リモート アクセスVPNとは リモート アクセス仮想プライベート ネットワーク(VPN)は、暗号化されたIPsecトンネルを介して、リモート ワーカーの認証と企業のデータ センターやクラウドにあるアプリケーションおよびデータへのアクセスを可能にするネットワーク セキュリティ技術です。アプリとデータが主にデータ センターに存在していた時代は、公共Wi-Fiを利用している場合でも、VPN接続は安全なリモート アクセスを提供する手段として機能していました。

VPNとリモート アクセスは同じか

端的に言えば、答えは「NO」です。リモート アクセスVPNは、ユーザーの場所にかかわらず、組織のネットワークとリモート ユーザーの間に仮想の「プライベート」トンネルを作成することで機能します。これにより、ユーザーは任意のIPアドレスから企業ネットワーク上のリソースにアクセスできるようになります。このリモート アクセスVPNはリモート ワークにおいて特に使用されるアクセス制御の手法の1つです。

一方、リモート アクセスとは、従業員がVPNクライアント経由に限らず、何らかの手段を通じてオフサイトのリソースにアクセスすることを指します。このようなアクセスは、リモート アクセスVPNソリューションをはじめ、2要素認証(2FA)または多要素認証(MFA)、ゼロトラスト セキュリティなどのリモート ワーカーに安全な接続を提供しながらハッカーの侵入を防ぐソリューションでも保護できます。

リモート アクセスVPNのメリット

高度な実用性を備えているように見えるVPNですが、その技術は次のように設計されています。

• ハッカーによる侵入の防止。VPNトンネルは暗号化されているため、悪意のある人物がプライベート ネットワークを侵害して企業リソースにアクセスする難しさは倍増します。
• 許可の制限。誰もが企業ネットワークにアクセスできる状態は、深刻な被害につながる可能性があるため、VPNはネットワークへのアクセスにあたってユーザーに認証を要求し、この問題を未然に解消します。
• 速度低下の防止。VPNの暗号化トンネルによって外部からの可視性が遮断されるため、より広い帯域幅と速い速度をそのまま維持できます。
• デバイスの保護。リモート デスクトップだけでなく、AndroidやiOSデバイスもVPNで保護できます。

リモート アクセスVPNが適した環境

リモート アクセスVPNは、拠点やリモート ワーカーをより小規模で保護するのに適した手段です。少数の従業員がリモートで作業するためにオフィスを離れる必要がある場合、企業はVPNサービスを利用してVPNクライアント ソフトウェアを展開し、リモート ユーザーがネットワーク境界の外にあるエンドポイントから安全な接続を確立できるようにします。

全従業員がオフィスに出社していた時代には、企業は本社ネットワークと支店ネットワークのような2つのネットワークを接続する手段としてサイト間VPNを採用することもありました。このように、VPNは特にリモート オフィスや支店のユーザーをインターネット トラフィックから切り離すためのさまざまなユース ケースに対応しますが、リモート ワークの普及につれて、VPNでは必要なレベルの保護を提供できないことを多くの企業が認識し始めています。

リモート アクセスにVPNは必要か

これまでは、ユーザーとデータ センター間のトラフィックを暗号化するだけで、攻撃者が機密情報にアクセスしたり、取得したりするのを十分に防止できたため、リモート アクセスVPNはリモート セキュリティの最も一般的なソリューションでした。そして、ユーザーは本社で働いているような感覚で、組織のネットワークとアプリケーションに安全にアクセスして使用できていました。

しかし、ユーザーの作業方法が変化し、アプリケーションがクラウドに移行するにつれて境界はインターネットにまで広がりました。これにより、リモート アクセスVPNなどのネットワーク中心のソリューションは、以下のような新たな課題を抱える時代遅れの存在となっていきました。

• ユーザーをネットワーク上に置くことでリスクが増大する
• 低品質なエンド ユーザー エクスペリエンスが発生する
• アプライアンス、ACL、ファイアウォール ポリシーに関する複雑な設定が必要になる
• アプリケーション セグメンテーション機能が不足している
• アプリケーション関連のアクティビティーに対する重要な可視性が欠如している

VPNは攻撃者が組織のネットワークに侵入してネットワーク全体を水平移動するために利用されており、現在の基準からすると非常に脆弱なソリューションとなっています。次のセクションでは、VPNから脱却してより堅牢なクラウド提供型セキュリティ ソリューションを採用する必要性について解説します。

SASEがリモート アクセスVPNよりも優れている理由

SASEは、ユーザーやデバイスなどのエンティティーを、場所を問わずアプリケーションやサービスに安全に接続できる方法としてGartnerが提唱したフレームワークです。Gartnerは2019年のレポート「The Future of Network Security is in the Cloud」の中で、SASEフレームワークを「デジタル企業の動的かつ安全なアクセスに対するニーズをサポートする、包括的なネットワーク セキュリティ性能(SWG、CASB、FWaaS、ZTNAなど)を備えた包括的なWAN機能」を提供する、クラウドベースのセキュリティ ソリューションと定義しています。

リモート アクセスVPNの代わりにSASEアーキテクチャーを採用する主なメリットとして、次の3つが挙げられます。

• リスクの低減
• ユーザー エクスペリエンスの向上
• コスト、複雑さ、管理負荷の削減

ゼロトラストの重要な要素であるSASEについては、次のセクションで説明します。

ゼロトラスト ネットワーク アクセス(ZTNA)がリモート アクセスVPNよりも好まれる理由

ゼロトラスト ネットワーク アクセス(ZTNA)は、プライベート アプリケーション アクセスにおいてユーザーとアプリケーション中心のアプローチを採用し、個々のデバイスとアプリの間に安全なセグメントを作成することで、承認されたユーザーのみが特定のプライベート アプリケーションにアクセスできるようにします。

これにより、ネットワーク アクセスや水平移動が排除されます。また、ZTNAソリューションは物理アプライアンスや仮想アプライアンスに依存するのではなく、ソフトウェアを使用してアプリとユーザーをクラウドに接続し、仲介したマイクロ トンネルをユーザーに最も近い場所までつなぎます。

Zscaler Private Access (ZPA)とは

Zscaler Private Access (ZPA)は、パブリック クラウドやデータ センターで動作するプライベート アプリケーションへのシームレスなゼロトラスト アクセスを提供するZscalerのクラウド サービスです。ZPAはアプリケーションをインターネットに公開しないため、権限のないユーザーにアプリケーションが表示されることはありません。

このサービスでは、ネットワークをユーザーへと拡張する代わりに、内側から外側への接続を用いてアプリケーションがユーザーに接続できるようにします。従って、ユーザーがネットワーク上に置かれることはありません。このゼロトラスト ネットワーク アクセスのアプローチは、管理対象のデバイスと非管理対象のデバイスだけでなく、Webアプリを含むすべてのプライベート アプリケーションに適用されます。

ZPAがリモート アクセスVPNよりも優れている理由

VPNとは対照的に、ZPAは以下を実現する最新式の堅牢なセキュリティ ソリューションです。

• 快適なユーザー エクスペリエンス
• ネットワークではなく、アプリケーションごとのセグメンテーション
• インターネットを企業ネットワークとして使用する機能
• 自動化によるセキュリティの簡素化
• 内側から外側への接続によるアプリの不可視化
• 完全なクラウド提供型のゼロトラスト ネットワーク アクセス