VPNとは

VPNの歴史

安全なワイヤレス データ転送の起源とされるPoint-to-Point Tunneling Protocol (PPTP)は、1996年に登場しました。PPTPが登場する以前、2台のコンピューター間で安全に情報をやり取りするには有線接続が必要でした。ただし、物理インフラが大量に必要となるため、大規模な導入には非効率で現実的ではありませんでした。そのため、有線で提供されるセキュリティが利用できない場合、転送中のデータは攻撃や窃取のリスクにさらされていました。

暗号化規格の開発が進み、安全なワイヤレス トンネルを構築するための特注ハードウェアの要件が進化するなかで、PPTPはやがて今日のVPNサーバーに進化しました。ワイヤレスで利用できるため、安全なワイヤレス情報転送を必要とする組織は、VPNによって労力とコストを削減できました。ここから、Cisco、Intel、Microsoftなどの多くの企業が、独自の物理的VPNサービスや仮想VPNサービスの構築に乗り出しました。

VPNの仕組み

VPNは、ユーザーからインターネットへの標準的な接続を使用し、ユーザーをデータ センター内のアプライアンスにリンクする暗号化された仮想トンネルを構築します。このトンネルは転送中のトラフィックを保護し、Webクローラーを使用してマルウェアを展開する脅威アクターによってユーザーまたはエンティティーの情報が盗まれることを防ぎます。VPNに使用される最も一般的な暗号化アルゴリズムの1つが、転送中データを保護するために設計された対称ブロック暗号であるAdvanced Encryption Standard (AES)です。

ほとんどの場合、認証されたユーザーのみがVPNトンネルからトラフィックを送信できます。VPNの種類やベンダーによっては、トラフィックのトンネル通過と悪意のある人物に対する保護を維持するために、ユーザーによる再認証が必要となる場合があります。

VPNの種類

VPNは、比較的小規模なニーズや用途に対応するうえで都合の良いセキュリティ ツールとして利用されています。VPNには、以下のような種類があります。

クラウドVPN: VPNは、仮想マシン上に展開することで「クラウド対応」にすることが可能です。これにより、VPNのハードウェア機能を取り出し、拡張性やエンドポイント保護といったクラウド機能を(人工的に)付加できます。大規模な組織にとって、これは一般的なスタンドアロンVPNアプライアンスよりも有用かもしれませんが、それでもリモート ワークやハイブリッド ワークの大規模なサポートに必要な柔軟性は確保できない場合があります。

パーソナル/モバイルVPN: ExpressVPNやNordVPNなどの企業は、個人デバイス上のデータを保護するための、ダウンロード可能なVPNアプリを提供しています。安全性に欠けるWi-FiネットワークでWebブラウジングをする場合には、有効な対策となります。無料VPNも一部存在しますが、後に有料へ移行することが一般的です。

リモート アクセスVPN:組織環境においてオフィス外で働くユーザー向けに設計されたVPNです。通常、組織のデータ センター内に展開されますが、Webやアプリのパフォーマンスと引き換えに拡張し、マルウェアやその他の脅威からリモート ユーザーを保護することも可能です。こうしたVPNは、COVID-19のパンデミック以降、極めて一般的になっています。

VPNの用途

比較的小さな規模の場合、VPNは拠点やリモート勤務の従業員を保護する手段として、十分な効果を発揮します。外出先やカフェなどから接続する少数の従業員に対しては、VPNサービスを利用してVPNクライアント ソフトウェアを展開することで、ネットワーク境界の外にあるエンドポイントから安全な接続を確立させることが可能でした。

全従業員がオフィスに出社していた時代には、企業は本社ネットワークと支店ネットワークのような2つのネットワークを接続する手段としてサイト間VPNを採用することもありました。このように、VPNは特にリモート オフィスや支店のユーザーをインターネット トラフィックから切り離すためのさまざまなユース ケースに対応しますが、リモート ワークが普及するにつれて、VPNでは必要なレベルの保護を提供できないことを多くの企業が認識し始めています。

企業によるVPNの活用方法

ビジネス環境において、リモート勤務のユーザー、安全でない可能性のあるモバイル デバイスやその他のエンドポイントを使用するユーザーを保護する手段として、多くの企業がVPNを使用しています。これによって、従業員にWindowsまたはMacのノートパソコンを支給して、必要に応じて在宅勤務ができるようにするといったことが可能になります。もちろん、コロナ禍を経た今、この考え方は広く普及しています。

企業はリモート ユーザーが自宅のネットワークを通じて組織のリソースに安全にアクセスできるようにするためにVPNを導入します。ほとんどのインターネット サービス プロバイダー(ISP)は、ホーム ネットワークを通過する機密性の低いデータを保護するには十分なセキュリティ プロトコルを備えています。しかし、機密データを扱う場合、自宅のWi-Fiのセキュリティ対策だけでは不十分であり、このようなデータを保護するためにVPNプロトコルの利用が不可欠となります。

VPNプロバイダーを活用すると、ルーターからデータ センターへのデフォルトの通信経路が遮断され、代わりに暗号化されたトンネルを通じてトラフィックが送信されます。これにより、リモート ユーザーのインターネット アクセスを保護し、組織の攻撃対象領域を(小規模ながら)縮小できます。

VPNを使用する際のメリットと課題

メリット

VPNは、組織や個人がセキュリティを簡素化する手段となり得ます。中核的な機能は以下のとおりです。

• 許可の制限。もし誰もがあらゆるネットワークにアクセスできれば、重大なセキュリティ上の問題が発生します。VPNはネットワークへのアクセスにあたってユーザーに認証を要求し、この問題を未然に解消します。
• スロットリングの防止。VPNの暗号化されたトンネルによって外部からの可視性が遮断されるため、理論上、広い帯域幅と高い速度を維持できます。
• デバイスの保護：リモート デスクトップだけでなく、AndroidやiOSなどのオペレーティング システムを搭載したデバイスもVPNで保護できます。

課題

このようなメリットが期待される一方で、VPNにはIT部門の頭を悩ませたり、場合によってはリスクの増大につながる課題もつきまといます。具体的には以下のとおりです。

• ユーザーがネットワークに接続される。VPNは本質的に、従業員や外部関係者に組織のネットワークへの直接接続を提供します。VPNを通じてネットワークへのトンネルが確立されると、十分な信頼を獲得しているかどうかを確認することなく、ユーザーは直ちに「信頼された存在」と見なされ、水平方向のアクセスが許可されることになります。
• コストと複雑性が増大する。完全なVPNゲートウェイ アプライアンス スタックはレイテンシーや容量の制限により、各データ センターでスタックを複製する必要があるため、コストはより高くなります。
• 拡張を前提に設計されていない。VPNはその性質上、ハードウェアに依存しています。ユーザー、ワークロード、アプリケーションを、組織のニーズの拡大に合わせて保護できるようには設計されていません。ハイブリッド ワークが一般的になった今、ほとんどのVPNはオフィス内や限られた数のリモート ワーカー以外に対応できません。

企業向けVPNの限界

従来型のネットワーク セキュリティの問題の多くは、効率が悪く安全でないVPNインフラストラクチャーにあります。その理由は以下のとおりです。

• 脅威のラテラル ムーブメントを防げない。暗号化トンネルを通じて小さな規模でデータを保護することはできるものの、エンドポイントが侵害されている場合には、組織全体のネットワークでのアクセスの拡大を防止できません。
• VPNはスケーリングに対応していない。ハードウェアベースのVPNは手動で構成する必要があり、その帯域幅の上限により冗長なデプロイメントを必要とする傾向があります。ソフトウェアベースのVPNでは、すべてのユーザーのデバイス上にデプロイする必要があり、ユーザーの働き方が制限されます。
• VPNはゼロトラストを実現できない。VPNによる認証後、ユーザーはネットワークに接続されるため、ハッカーや悪意のある内部関係者がラテラル ムーブメントを通じて機密情報にアクセスしたり、内部から保護されていない脆弱性を悪用したりすることが可能になります。

どれほど優れたVPNであっても、あらゆるオンライン アクティビティーを完全に保護できるわけではありません。一部の暗号化プロトコルは、現在の高度な脅威に対して十分な耐性を持っていない可能性があります。

VPNがパフォーマンスに及ぼす影響

VPNは、組織のデータ センターのハードウェアへの安全なトンネルを提供できるものの、自宅のネットワークから安全にトラフィックを送信するために必要な帯域幅や機能が増加するため、このトンネルによってネットワークの速度が制限される可能性があります。結果として、パフォーマンスとユーザー エクスペリエンスが大幅に低下し、さらには繰り返しVPNへのログインを求めることで、ユーザーにストレスを与える場合があります。

クラウド ネットワーク セキュリティ：VPNに代わる選択肢

組織がハイブリッド型の勤務モデルに慣れ、クラウドの採用が標準になるにつれて、ファイアウォールを使った従来のアプローチではクラウドとゼロトラストのためのスピードが提供できないことが明らかになってきました。

クラウド化とモバイル化の時代に適応するには、デジタルファーストの現代的なソリューションが求められます。ネットワークからセキュリティを切り離し、アプリが置かれたすべての場所、ユーザーが接続するすべての場所でポリシーを施行する、クラウドベースのセキュリティ ソリューションが必要です。

セキュリティをネットワークからクラウドに移行することで、あらゆる場所から接続するユーザーに、完全なネットワーク セキュリティ スタックを効果的に配置できるようになります。一貫した保護が適用され、支店、ユーザーの自宅、空港ターミナル、本社に同一のセキュリティ対策を施すことができます。

従来のネットワーク セキュリティとは異なり、理想的なクラウドベースのセキュリティ ソリューションには以下のようなメリットがあります。

• 高速なユーザー エクスペリエンス：ユーザーのトラフィックは、アプリまたはインターネットの接続先への最短経路をたどります。
• 優れたセキュリティ：暗号化されたトラフィックを含むすべてのインターネット トラフィックが検査され、脅威データがリアルタイムで相関されます。
• コスト削減：クラウド インフラストラクチャーは継続的に更新されるため、アプライアンスを常に購入したり保守したりする必要がなくなります。
• 管理の容易化：SaaS(Security-as-a-Service)ソリューションによって、複数のデバイスの管理の複雑さが軽減されます。

完全なクラウド配信型セキュリティ スタックに移行することで、ユーザーからサードパーティーおよびプライベート アプリケーションへの高速で安全なポリシーベースのアクセスが徹底されます。ただし、多くのセキュリティ企業が、クラウド配信型、クラウド対応のソリューションを宣伝していますが、これらのソリューションは、従来型のアプライアンスを改造し仮想化したものである傾向があることには、注意が必要です。クラウドを前提にクラウドで構築されているセキュリティを提供しているのは、Zscalerのみです。

Zscaler Private Access™ (ZPA™)

Zscaler Private Access™ (ZPA™)は、ゼロトラスト ネットワーク アクセス(ZTNA)を実現するクラウド型サービスで、リモート アクセスVPNを使わずにすべてのプライベート アプリケーションへの安全なアクセスを提供します。ZPAはZscalerのセキュリティ クラウドを活用し、ユーザーをネットワークに接続することなく、組織のアプリへのリモート アクセスおよびローカル アクセスを拡張性に優れた形で提供し、ゼロトラスト モデルを実現します。ZPAは、マイクロ暗号化されたTLSトンネルとクラウドで適用されるビジネス ポリシーを用いて、許可されたユーザーと特定のアプリケーション間に1対1の安全な通信経路を構築します。

ZPA独自のサービス主導型アーキテクチャーによって、App ConnectorがZPA Public Service Edgeにアウトバウンド接続されるため、ネットワークとアプリケーションはいずれもインターネットに対して不可視化されます。このモデルは、ネットワークではなく、それぞれのアプリケーションの周囲に隔離された環境を作成します。これにより、ラテラル ムーブメントやランサムウェアの拡散リスクを排除できます。リスクとその解決方法についてはこちらでご確認ください。