テレワーク／リモートネットワークアクセスから始めるゼロトラスト技術の導入：働き方改革時代の「ゼロトラスト」セキュリティ（3）

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、テレワークで露呈したVPNの限界と、解決策となるゼロトラスト技術の導入について。

[仲上竜太，株式会社ラック]

　デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載『働き方改革時代の「ゼロトラスト」セキュリティ』。今回は、テレワーク／リモートネットワークから始めるゼロトラスト技術の導入についてお話しします。

在宅勤務要請によるテレワークで露呈したVPNの限界

　「クラウドサービスのアクセスが遅い」「Web会議の通話が途切れる」「ファイルが開けない」といったテレワーク利用者の声が、さまざまなところから聞こえてきた2020年4月。

　新型コロナウイルス感染症（COVID-19）対策として発令された緊急事態宣言では、外出自粛とともに企業や組織での在宅勤務が要請され、テレワークが一斉に開始されました。働き方改革時代に迎えた新型コロナウイルス対策としてのテレワークの推奨により、自宅や離れた場所からのアクセスを行うリモートネットワークアクセスの需要が一気に高まっています。

　組織の境界内ネットワークにのみ公開されているWebサービスは、インターネットから接続することができません。組織の外のネットワークから接続するには、VPN（＝仮想プライベートネットワーク）などのリモートネットワークを通して組織内ネットワークに接続する必要があります。

　あらかじめVPNを導入していた組織でも、想定外の通信がVPN装置に集中し、ネットワーク速度が大幅に低下。利用者からの声に応えるべく、ルーティングの変更やVPN装置の交換に奔走された情報システム担当の方も数多くいたのではないのでしょうか。

　インターネットやパブリッククラウドサービス、組織内のサービスを、安全かつ快適に効率良く活用できる方法として、ゼロトラストの考え方が適用できます。新たなセキュリティコンセプトとして注目されているゼロトラストでは、VPNに代表されるリモートネットワークの在り方も変えようとしています。

リモートネットワークアクセスが抱える課題

　境界によって保護されたネットワーク領域に、離れた場所からアクセスするリモートアクセス。古い時代では組織内にモデムを設置し、電話回線を通じてダイヤルアップ接続を提供する方式もありましたが、現在では安価でさまざまな形態で提供されているインターネット回線を利用したVPNが主流です。

　20年以上の歴史を持つVPNは、安定した技術であり、組織内のネットワークに接続できる手段として多くの組織が採用しています。

　しかし、VPNはその特性上幾つかの課題を抱えています。

トラフィックの集中による帯域逼迫（ひっぱく）

　インターネット回線を利用して接続するVPNは、VPN装置の帯域を全てのリモートアクセス利用者で共有します。利用者が増加することで、一人当たりに割り当てられる回線速度は低下し、さらにVPN装置そのものの負荷上昇によりネットワークパフォーマンスの低下を引き起こします。

　ファイルやフォルダが開けない、社内システムがタイムアウトするなどの操作ストレスが発生し、生産性を低下させます。

セキュリティ上の課題

　一度接続してしまえば組織内のネットワークに正規の利用者としてアクセスが可能なVPNは、サイバー攻撃者にとって非常に魅力的な存在です。持ち出されたPCの脆弱（ぜいじゃく）な設定を悪用し、VPNから組織内への侵入が可能です。

　さらに、インターネットに直接接続されているVPN装置そのものの脆弱性を悪用し、組織に侵入するケースも確認されています。

管理の課題

　世界中のどこからでも組織内のネットワークにアクセス可能なVPNは、常に適切に運用されている必要があります。接続可能なデバイスの登録、アカウントの管理、パフォーマンスチューニング、利用状況のモニタリング、脆弱性のチェック、機器の更新などリモートアクセスを安全かつ快適に提供するためには、多くの手間が常に発生します。

　現代では、タブレット、スマートフォン、ノートPCなどデバイスの多様化が進んでいます。さらに現場では、組織内のネットワークサービスだけでなく、パブリッククラウドサービスの活用が進んでいます。インターネット上のサービスを利用するために、VPNで一度組織のネットワークに接続し、再び組織のインターネット回線を使用してパブリッククラウドを利用する状況も増えています。

Googleが提供するゼロトラストによるリモートネットワークアクセス

　このようにVPNは、パフォーマンスやセキュリティにおいて課題を抱えています。また、常に外部からの脅威にさらされるインターネットへのWebサービスの公開は、非常に高いハードルを伴います。

　そこで、Webサービスを組織内に設置したまま、インターネットからのアクセスを可能にする方法として、Googleが提供する「BeyondCorp Remote Access」が注目されています。

　BeyondCorpは、ゼロトラストの考え方を取り入れたGoogleのネットワーク基盤を、一般の組織が利用可能にしたサービスフレームワークです。BeyondCorp Remote Accessは、BeyondCorpで提供されるサービスの一部を利用し、組織の境界内ネットワーク上のサービスに、インターネットからのアクセスを可能にします。

BeyondCorp Remote Access概念図（出典：https://cloud.google.com/solutions/beyondcorp-remote-access?hl=ja）

　BeyondCorp Remote Accessの紹介ページでは、「GCP（Google Cloud Platform）上に設置されたWebサービス、インターネットに公開されているWebサービス、組織の境界内に設置されたオンプレミスのWebサービスへの3つのサービスへのアクセスを一元管理可能」と示されています。

　組織の境界内に設置されたWebサービスには、GCP上のサービスが利用者の代わりとなってアクセスします。そのため、組織内のネットワーク構成や、サービスそのものに大きな変更を加える必要がありません。利用者の属性や状況に応じたアクセス認証が常に行われるため、組織内のサービスを、GCPやパブリッククラウドで提供されるサービスと統一的なアクセス制御が可能です。

　例えば、重要度の低いサービスでは利用者の認証のみで閲覧を許可します。しかし、重要度や機密性の高いサービスには会社支給のデバイスで、かつストレージが暗号化されている場合にのみアクセスを許可します。

　このように、複数の要素を組み合わせたアクセス条件をサービスごとに設定可能です。

　アクセス元IPアドレス、アクセス元の場所、ユーザーID、デバイスの設定など利用者の属性に基づいて制御の方法を、Googleでは「コンテクストアウェアアクセス（Context Aware Access）」と呼んでいます。

　VPNで生じるパフォーマンスやセキュリティの課題を解決し、より細やかなアクセス制御が可能なBeyondCorp Remote Accessのようなゼロトラスト技術は、さまざまなネットワークセキュリティのベンダーから提供が進んでいます。

リモートネットワークアクセスから変わる働き方改革とゼロトラスト

　働き方改革の中心ともいえるテレワークの推進に必須のリモートネットワークアクセス。ゼロトラストのテクノロジーにより、組織内のWebサービスへのアクセスが安全かつ快適に実現可能となりました。

　今回のコロナ禍により、組織はテレワークへの対応を急きょ迫られました。働き方改革によりVPNを導入していた企業では、ネットワーク運用上の問題が数多く浮き彫りになっています。今後、われわれが迎える「新しい生活（ニューノーマル）」に向けて、ゼロトラストがネットワークの新しい現実的な選択肢として考えられ始めています。

筆者紹介

仲上竜太

株式会社ラック

セキュリティプロフェッショナルサービス統括部 デジタルペンテストサービス部長

兼 サイバー・グリッド・ジャパン シニアリサーチャー

進化するデジタルテクノロジーをこよなく愛し、サイバーセキュリティの観点で新たな技術の使い道の研究を行うデジタルトラスナビゲーター。家ではビール片手に夜な夜なVRの世界に没入する日々。