Zpedia 

/ SASEとVPN:安全なリモート ワークに適したソリューションとは

SASEとVPN:安全なリモート ワークに適したソリューションとは

リモート ワーク時代の今、ユーザーおよびアプリの保護と接続に取り組む組織は、固有の課題に直面しています。そして、そうした組織の多くは、今後セキュア アクセス サービス エッジ(SASE)と仮想プライベート ネットワーク(VPN)のどちらがより優れた選択肢となるのかを検討しています。いずれも安全なアクセスの提供を目的としたものですが、その仕組みは大きく異なります。このページでは、SASEとVPNの違いについて詳しく解説します。

ゼロトラストSASEの詳細はこちら
ゼロトラストネットワーク セキュリティ
  1. リモート ワークの進化
  2. SASEとは
  3. VPNとは
  4. リモート ワークのセキュリティ課題
  5. 従来のVPNの見直し
  6. SASEとVPN:観点別の比較
  7. VPNと比較したSASEの主なメリット
  8. SASEとVPN:リモート アクセス ソリューションとしての比較
  9. VPNからSASEに移行する方法
  10. 次のステップ
  11. よくある質問
  12. 関連するトピック

リモート ワークの進化

モバイル化やクラウド化の進展に伴い、リモート ワークは多くの組織で中核的な運用モデルとなっています。これに合わせてセキュリティ戦略も進化を迫られ、境界に重点を置いたソリューションから、複数のデバイスやプラットフォームにまたがる動的な環境向けに設計されたソリューションへの移行が進んでいます。

安全な接続を確立するためのソリューションといえば、長年にわたり有力な選択肢だったのがVPNです。VPNは、ユーザーのデバイスと内部ネットワーク間のトラフィックを暗号化することで、効果的な防御層を提供します。ただしその設計は、アーキテクチャーがシンプルでリモート ワーカーが少なく、主にオンプレミスのリソースにアクセスする環境を前提としています。

クラウドファーストの分散型の働き方への移行によって、VPNではパフォーマンスのボトルネックが発生したり、攻撃対象領域が拡大したりするほか、ゼロトラスト フレームワークを十分にサポートできないなど、その限界が浮き彫りになっています。SASEとVPNはどちらも安全なアクセスを提供するものですが、SASEではクラウドベースのネットワーク インフラにセキュリティ機能を組み込みます。これによってシームレスな拡張と可視性の強化が実現し、現在の複雑なニーズにもより柔軟に対応できます。

SASEの概要と仕組み

セキュア アクセス サービス エッジ(SASE)は、現代の従業員が分散した環境における課題に対処するために構築された、クラウド型のサイバーセキュリティ フレームワークです。重要なネットワーク機能と高度なセキュリティ サービスを統合し、リモート ワークやハイブリッド ワークのニーズをより強力にサポートします。

SASEは、中核となるクラウド型の技術を活用し、アイデンティティー認識型の柔軟で高パフォーマンスな接続を提供します。セキュリティとネットワークの機能をクラウドに移行し、トラフィックの暗号化、監視、最適化を行うことで、境界ベースの従来のセキュリティを不要にします。

脅威のリアルタイムでの軽減、動的なアクセス ポリシーの施行、物理インフラの制約を受けない拡張が可能なことから、SASEを好む組織は増加しています。

SASEの主な構成要素

VPNの概要と仕組み

仮想プライベート ネットワーク(VPN)は、広く使用されているセキュア リモート アクセス ツールであり、ユーザーのデバイスと組織のネットワーク間に暗号化された「トンネル」を構築します。クライアントVPNの場合、認証を処理し、トラフィックのルーティングを円滑化するために、通常、デバイスにソフトウェア エージェントをインストールする必要があります。この技術はサイト間VPNの構築にも利用されており、古いSD-WANソリューションでは、インターネットを介したWANトラフィックをサイト間VPNで保護しています。

VPNの概念はシンプルです。認証されたユーザーをネットワークに直接接続し、そのネットワーク上でリソースの通信を行えるようにします。そのため、VPNは、ほとんどのシステムがまだオンプレミスにある従来の環境に適しています。ただし、パブリックIPアドレスを公開する静的ゲートウェイに依存しているほか、クラウド トラフィックの検査や最適化の能力に限界があるため、クラウド時代では従来ほどの有効性を持ちません。

リモート ワークのセキュリティ課題

VPNは集中型のオンプレミス環境向けに設計されているため、最新のセキュリティ課題の数々に対応できません。

  • 境界型セキュリティへの依存:VPNは暗号化に重点を置いている一方で、脅威の検出や動的なアクセス ポリシーなどのプロアクティブな防御メカニズムが欠けています。
  • IPアドレスの公開:インターネット上にIPアドレスを公開し、侵害可能な攻撃対象領域を生み出します。
  • きめ細かな可視性の欠如:SaaSとクラウド環境のユーザー アクティビティーをきめ細かく可視化できないため、使用状況の監視と異常への対応が難しくなります。
  • パフォーマンスの問題:暗号化されたトンネルによってレイテンシーが発生し、ユーザーへのレスポンス速度が低下します。
  • ネットワークへの直接接続:基本的な認証を通じてユーザーにネットワークへの直接接続を許可するため、資格情報の侵害がシステムの侵害に直結する可能性があります。

このような問題点を背景に、安全なリモート ワークとサイト間通信のために、多くの組織がSASEなどのよりスケーラブルで包括的な選択肢を検討するようになっています。

企業が従来のVPNを見直す理由

ハイブリッド モデルやクラウドファースト モデルの導入が進むにつれて、多くの組織が従来のVPNソリューションでは不十分だと感じ始めています。まず、VPNの設計は、アプリケーションがプライベート データ センターにのみ存在し、スケーラビリティーがほとんど問題にならなかった時代のものです。現在、ユーザーはどこからでもリアルタイムでクラウドにアクセスできる環境を必要としており、VPNは、複雑さ、レイテンシー、帯域幅の制約を増大させるだけの存在になっています。

そして、セキュリティ面の課題から問題はさらに複雑なものになっています。従来のVPNを使用した環境において、IT部門はゼロトラストの原則の適用に困難を抱えています。これは管理対象の従業員がグローバルに分散している場合、特に顕著です。SASEのような次世代ソリューションによってシームレスなアジリティーと高度なセキュリティを確保できる今、オンプレミスのVPNゲートウェイとデバイス エージェントの導入、管理、パッチ適用の運用コストを正当化することは、意思決定者にとって難しくなっています。

SASEとVPN:観点別の比較

アーキテクチャー

SASE

クラウド ネイティブ

ハブ拠点やデータ センター、コロケーション施設を利用せずに、ユーザーとデバイスをクラウド アプリに直接接続

VPN

ハブ&スポーク

ネットワーク トンネルを利用して、ユーザーを集中型のハブ拠点に接続

セキュリティ機能

SASE

高度な脅威インテリジェンス ツール、プロアクティブな修復、統合型のアクセス管理を組み込み

VPN

暗号化を利用してネットワーク トラフィックを保護し、基本的な監視機能を備えているが、その他のセキュリティ機能の実装にはアプライアンスの追加が必要

パフォーマンス

SASE

クラウドへの直接接続アーキテクチャーにより、トラフィックのバックホールと不要なレイテンシーを最小化

VPN

VPNサーバーを経由する非効率なルーティングにより、レイテンシーが発生し、アプリケーションのパフォーマンスが低下

複雑さ

SASE

直感的な展開機能とクラウド環境に適した一元的なポリシー制御を提供

VPN

統合プロセスが複雑で、IT部門による監視と手動での構成に多大な労力が必要

展開と管理

SASE

SaaSプラットフォームを介して提供され、ハードウェア要件を最小限に抑えて、メンテナンスの負荷を削減

VPN

ハードウェアの定期的なアップグレード、エージェントの手動更新、多数のデバイスへのインストールが必要

コストとメンテナンス

SASE

ソフトウェアベースのため拡張性に優れ、総所有コストが減少

VPN

アップグレード、メンテナンス、サーバーの維持管理によって長期的なコストが増加

従来のVPNと比較したSASEの主なメリット

SASEは、最新のセキュリティ ニーズに対応する強力なメリットを提供します。

  • セキュリティの強化:ゼロトラスト アーキテクチャーを活用することで、攻撃対象領域を排除するとともに、アイデンティティー中心のコンテキスト認識型ポリシーを施行して、脅威を動的に検出できます。
  • パフォーマンスの向上:SD-WANを使用することで、VPNトンネルに典型的なボトルネックを排除し、高速で信頼性の高い接続を確保できます。
  • 管理の統合:複数のセキュリティ技術を単一のクラウド フレームワークに統合し、監視を簡素化できます。
  • コスト効率:物理ハードウェアではなくSaaSベースのソリューションを利用することで、メンテナンスやスケーラビリティーの問題などの隠れたコストを削減できます。

SASEとVPN:リモート アクセス ソリューションとしての比較

リモート アクセス戦略の近代化を検討している組織にとって、SASEはVPNに代わる魅力的なソリューションであり、これを利用することでクラウド サービスへのアクセスを高速化できます。

SASEはより安全:分散環境においてセキュリティ リスクが高まるなか、SASEは、VPNをはるかに超えるアイデンティティーファーストの適応型防御を提供できます。

SASEはよりスケーラブル:クラウド ネイティブ アーキテクチャーにより、SASEは成長する組織のニーズに合わせて簡単に拡張でき、VPNに関連するサーバーの制限を排除できます。

SASEはよりシンプル:SASEは、断片化されたシステムを統一されたクラウド型のアーキテクチャーに置き換えることで、管理プロセスを簡素化し、間接費を削減します。

アーキテクチャーを変更することのメリットは疑いようもありません。意思決定者は、既存のインフラやVPNの制約について検討し、最善のアプローチを選択する必要があります。

VPNからSASEに移行する方法

SASEの主な構成要素を導入する際は、以下の手順で着手するとよいでしょう。SD-WAN、SWG、CASB、FWaaS、ZTNAを統合することで、セキュリティと接続を一元的に管理できるようになります。

  1. 既存のインフラの評価:VPNの設定を評価し、対処が必要な制約を特定するとともに、パフォーマンス、スケーラビリティー、セキュリティの要件を決定します。
  2. シームレスな移行の計画:SASEへの移行には、物理インフラの制約を排除するクラウド ネイティブ アーキテクチャーの採用が含まれます。
  3. 変更の段階的な導入:まずは重要なアプリとサービスを移行します。並行してSASEアーキテクチャーを構築し、信頼性の向上に合わせてユーザーを段階的にSASEに移行します。
  4. 関係者との連携およびユーザー教育:IT部門がSASEソリューションについて十分なトレーニングを受け、関係者がそのメリットと変更点を理解できるようにします。

SASEはファイアウォールに完全に取って代わるものではありませんが、SASEによってファイアウォール機能の提供方法は大きく変わります。SASEは、オンプレミスのアプライアンスを利用することなく、スケーラブルなクラウド サービスとしてファイアウォール機能を提供し、他のセキュリティ ツールを統合して分散環境全体に保護を拡張します。

インターネット プロトコル セキュリティ(IPsec)は、VPNトンネルを介したネットワーク通信を保護するために設計された暗号化プロトコルです。一方、SASEは、セキュリティとネットワークの機能を組み合わせることで、暗号化にとどまらず、高度なアクセス制御、リアルタイムの脅威検出、クラウドベースのリソースとのシームレスな統合を提供します。

従来のネットワーク セキュリティは、境界ベースでオンプレミス システムへのアクセスの保護に重点を置いており、クラウド ネイティブな運用を保護できません。SASEは、分散した従業員向けに構築されたクラウドベースのインフラにセキュリティとアクセスの機能を統合し、境界型セキュリティの制約を排除します。