Global Reachグローバル展開する企業を支援

MENU

コラム|Column

COVID-19を機に、在宅勤務やテレワークの拡大など、働き方が大きく変わりました。VPNはこれまで以上に社外のさまざまな場所と、社内ネットワークとを繋ぐようになりました。しかし、そこを狙うサイバーセキュリティ犯罪は、これまで以上に巧妙になり、狡猾さを増しています。事実、VPNの脆弱性を狙ったランサムウェアなどのサイバー攻撃は後を絶ちません。こうした背景から、多くの企業や組織ではいま、「脱VPN」の機運が高まっています。

そこでこのコラムでは、VPNを取り巻く環境変化と脆弱性が狙われた事例、そして脱VPNを考える際によく語られるゼロトラストネットワークアクセス(ZTNA)とVPNの違い、脱VPNを実現することで得られるメリットについて解説します。

ゼロトラストネットワークアクセス(ZTNA)とVPNの違い

脱VPNを考える際、近年注目されているのが、ゼロトラストネットワークアクセス(ZTNA)です。VPNとゼロトラストネットワークアクセス(ZTNA)は、ネットワークという観点から同じ文脈で語られる場合もありますが、実際は大きく異なります。まずはVPNとゼロトラストネットワークアクセス(ZTNA)のそれぞれの定義と、違いを解説します。

1. VPNとは

VPNとは、Virtual Private Networkの略称で、日本語では「仮想専用通信網」の意味です。大きく分けて「インターネットVPN」と「IP-VPN」があり、COVID-19感染拡大に伴う在宅勤務の拡大に伴い、インターネットVPNの利用が急速に増加しました。

インターネットVPNがインターネット回線を利用するのに対し、IP-VPNは通信事業者が提供する閉域ネットワークを利用します。そのため、一般的にIP-VPNの方がコストは高くなります。

2. ゼロトラストネットワークアクセス(ZTNA)とは

ZTNAとは、Zero Trust Network Accessの略称です。基本的に守るべき情報資産にアクセスするものはすべて信用せずにその安全性を検証するという「ゼロトラスト」の原則に則り、社内・社外を問わず厳密にアクセスを制御する「考え方」であり、サービスによってはZTAと略される場合もあります。

ZTNAは2019年にGartner社が提唱したアクセス形態で、2010年にForrester Research社が提唱したZero Trust(ゼロトラスト)をベースにした概念です。SaaSなどクラウドサービスの普及や、DX(デジタルトランスフォーメーション)など、企業や組織の働き方やビジネスのあり方が大きく変化する中で、近年特に注目が高まっています。

VPNとZTNAの違いは、VPNが一度認証を通った通信においてリソースへのフルアクセスを許すケースが多いのに対し、ZTNAはアプリケーションやデータへアクセスする度にユーザーを評価し、アクセスを制御します。そのため、ZTNAはVPNに比べて認証情報の漏えいによる不正アクセスや、それに起因する機密情報の漏えいなどのリスクを大きく抑制できるメリットがあります。

(参考)ゼロトラストネットワークアクセス(ZTNA)とは?背景やゼロトラストを実現する機能を解説

脱VPNの機運が高まる背景

イメージ図

VPNはこれまで、企業や組織のリモートアクセス手段として広く使われてきました。しかし、昨今の働き方の変化により、仕組みとしての限界が顕在化しつつあるのも事実です。

1. COVID-19の影響でワークプレイスの境界が曖昧になった

COVID-19の影響によってテレワークやリモートワークなど自宅や会社の外で業務を行う頻度が増え、社内と社外の「境界線」がより曖昧になりました。多様な環境から社内ネットワークに接続するようになり、さらにはPCだけでなく、スマートフォンやタブレットなど、複数の端末が接続されるようになりました。そしてその中には、BYOD(Bring Your Own Device)など、企業の管理外である私用端末なども含まれます。

2. クラウドの浸透によるインターネットトラフィックの増加

働き方の変化に伴い、Microsoft 365やZoomなどに代表されるクラウドサービス(SaaS)を業務で利用するケースが増加しました。日常的に使用する業務アプリケーションがクラウドになることで、インターネットトラフィックが大幅に増加。VPNの設備を圧迫するようになっています。コロナ禍ではVPNの通信速度が遅い、あるいは社内ネットワークにアクセスできないといったトラブルも頻発しました。

3. レガシーVPNの脆弱性を狙った攻撃の頻発

VPNの利用シーンが増えるにつれて、旧型のVPN機器やVPNサービスの脆弱性を狙った攻撃も多発するようになりました。脆弱性が発見されパッチが公開されているにも関わらず、未対応のままの機器も存在します。こうしたレガシーVPNは、サイバー犯罪者の格好のターゲットです。VPNは一度認証を通ってしまえばネットワーク内の他のリソースへのアクセスも許してしまうリスクがあります。そのため、パスワードなどの認証情報の漏えいから機密情報の漏えい、ランサムウェア感染などの被害に繋がるケースも増加しています。

4. システム部門の業務負荷の増大

さまざまな環境変化に伴い、増大するトラフィックの制御、ネットワーク機器の増設やメンテナンスなど、システム部門の負荷も高まっています。ユーザーのアクセス環境が多様化することで、リモートアクセス環境に対して統一したセキュリティポリシーを設定することが難しくなっています。結果として、拠点間でセキュリティポリシーや運用状況にバラツキが出るなどのほころびも生じています。

VPNの脆弱性が狙われた事例

イメージ図

実際にVPNの脆弱性が狙われた事例を紹介します。

1. 大阪の医療機関を狙った攻撃

2022年10月に起こった大阪の医療機関を狙ったサイバー攻撃はメディアでも大きく報道されました。医療機関の給食委託業者のシステムを運用する会社が、リモート保守のために設置したVPN機器の脆弱性を突かれ、そこが侵入経路となりました。

このランサムウェア攻撃によって医療機関の電子カルテが暗号化され、閲覧不能の状態になりました。システムが完全に復旧するまで3か月程度かかり、被害額は調査と復旧に数億円、診療制限で十数億円に上ったと言われています。

2. 名古屋の港湾会社を狙った攻撃

2023年7月の名古屋の港湾会社を狙った攻撃も記憶に新しいと思います。同社のシステムがランサムウェア攻撃の被害に遭い、港湾の全ターミナルの操業が3日間にわたり停止し、物流に大きな影響を及ぼしました。

この攻撃は保守用VPN機器の脆弱性を突かれ、そこが感染経路となりシステムのデータが暗号化されています。同社は運用面の利便性を重視した結果、IDとパスワードさえ合致すれば誰でもアクセス可能な状態で、さらにVPNには数か月前に脆弱性が公表されていたものの脆弱性への対応が未対応だったことも判明しています。

3. 大手石油パイプラインのレガシーVPNを狙った攻撃

2020年に起こった石油パイプラインへのサイバー攻撃は、メディアでも大きく報道されました。この攻撃では旧型のVPNがパスワード認証のみであったことで、不正アクセスの起点となってしまいました。犯罪者は不正アクセスによってネットワークへ侵入、ランサムウェアを感染させました。パイプラインが一次操業停止に陥る事態に発展し、440万ドルという多額の身代金が支払われました。

4. 大手VPNサービスの脆弱性を狙ったパスワード窃取攻撃

2019年、大手VPNサーバーの脆弱性が発覚し、修正パッチが提供されました。しかしながらパッチを適用しないまま運用を継続している企業が少なからず存在し、こうした企業のIPアドレス情報が闇サイトで取引されるようになりました。この脆弱性を狙った攻撃により、ヨーロッパの複数の製造業でランサムウェアによる被害を引き起こしています。

VPNを使い続けるメリットはあるのか

変化する働き方や、高度化するサイバー攻撃に対し、今後もVPNを今後も使い続けるメリットはあるのでしょうか? 近年、全世界的に脱VPNの動きが広まっているなか、セキュリティ対策として万全とは言えないVPNをあえて使い続けるメリットは小さいといえるでしょう。

しかし企業によっては、新たな設備投資を行う予算が少ない、あるいはオペレーションの変更が難しい場合も考えられます。また、リモートワークの頻度が少なく、拠点数も限られる場合などはVPNを利用し続けるという選択肢もあります。ただしその場合も適切なパッチマネジメントと、パスワードポリシーの見直し、MFA(多要素認証)の導入などが、必要不可欠でしょう。

VPNからZTNAへ移行するメリット

イメージ図

こうした流れを踏まえてVPNに代わる仕組みとして注目が高まっているのがZTNAです。では、VPNからZTNAへ移行するメリットは具体的にどのようなものでしょうか?

1. リソースやポートに対する攻撃リスクを抑制できる

ZTNAでは基本的にユーザー(端末)は、ZTNAベンダーが提供するアクセスポイントと通信します。そのため、社内ネットワークなどのリソース(いわば開口部)を外部から隠蔽できます。そのためVPNと比べ、外部からの攻撃リスクを抑えられます。

2. マルウェアの拡散を抑えることができる

VPNではネットワークレベルでの接続がされるため、端末からのマルウェア・ランサムウェアの拡散が容易に行われてしまうのに対し、ZTNAではアプリケーションレベルでのアクセスになり、端末からのマルウェア・ランサムウェアの拡散を防ぐことができます。

3. 認証・認可を強固かつきめ細かく制御できる

上述の事例の通り、旧型のVPN装置はパスワード認証だけのものも少なくありません。またVPNに限らず複数のサービスを利用するケースにおいて、その認証強度がまちまちであることもよくあります。

パスワードの使い回しや、容易に想像がつく低強度のパスワードなどは、不正アクセスの起点となります。ZTNAでは多要素認証を含む認証・認可のポリシーをアプリケーションレベルで設定でき、かつ一元管理できます。

4. ネットワークトラフィックの集中や遅延を防げる

VPNでは、基本的にすべての通信が社内ネットワークを経由します。そのためMicrosoft TeamsやZoomといったクラウド上にあるリソースも、社内ネットワーク経由でアクセスします。多くの従業員がVPNを利用することでトラフィックが集中し、通信の遅延などが生じやすくなります。

ZTNAは、一度認証を通れば社内ネットワークを経由することなく直接クラウド上のリソースにアクセスできるため、トラフィックの集中や遅延を防ぐことができるというメリットがあります。

VPNを利用する上でのトラフィック抑制の仕組みとしてはインターネットブレイクアウトという手法がありますが、別途セキュリティ対策を検討しなければなりません。

ZTNAのソリューションには、SWG(セキュア Web ゲートウェイ:Webおよびインターネットのトラフィックを分析、Web リクエストを検査および定義済みのポリシーと照合して悪意あるパケットを送信先への到達前にフィルタリングすることでサイバー脅威やウイルス感染に対してセキュリティを確保するWebセキュリティソリューション)やCASB(Cloud Access Security Broker:ユーザーと複数のクラウドサービスプロバイダーの間に単一のコントロールポイントを設けてクラウドサービスの利用状況を可視化・制御し、一貫性のあるセキュリティポリシーを適用するサービス)を備えたものもあるため、利便性とセキュリティを両立できます。

まとめ

リモートワークの浸透によってワークプレイスの境界は曖昧になり、そこに乗じようとするサイバー犯罪者はその牙と爪を磨いています。こうした環境の変化とリスクの高まりに対し、VPNでは限界が来つつあるのは事実です。

企業はゼロトラストの原則に則り、境界型セキュリティから脱却する必要性があります。ZTNAはゼロトラストを体現し、脱VPNを推進するためのテクノロジーとして、ますます必要性が高まるでしょう。

ZTNAは安全性を保ちながら、快適な業務環境を提供するソリューションです。IIJはZTNAのソリューションサービス「Safous」を提供しています。詳しくは下記Safousのウェブサイトをご覧いただくか、お問い合わせボタンからお気軽にお問い合わせください。

Safous公式ウェブサイト

関連リンク