端的に言えば、答えは「NO」です。リモート アクセスVPNは、ユーザーの場所にかかわらず、組織のネットワークとリモート ユーザーの間に仮想の「プライベート」トンネルを作成することで機能します。これにより、ユーザーは任意のIPアドレスから企業ネットワーク上のリソースにアクセスできるようになります。このリモート アクセスVPNはリモート ワークにおいて特に使用されるアクセス制御の手法の1つです。
一方、リモート アクセスとは、従業員がVPNクライアント経由に限らず、何らかの手段を通じてオフサイトのリソースにアクセスすることを指します。このようなアクセスは、リモート アクセスVPNソリューションをはじめ、2要素認証(2FA)または多要素認証(MFA)、ゼロトラスト セキュリティなどのリモート ワーカーに安全な接続を提供しながらハッカーの侵入を防ぐソリューションでも保護できます。
高度な実用性を備えているように見えるVPNですが、その技術は次のように設計されています。
リモート アクセスVPNは、拠点やリモート ワーカーをより小規模で保護するのに適した手段です。少数の従業員がリモートで作業するためにオフィスを離れる必要がある場合、企業はVPNサービスを利用してVPNクライアント ソフトウェアを展開し、リモート ユーザーがネットワーク境界の外にあるエンドポイントから安全な接続を確立できるようにします。
全従業員がオフィスに出社していた時代には、企業は本社ネットワークと支店ネットワークのような2つのネットワークを接続する手段としてサイト間VPNを採用することもありました。このように、VPNは特にリモート オフィスや支店のユーザーをインターネット トラフィックから切り離すためのさまざまなユース ケースに対応しますが、リモート ワークの普及につれて、VPNでは必要なレベルの保護を提供できないことを多くの企業が認識し始めています。
これまでは、ユーザーとデータ センター間のトラフィックを暗号化するだけで、攻撃者が機密情報にアクセスしたり、取得したりするのを十分に防止できたため、リモート アクセスVPNはリモート セキュリティの最も一般的なソリューションでした。そして、ユーザーは本社で働いているような感覚で、組織のネットワークとアプリケーションに安全にアクセスして使用できていました。
しかし、ユーザーの作業方法が変化し、アプリケーションがクラウドに移行するにつれて境界はインターネットにまで広がりました。これにより、リモート アクセスVPNなどのネットワーク中心のソリューションは、以下のような新たな課題を抱える時代遅れの存在となっていきました。
VPNは攻撃者が組織のネットワークに侵入してネットワーク全体を水平移動するために利用されており、現在の基準からすると非常に脆弱なソリューションとなっています。次のセクションでは、VPNから脱却してより堅牢なクラウド提供型セキュリティ ソリューションを採用する必要性について解説します。
SASEは、ユーザーやデバイスなどのエンティティーを、場所を問わずアプリケーションやサービスに安全に接続できる方法としてGartnerが提唱したフレームワークです。Gartnerは2019年のレポート「The Future of Network Security is in the Cloud」の中で、SASEフレームワークを「デジタル企業の動的かつ安全なアクセスに対するニーズをサポートする、包括的なネットワーク セキュリティ性能(SWG、CASB、FWaaS、ZTNAなど)を備えた包括的なWAN機能」を提供する、クラウドベースのセキュリティ ソリューションと定義しています。
リモート アクセスVPNの代わりにSASEアーキテクチャーを採用する主なメリットとして、次の3つが挙げられます。
ゼロトラストの重要な要素であるSASEについては、次のセクションで説明します。
ゼロトラスト ネットワーク アクセス(ZTNA)は、プライベート アプリケーション アクセスにおいてユーザーとアプリケーション中心のアプローチを採用し、個々のデバイスとアプリの間に安全なセグメントを作成することで、承認されたユーザーのみが特定のプライベート アプリケーションにアクセスできるようにします。
これにより、ネットワーク アクセスや水平移動が排除されます。また、ZTNAソリューションは物理アプライアンスや仮想アプライアンスに依存するのではなく、ソフトウェアを使用してアプリとユーザーをクラウドに接続し、仲介したマイクロ トンネルをユーザーに最も近い場所までつなぎます。
Zscaler Private Access (ZPA)は、パブリック クラウドやデータ センターで動作するプライベート アプリケーションへのシームレスなゼロトラスト アクセスを提供するZscalerのクラウド サービスです。ZPAはアプリケーションをインターネットに公開しないため、権限のないユーザーにアプリケーションが表示されることはありません。
このサービスでは、ネットワークをユーザーへと拡張する代わりに、内側から外側への接続を用いてアプリケーションがユーザーに接続できるようにします。従って、ユーザーがネットワーク上に置かれることはありません。このゼロトラスト ネットワーク アクセスのアプローチは、管理対象のデバイスと非管理対象のデバイスだけでなく、Webアプリを含むすべてのプライベート アプリケーションに適用されます。
VPNとは対照的に、ZPAは以下を実現する最新式の堅牢なセキュリティ ソリューションです。