2023年01月12日 2m read

リモートアクセスセキュリティ：VPNの危険性

Dave Greenfield

1. リモートアクセスセキュリティを危険に晒すVPN

世界中何百万人もの人々が、パンデミックによる不自由な生活を未だ強いられており、リモートで仕事をしています。リモートワークという働き方が、多くのワーカーにとって今後のスタンダードとなる可能性も出てきました。このような状況を受けて、企業はVPNを利用したリモート・アクセスを提供するようになりましたが、これは長期的な接続方法として正しい選択なのでしょうか。

VPNは手軽な接続性を提供しますが、企業はその安全性と、濫用が組織にもたらすリスクについても考える必要があります。答えは明確であり、リモートアクセスのセキュリティに関するVPNの危険性や不具合を考慮し、長期的な使用を前提とした代替手段の検討の必要があります。代表的な代替手段である、ZTNA（Zero Trust Network Access）を組み込んだSASE（Secure Access Service Edge）プラットフォームは、VPNのセキュリティ上のリスクや、その他のデメリットを軽減します。

リモートアクセスセキュリティを危険に晒すVPN

VPNは一般に、トラフィックの暗号化と単純なユーザー認証によって最低限のセキュリティを提供するものであり、そのため以下のように多くのリスク要因を抱えています。

VPNユーザーに付与される過剰な権限：
VPNは、特定のリソースへのきめ細かなユーザーアクセスを提供しません。ユーザーがVPNを使用してリモートで作業する場合、VPNに割り当てられた共有IPアドレスプールを介してネットワークにアクセスします。そのため、ユーザーはネットワーク上にある未承認のリソースを「見る」ことができ、パスワードさえあればアクセスできるようになります。

簡素で不十分な認証：
VPNは簡素なユーザー認証を提供しますが、実際にはユーザーとそのデバイスに対するより強固な認証が不可欠です。多要素認証や企業内ディレクトリ・システム、RADIUS（Remote Authentication Dial In User Service）認証サーバーなどによる認証が提供されない場合、攻撃者は盗み出した認証情報を使ってネットワーク中にアクセス可能となります。

ネットワークにマルウェアを拡散する危険性のあるエンドポイント：
接続するデバイスのセキュリティ状態を精査しないため、マルウェアがネットワークに侵入する可能性があります。

ユーザーの自宅はフルセキュリティスタックの範囲外：
企業は、フルスタックのセキュリティソリューションを本社や支社オフィス内に構築しており、そのセキュリティは従業員の自宅には届きません。そのため、適切なセキュリティを維持するには、ネットワーク上のVPNエンドポイントでセキュリティ・スタックを経由し、トラフィックをルーティングする必要があります。非効率的なルーティングや、ネットワーク遅延の増加の他に、セキュリティ負荷分散のため、複数の拠点でセキュリティスタックの購入・導入・監視・保守の必要となる可能性もあります。

障害の原因となるVPNアプライアンス：
大規模なリモートワークをVPNを使ってサポートする企業は、DoS攻撃などによってVPNが故障または機能しなくなった場合、業務の遂行ができなくなるリスクが高まります。アプライアンスが機能しない場合は、すべてのユーザーがアクセスできなくなります。

既知の脆弱性を持つVPNの存在：
企業は、脆弱性を監視し、必要に応じてデバイスを更新し、パッチを適用する責任を負っています。パッチが適用されていない重大な欠陥は、組織を危険にさらす可能性があります。例えばイランのハッカーが、VPNの脆弱性を利用して企業や政府のネットワークにバックドアを設置していることが2020年3月に報告されました。知名度の高い複数のVPNブランドが、この攻撃キャンペーンの標的とされました。

ネットワーク全体を複雑化するVPN：
データセンターに新たなVPNを追加して管理・設定することにより、ネットワーク管理全体の複雑さが増大し、その結果セキュリティ上の脆弱性が拡大する可能性があります。

ネットワーク管理者によるVPN接続の可視化ができない：
IT部門は、VPN接続を可視化できません。これらのアプライアンス上で起こっていることを可視化できないため、問題が発生した場合、快適に利用できないばかりか、誰も根本的な原因を知ることができません。

スプリットトンネルによる攻撃の機会の増大：
組織はVPNの容量制限の緩和のため、スプリットトンネルを採用することがあります。このネットワークアーキテクチャの構成では、トラフィックをVPNクライアントから企業ネットワークに誘導し、さらにゲートウェイを経由してインターネットに接続します。この場合、インターネットと企業ネットワークに同時にアクセスすることが可能となります。そのため、パブリック・ネットワーク上の攻撃者がリモート・コンピュータを危険にさらし、更にそれを利用して内部ネットワークにアクセスするリスクが生じます。

VPNのもうひとつの欠点
セキュリティ上の問題以外にも、VPNは長期的なリモート・アクセス接続に向いていないという欠点があります。例えば、アプライアンスがサポート可能な同時接続ユーザー数に限りがあります。通常、リモートワークを行う従業員の割合が10%以下の企業では、問題になりません。しかし、それ以上の割合の従業員が同時かつ継続的にアクセスを必要とする場合、VPNの容量をすぐに超過してしまう可能性があります。そのため、より多くの、またはより大きなアプライアンスを導入する必要があり、コストと管理要件が大幅に増加します。企業はこの拡張性の欠如に対処するため、スプリットトンネルなどの回避策を使用しますが、これはトラフィックの可視性とセキュリティを低下させる可能性があります。

安全なリモートアクセス実現のための長期的ソリューションとは
VPNはもはや、企業のリモートアクセスにおいて最良の選択肢ではありません。ガートナー社は『Zero Trust Network Access (ZTNA) に関するマーケットガイド』において、2023年までに60%の企業がVPNを廃止し、代わりにZTNAを採用すると予測しています。企業のネットワーク境界の形が変化していることが、ZTNA採用の主な要因です。クラウドワークロード、在宅勤務、モバイル、オンプレミスなどのネットワーク資産を考慮する必要がある場合、VPNアプライアンスのようなポイントソリューションは適したツールではありません。

ZTNAの主なメリットは、誰がどのエンドユーザーデバイスから、どのリソースに、ネットワークアクセスを取得・維持するかをきめ細かく制御できることに凝縮されます。アクセスはセキュリティポリシーに基づき、最小限の権限のみが許可されます。

しかしゼロトラストは、リモートアクセスソリューションの一部にすぎません。ZTNA単体では対処できない、パフォーマンスや継続的なセキュリティに関する問題が存在します。例えば、すべてのトラフィックは宛先に到達する前にセキュリティ検査を通過する必要があります。この場合、ZTNAをSASE（Secure Access Service Edge）ソリューションに完全に統合することが最も効果的です。

SASEは、ZTNA、次世代ファイアウォール（NGFW）などのセキュリティサービスを、SD-WAN、WANの最適化、帯域集約などのネットワークサービスとともに、クラウドネイティブプラットフォームに統合したものです。SASEネットワーク・アーキテクチャを活用する企業は、ZTNAのメリットに加え、管理が簡単かつ拡張性の高い統合ネットワーク、およびセキュリティ・ソリューションの完全なパッケージを利用可能です。CatoのSASEソリューションは、このすべてをクラウドネイティブプラットフォームで提供します。

CatoのSASEソリューションは、リモートユーザーが安全かつ最適化された接続を介して、すべてのビジネスアプリケーションにアクセスすることを、クライアントまたはクライアントレスブラウザからのアクセスにより可能にします。グローバルなクラウドネイティブサービスであるCato Cloudは、専用のVPNインフラを導入することなく、任意の数のユーザーに適用するように拡張可能です。リモートワーカーが、最寄りのCatoのPoP（世界中に75以上のPoPを所有）に接続すると、Catoのグローバルなプライベートバックボーンを経由し、オンプレミスまたはクラウドアプリケーションへのトラフィックが最適にルーティングされます。Catoのセキュリティサービスは、リモートユーザーを脅威から保護し、アプリケーションのアクセス制御を実現します。

要約すると、CatoのSASEプラットフォームは、あらゆるリモートワーカーに最適化された安全性の高いアクセスを迅速かつ簡単に提供することを可能とします。リモートワーカーをどうやってサポートするかについて、詳しくは、無料のCato eBook『Work From Anywhere for Everyone』をご参照ください。