にデータの窃盗や暗号化を行い企業に不利益を生じさせます。

これらは大手ベンダーが提供するVPNでも例外ではありません。VPNは逐次セキュリティパッチが公開されているものの、きちんと管理できる企業は限られており、脆弱性を突いて攻撃されているのが実情です。

出典：令和４年におけるサイバー空間をめぐる脅威の情勢等について｜警視庁

ポストVPNとして注目される「ゼロトラストモデル」

VPNの代替として注目されているのが「ゼロトラストモデル（ゼロトラストセキュリティ）」です。ゼロトラストモデルとは、「0（ゼロ）」「トラスト（信頼）」という名前のとおり、「すべてのトラフィックを信頼しない」ことが特徴となっています。

ゼロトラストモデルでは、VPNのように、ユーザーがネットワーク全体にアクセスすることを許可する設定はありません。ユーザーがアクセスできる範囲はセキュリティポリシーに基づいて細かく決定され、基本的にデータにアクセスする際は、都度認証が必要になります。

こうした特性のため、ゼロトラストモデルのみを導入するとユーザーにとっての使い勝手が悪くなる懸念がありますが、ログイン・認証を集約して管理できる「IDaaS（アイダース）」と組み合わせて導入することで、一度の認証で各データにアクセスできる環境が構築できます。

ゼロトラストモデルは、各データへのアクセスごとに認証を求められるため、「ラテラルムーブメント」が起こりません。クラウドベースのサービスとの連携も行いやすく、新たなセキュリティ対策として注目されています。

VPNに代わる3つのソリューション

VPNに代わるソリューションとして代表的なものを3つ紹介します。これらはどれもクラウドベースのサービスで、ゼロトラストモデルに基づいたものです。

IAP（Identity-Aware Proxy）

IAP（Identity-Aware Proxy）は、IDを認識するプロキシのことで、日本語で「アイデンティティ認識型プロキシ」とも呼ばれます。ゼロトラストモデルの一種で、ユーザーがアクセスするたびに認証基盤と連携し認可を行います。

IAPを導入する際は、オンプレミス環境にコネクターと呼ばれる中継用サーバーを設置します。IAP自身には認証機能はなく、別途IDaaSなどの認証基盤を用意して連携させて運用します。

IAPはクラウドサービスのため、脆弱性についてはユーザー側が気にする必要がないことも特徴です。また、ユーザーが増えた際の影響度が低く、ユーザー数増加に伴う使用感の変化がないこともメリットのひとつといえます。

一方で、社内のシステムを、IAPが対応できるプロトコル（80/443）で動作するように設定する必要があり、変更の手間がかかります。このような特性から、あらかじめアクセス先をすべて網羅して構築する必要があります。

SASE（Secure Access Service Edge）

SASE（Secure Access Service Edge）は、2019年に提唱されたセキュリティモデルで、これもゼロトラストモデルを実施する方法のひとつです。こちらはIPベースで接続するため、IAPと異なり、社内のシステムのプロトコルを揃える必要がありません。

SASEはネットワークとセキュリティをクラウド上で提供する統合型のプラットフォームとなっており、安全に通信を行うためのリモートアクセスや、WAN回線をソフトウェアによって制御するSD-WAN、ファイアウォールやウイルス対策を統合したUTM、通信を制御するためのプロキシなどが含まれます。

SASEもクラウドベースとなっているため、脆弱性についてユーザーが気にする必要がなく、運用の手間を小さくできます。一方で、WAN間通信を行う場合、遅延が大きくなるなどのデメリットもあります。

SDP（Software Defined Perimeter）

SDP（Software Defined Perimeter）は、ネットワークの内側と外側の境界線をソフトウェアで定義し制御するセキュリティモデルです。IAPと基本的な設計は同じですが、プロトコル（80/443）以外の通信にも対応しているためより扱いやすく、また、遅延の発生も非常に少ない構成となっています。

あらかじめ許可した端末のみ接続できるため、サイバー攻撃を受ける可能性が低く、API連携が豊富で細かなポリシー制御も可能です。

一方で、SDP自体にはセキュリティ機能はなく、別途セキュリティ対策が必要となります。そのため、例えばVPNとの併用も可能です。その場合、仮にVPN経由で不正侵入に遭っても、社内ネットワークを保護できる可能性が高くなります。