Akamai Diversity

Akamai Japan ブログ

VPNは過去のものか?

※ この記事は2018.5.21に執筆されたThe Akamai Blogの記事を翻訳した内容を元に作成しています。

 

2018年に世界のインターネット利用者は40億人を超え、その増加ペースは今も留まるところを知りません。1990年代から続くインターネットの歩みの中で、様々な形態のVirtual Private Network (以降VPN)が生まれてきました。そしてVPNは"セキュアである"という前提のもと、今では当たり前のように利用され、企業の生産性の向上にも貢献してきました。しかしここ数年に起きたサイバー犯罪によって、既にその前提が崩れ始めていることをご存知でしょうか。

有名な事例として、2013年に米Target社が約7000万件もの個人情報を窃取された事件が挙げられます。この事件では、まずTarget社の外部の取引先企業がハッキングを受け、そこで乗っ取られた機器からTarget社の内部ネットワークへの侵入が行われました。VPNではネットワークレベルでのアクセス許可を行うため、意図していないアプリケーションに対してもアクセス可能な状況となり得ます。攻撃者はこの弱点を突いて、大量の顧客情報を盗み出したと言われています。

 

今日の企業活動においては、重要な業務システムに対して取引先企業やリモートワーカーからのアクセスが必要な場面が多々発生します。システムへのアクセスを認証するためにはユーザ名、パスワードだけでなく、多要素認証用のデバイス等も用いられますが、外部の取引企業等に対してこれら全てを使用させることは困難な場合もあります。このような場合に本来の認証の強度を保てないままアクセスを許可してしまうと、ネットワーク全体が侵入の危機に晒されることになります。

 

多くの企業では生産性を上げて利益を伸ばすことが優先されるため、本来必要なセキュリティ対策が犠牲にされがちです。また、強力なセキュリティ対策は管理者、ユーザ双方にとって手間がかかるものです。複雑なパスワードや多要素認証デバイスを必要とした結果、パスワード忘れやデバイスの紛失が増え、管理者もユーザもその対応に追われることとなります。

 

またVPNの構築には、VPNコンセントレータ、IDS/IPS、Proxy、Firewall等の多くのハードウェアを必要とする上、それらを適切に運用していくためのコストも決して安いものではありません。

 

では、どうすれば良いのでしょうか。VPNのセキュリティは鉄壁とは言えず、多くのコストを必要とすることを述べてきました。しかし機密情報の漏えいやそれによる企業イメージの低下は、更に測り知れない損害をもたらします。より良い選択肢は、"Zero Trust"の考え方に基づいてアクセスを認証することです。この第一歩となるのは、ネットワークレベルでアクセスを認証するのではなく、アプリケーションレベルで認証することで、各ユーザにとって必要なアプリケーションに対してのみアクセスを許可することです。また、多要素認証の導入も重要です。Zero Trustに基づいたネットワークの構築は、システムへのアクセスを安全なものにしてくれる上、ハードウェア等の削減にもつながります。

Akamai_Zero_Trust_Architecture.png

こちらのリンクからPDFでもご覧頂けます。

Zero Trustの詳細は別の記事(ゼロ・トラストの概念と「ゆでカエル」)でもご紹介しておりますので、興味のある方はご一読ください。

 

VPNの使用は、残念ながらかつてほど良い選択肢ではなくなってしまいました。VPNによる外部からのアクセスを制限することの難しさや、高い運用コストを考慮すれば、根本から異なるアクセス管理の手法が求められる時代に入ったと言えるでしょう。この課題への答えとして、皆様もZero Trustの実践を検討してみてはいかがでしょうか。

 

Leave a comment