リソース > セキュリティ用語集 > セキュアリモートアクセスとは

セキュアリモートアクセスとは

セキュアリモートアクセスの定義

セキュアリモートアクセスとは、会社のオフィス以外の場所からネットワーク、デバイス、アプリケーションに高度なセキュリティでアクセスするためのセキュリティ対策、ポリシー、技術を総称したものです。

 

セキュアリモートアクセスの仕組み

セキュアリモートアクセスにより、オフィス以外で作業する従業員が生産性を高めるために必要なリソースを利用できます。企業ネットワークではなく、自宅や公共のWi-Fiインターネット接続を介した安全性の低いリモートデバイスからデータセンタ、ネットワーク、アプリケーション、クラウドリソースに接続する手段を提供します。

セキュアリモートアクセスは、現代のハイブリッドワーカーに、エンドポイントとインターネットの間に位置するバッファを提供し、不正アクセスのリスクを最小限に抑えながらリモート接続を確立します。

セキュアリモートアクセスの技術やポリシーは企業ごとに異なります。その理由は、各企業のIT部門には、場所を問わずに安全なアクセスを提供するための独自のインストール、要件、予算があるためです。

 

セキュアリモートアクセスが重要な理由

現在、採用にあたって多くの企業が重視するのは、その人物が勤務する場所ではなく、資質やスキルです。リモートワークやハイブリッドワークが定着し、サイバー脅威の進化と脆弱性の問題が深刻化する現在の状況下で、セキュアリモートアクセスは、さまざまな国や業界のIT部門/セキュリティ部門の最優先事項になりつつあります。

これまで、組織の従業員はネットワーク上におり、すべてのアプリケーションは同じネットワークに接続されたデータセンタに配置されていました。しかし、COVID-19が本格化するにつれて、企業は生産性と収益性を維持するために、リモートワークへの急速な移行を余儀なくされました。その結果、リモートアクセスソリューションを採用して、ネットワークまたはその他の方法でリモートユーザに拡張することによって、Microsoft 365などの内部アプリケーションにアクセスする機能をユーザに提供するようになりました。

現在のセキュリティ基準は5年前のものと大きく異なり、セキュアリモートアクセスの技術を取り巻く枠組みは急速に変化しています。

 

72%の組織がゼロトラストの導入を検討しているか、すでに導入しています。

Cybersecurity Insiders: 2021年版 VPNリスクレポート

セキュアリモートアクセスに使用される技術

市場にはさまざまなリモートアクセスソリューションが存在します。現在、最もよく使用されているソリューションをいくつか紹介します。
 

仮想プライベートネットワーク (VPN)

これは、すべてのセキュアリモートアクセスソリューションの始まりです。VPNは、ネットワークとリモートユーザの間にあるトンネルを介して、企業ネットワークへのアクセスを提供します。一旦認証されると、ユーザには無制限のネットワークアクセスが与えられ、ネットワーク内を水平移動できるようになります。
 

2要素認証/多要素認証 (2FA/MFA)

この方法では、ユーザは少なくとも2つの手段での認証によって、企業ネットワークやリソースにアクセスします。パスワード、メールアドレス、リモートデスクトップ、モバイルデバイス、指紋などの生体認証を任意で組み合わせることができます。ユーザが両方またはすべての方法によって認証されない場合、リクエストは拒否されます。
 

シングルサインオン (SSO)

SSOを使用すると、ユーザは1つの形式の認証 (つまり「シングル」) を使用して、すべてのリソースにアクセスできます。ユーザ名やパスワードを管理する必要がないため、個人だけでなく、あらゆる規模の企業で利用されています。
 

特権アクセス管理 (PAM)

PAMとは、「人、プロセス、技術」を組み合わせて、アクセスを管理することです。IT部門は、サイバー攻撃やインサイダー脅威を阻止しながらアカウントをリアルタイムで監視し、運用効率を最適化してコンプライアンスを確保することで、アカウントの可視性を高めます。PAMを使用すると、ユーザは承認されたリソースのみにアクセスできるようになり、アクセス管理がより厳密になります。

 

セキュアリモートアクセスのメリット

セキュアリモートアクセスソリューションは、以下の点で役立ちます。

  • 機密データの安全性の確保: 外部からのアクセスを制限し、安全で制御された手段にのみアクセスを許可することで、組織のデータを保護します。これにより、組織のリスクを大幅に削減できます。これは、数多く存在する昨今の高度な脅威を考慮するうえで非常に重要です。
  • 攻撃対象領域の削減: サイバー犯罪者がリモートエンドポイントに侵入するために使用できる攻撃ベクトルを減らすことで、高度な脅威に対してより効果的に防御できます。これにより、組織のセキュリティ体制を改善できます。
  • コンプライアンスの達成と維持: データ保護とプライバシーに関する規制が厳格化している今日、データの漏洩や損失を防止することで、組織がコンプライアンス違反を回避できるようにします。

 

WannaCryに攻撃された時、私は自宅で作業中でした。コンピュータは暗号化され、ネットワークは感染し、すべてがダウンしました。私は当時、SDPで社内アプリケーションに接続していたのですが、もしVPNで接続している時にオフィスの誰かがマルウェアに感染したら、自分も感染するのではないか、という不安が頭をよぎりました。しかし、SDPの場合は、ネットワークに接続されることがないので、問題なく社内アプリケーションにアクセスできました。オフィスよりも、自宅のネットワークのほうが安全だとわかったその時、プライベートアプリケーションへのアクセスの方法に大きな問題があるということに気付きました。

Tony Fergusson氏、ITインフラストラクチャアーキテクト、MAN Energy Solutions

変化する時代の流れ

これまで何十年もの間、ITのプロはセキュアリモートアクセスを提供するためにVPNに依存してきました。しかし、より多くのユーザがネットワーク外で作業し、ノートパソコンやモバイルデバイスから会社のリソースにアクセスするようになっても、そしてほとんどのアプリケーションやインフラがクラウドに移行しても、この慣習が変わることはありませんでした。 

そのうちに、IT部門とセキュリティ部門は「ほとんどのユーザがネットワークから離れ、クラウドに多くのアプリケーションが存在するこの状況で、リモートユーザを内部ネットワークに接続することは果たして合理的なのか?」という疑問を抱え始めました。

ネットワークへのセキュリティテザリングは、リモートアクセスにおける古いモデルが抱える大きな問題です。レイテンシの長さに加えて、従来のVPN技術に依存している組織は、以下の2つの重要な分野でリスクを増加させることになりかねません。

    1.  過度の信頼を与えがちな固有の性質

    2.  外部ネットワークアクセスのリスクの増加

ゼロトラストアプローチとは異なり、VPNに大きく依存する旧式の「城と堀」のアーキテクチャは、あまりにも簡単に信頼する傾向があります。このアーキテクチャには、企業ネットワーク内の認証を決定するためにIPアドレス、エンドポイントベースのアクセス制御、その他の要素に依存する「フラット」なネットワークを作り出すという、欠陥が存在します。ユーザがフラットなネットワークのいずれかに入ると、企業ネットワーク全体を移動できるようになります。

その結果、悪意のあるアクターは、VPNの攻撃対象領域を悪用してネットワークに侵入し、ランサムウェアやフィッシング攻撃、サービス拒否 (DoS) をはじめとする、重要なビジネスデータを盗み出すさまざまな手段を実行できるようになります。 

これに対して、ゼロトラストアプローチでは、すでに境界内にいるトラフィックも含め、すべてのトラフィックを敵対的なものとみなします。一連のコンテキストベースの属性によって識別されない限り、それらは信頼されず、通信からブロックされます。

以下に説明するように、セキュアリモートアクセスは、現在のクラウドファースト環境における要件を満たすように進化してきました。 

 

ゼロトラストネットワークアクセスで再定義するセキュアリモートアクセス

現在のニーズに応えて、IT部門は、ソフトウェア定義の境界 (SDP) とも呼ばれるゼロトラストネットワークアクセス (ZTNA) フレームワークを活用して、ネットワーク外のユーザにセキュアリモートアクセスを提供しています。 ZTNAは、パブリッククラウド、プライベートクラウド、またはデータセンタでホストされているプライベートエンタープライズアプリケーションに、VPNを使わずに安全にアクセスできるようにします。

ZTNAは適応型信頼モデルに基づいており、信頼は決して暗黙の了解で与えられず、詳細なセキュリティポリシーによって定義された「知る必要のある最小限の特権 」に基づいてアクセスが許可されます。これらのセキュリティソリューションは、物理的なアプライアンスを必要とせず、すべてのREST APIアプリケーションをサポートするために任意の環境に展開できます。

ZTNAソリューションは、次の4つの原則を遵守する必要があります。

  1. アプリケーションアクセスの提供自体をネットワークアクセスから分離する。この分離によって、ネットワーク内で攻撃を受けた感染デバイスなどがもたらすリスクが軽減され、承認されたユーザだけにアプリケーションへのアクセスが許可される。 
  2. アプリからユーザへのインサイドアウト接続により、ネットワークとアプリケーションの両方が承認されていないユーザから見えないようにする。IPがインターネットに公開されないため、「ダークネット」が形成されネットワークが外部から検出不可になる。 
  3. アプリケーションのセグメント化により、ユーザの承認後にアプリケーションへのアクセスが1対1で許可されるため、特定のアプリケーションのみへのアクセスが許可される (ネットワーク全体へのフルアクセスは付与されない)。 
  4. ネットワーク中心のセキュリティではなく、「ユーザ - アプリ間」のアプローチを採用している。ネットワーク中心のアプローチではなく、MPLSの代わりにエンドツーエンドの暗号化されたTLSマイクロトンネルを活用して、インターネットを新たな企業ネットワークとして使用する。

 

ZTNAがVPNよりもセキュアリモートアクセスを実現できる理由

セキュアリモートアクセスに関しては、デジタルトランスフォーメーションが状況を大きく変えました。前述したように、VPNでは現在の高度な脅威やネットワーク外のプライベートアプリケーションに接続するユーザの量に対応しきれません。この事実は、ユーザエクスペリエンス、接続性、セキュリティ、管理全般に関連する深刻な問題につながる可能性があります。 

一方、ZTNAは、リモートワーカーにより快適なエクスペリエンスを提供します。面倒なVPNにログインする必要はありません。ネットワーク接続の変更に関係なく、継続的なアクセスを可能にするほか、アクセス遅延を低減し、場所に依存することなく、より高速な体験を実現します。 

また、ZTNAは、ネットワークセキュリティではなく、ユーザとアプリケーション間の接続の保護に重点を置いて、セキュリティ態勢を改善します。アクセス許可は1対1ベースで行われ、承認されたユーザだけに特定のアプリケーションへのアクセスが許可されます。水平移動はできず、攻撃対象領域が減少します。ネットワークやアプリケーションは権限のないユーザからは見えず、IPが外部に公開されることもないため、インターネットを利用した攻撃による脅威を軽減できます。

VPNとは異なり、ZTNAツールは管理に手間がかかりません。その理由は、ZTNAを使用する際にアプライアンスのインストール、構成、管理を行う必要がないからです。IPアドレスを前提としないZTNAは、ACL、ファイアウォールポリシー、アドレス変換を管理する必要がありません。アプリケーションとユーザのレベルで詳細なポリシーを適用できるため、アプリケーションに基づいてセキュリティを適用し、最小限の権限のみをユーザに付与できます。

Why a ZTNA approach to secure remote access is more effective than VPN

現代のニーズに応えるセキュアリモートアクセスサービスの選択

ZTNAソリューションはすべて適応型信頼モデルに基づいていますが、その提供方法は2種類あり、「スタンドアロンのZTNA」と「サービスとしてのZTNA」が存在します。

スタンドアロンのZTNAの場合、製品のすべての要素を導入し、管理する必要があります。さらに、IaaSクラウドプロバイダが自社の顧客に対してZTNA機能を提供している場合もあります。ZTNAは、データセンタあるいはクラウドのどちらの環境でもエッジに位置し、ユーザとアプリケーションの間の安全な接続を仲介します。 

スタンドアロンのZTNAには、以下のようなメリットがあります。 

  • ZTNAインフラストラクチャを直接制御、管理できる。これは、コンプライアンス上、必要になる場合があります。 
  • オンプレミスでホストされる IoTサービスは、最適化されたスピードで稼働できる。 
  • オンプレミスでホストされているアプリケーションにアクセスするために、ローカルユーザがインターネットに接続する必要がない場合、パフォーマンスの速度が向上する。

スタンドアロンのZTNAは、環境をより細かく制御できますが、クラウド型サービスのメリットを享受できない可能性もあります。

 

ZscalerとZTNA

もう1つのオプションは、Zscaler Private Access™ (ZPA) などのサービスとしてのZTNA です。これは、クラウドホスティング型のサービスで、ベンダのクラウド環境を利用してポリシーを適用します。組織は、ユーザライセンスを購入し、フロントエンドアプリケーション用の軽量コネクタをすべての環境に展開するだけで、必要な接続性、容量、インフラストラクチャはベンダが提供します。 

アクセスはユーザとアプリケーション間を仲介するインサイドアウト接続によって確立され、ネットワークアクセスからアプリケーションアクセスを効果的に分離します。IPアドレスがインターネットに公開されることはありません。 

Zscaler Private Accessは、以下のようなメリットを組織に提供します。

  • ZTNAゲートウェイを導入する必要がないため、簡単に導入できる 
  • オンプレミスでサービスを提供しないため、管理が簡素化される 
  • リモートの従業員をグローバルにカバーするために、常に最適な経路が選択される

 

セキュアリモートアクセスが抱える課題をZPAで解決

さらに詳しく説明すると、ZPAはユーザを企業ネットワークに配置することなく、クラウドの内部アプリケーションへのセキュアリモートアクセスを提供します。このクラウドサービスでは、リモートアクセス用の複雑なVPNアプライアンスは必要なく、クラウドでホストされるポリシーを使用してアクセスを認証し、ユーザトラフィックをアプリケーションに最も近い場所にルーティングします。 

ZPAは、直接アクセスと連携できる真のソフトウェア定義のソリューションとして、お客様のデータセンタとクラウドサービスプロバイダのデータセンタ間の直接接続を可能にします。Zscaler Zero Trust Exchangeにどのように組み込まれ、そしてどのようにゼロトラストを実現できるのかを、こちらでご確認ください。