リモートアクセスVPNとは
リモートアクセス用の仮想プライベートネットワーク (VPN) は、リモートで働くユーザが企業のデータセンタ、本社オフィス、クラウドにあるアプリケーションやデータにアクセスして使用できるようにするもので、多くの場合、すべてのユーザトラフィックを暗号化します。
リモートアクセスVPNは、企業のデータやアプリケーションがデータセンタにのみ存在していた時代には効果的でしたが、時が経つにつれてサイバー攻撃に対する脆弱性が増してきており、攻撃者による企業ネットワークやクラウドリソースへの侵入や水平移動を防止できなくなっています。
リモートアクセスVPNの仕組み
リモートアクセスVPNは、ユーザの場所を問わず、組織のネットワークとリモートユーザの間に仮想のプライベートトンネルを作成します。一昔前は、ユーザとデータセンタ間のトラフィックを暗号化するだけで、攻撃者による機密情報の閲覧と取得を防止するのに十分であったため、リモートアクセスVPNはリモートセキュリティにおける定番のソリューションでした。これにより、ユーザは本社で働いているかのような感覚で、組織のネットワークとアプリケーションに安全にアクセスして使用できていました。
しかし現在、攻撃者は組織のネットワークに侵入し、ネットワーク全体での水平移動を行う手段としてVPNを使用することが多いため、現代の標準からすると非常に脆弱性が高いソリューションであると言えます。より詳しく見ていくと、VPNの使用を取りやめ、より堅牢なクラウド配信型のセキュリティソリューションに切り替えていく必要性が理解できるでしょう。
リモートアクセスVPNが時代遅れになっている理由
ネットワーク中心のセキュリティが主流の時代は終わりを迎えました。ほぼ30年にわたって、企業は「城と堀」モデルの防御に頼ってユーザをネットワークに接続し、その延長線上でネットワーク上で実行されるアプリケーションにも接続してきました。しかし、ユーザの働き方が変わり、アプリケーションがクラウドに移行するにつれて、この境界はインターネットにまで拡張されました。その結果、リモートアクセスVPNなどのネットワーク中心のソリューションは新しく発生した以下の問題に直面することとなり、時代遅れなものとなってきています。
• VPNはユーザをネット上に配置するため、リスクが高まること
• VPNのエンドユーザエクスペリエンスが芳しくないこと
• インバウンド接続がDDoS攻撃の機会をもたらすこと
• VPNにはアプライアンス、ACL、ファイアウォールポリシーが必要であること
• アプリケーションのセグメント化を実行できないこと
• アプリ関連のアクティビティに関する可視性が欠如していること
SASEアプローチがリモートアクセスVPNよりも優れている理由
SASEは、場所にかかわらず、ユーザやデバイスなどのエンティティをアプリケーションやサービスに安全に接続できる方法としてGartnerが認識したフレームワークです。Gartnerは、2019年のレポート「The Future of Network Security is in the Cloud」の中で、SASEフレームワークを「デジタル企業の動的かつ安全なアクセスのニーズをサポートする、包括的なネットワークセキュリティ性能 (SWG、CASB、FWaaS、ZTNAなど) を備えた包括的なWAN機能」を提供する、クラウドベースのセキュリティソリューションとして定義しています。
リモートアクセスVPNの代わりにSASEアーキテクチャを採用する主な利点としては、以下の3つが挙げられます。
• リスクの軽減
• ユーザエクスペリエンスの改善
• コスト、複雑度、管理負荷の低減
ゼロトラストネットワークアクセス (ZTNA) がリモートアクセスVPNよりも優れている理由
ゼロトラストネットワークアクセス (ZTNA) は、プライベートアプリケーションアクセスにおいてユーザおよびアプリケーション中心のアプローチを採用し、個々のデバイスとアプリケーションの間に安全なセグメントを作成することで、承認されたユーザのみが特定のプライベートアプリケーションにアクセスできるようにします。これにより、ネットワークアクセスや水平移動が排除されます。また、ZTNAソリューションは物理アプライアンスや仮想アプライアンスに依存するのではなく、ソフトウェアを使用してアプリとユーザをクラウドに接続し、仲介されたマイクロトンネルはユーザに最も近い場所につながれます。
Zscaler Private Access (ZPA) とは
Zscaler Private Access (ZPA) は、パブリッククラウドやデータセンタで動作するプライベートアプリケーションへのシームレスなゼロトラストアクセスを提供する、Zscalerのクラウドサービスです。ZPAは、アプリケーションをインターネットに公開しないため、権限のないユーザにアプリケーションが表示されることはありません。本サービスは、ネットワークをユーザへと拡張する代わりに、インサイドアウト型の接続経由でアプリケーションがユーザに接続できるようにします。従って、ユーザがネットワーク上に置かれることはありません。このゼロトラストネットワークアクセスのアプローチは、管理されているデバイスとそうでないデバイスの両方に加え、Webアプリケーションだけでなくすべてのプライベートアプリケーションに適用されます。
ZPAがリモートアクセスVPNよりも優れている理由
VPNとは対照的に、ZPAはより現代的で堅牢なセキュリティソリューションであり、以下のような利点があります。
- 快適なユーザエクスペリエンス
- ネットワークではなく、アプリケーションごとにセグメント化
- 新しい安全な企業ネットワークとしてインターネットを活用
- 自動化によるセキュリティの簡素化
- ネットワークへのユーザの配置や公開が不要
- 内側から外側への接続によるアプリの不可視化
- 完全なクラウド型ゼロトラストネットワークアクセス
- オンプレミスおよびリモートユーザの両方に対応