企業向けリモートアクセス技術の形態

世界的なパンデミックが起こるずっと以前から、少なくとも企業は一部の従業員にリモートワーク環境を提供していました。出張中の営業担当や、週に数日自宅で仕事をする在宅勤務者など、ごく一部の社員はリモートで会社のリソースにアクセスする必要がありました。

パンデミックにより一瞬にして、世界中に何百万人ものリモートワーカーが誕生したようです。従業員は、できる限り自宅から隔離状態で仕事をするように命ぜられました。企業は突如として、世界中のどこからでも同時にアクセスする、数百、数千のユーザーに対してリモートアクセスを提供することを余儀なくされました。すでに少数のリモートワーカーにVPNサービスを提供していた多くの企業は、自宅に隔離されたより多くの従業員向けに機能拡張を急ぎました。しかし現在、VPNは企業にとって最適なリモートアクセス技術なのか、他の技術の方がより優れた長期的ソリューションを提供できるのか、考え直す時期に来ているのではないでしょうか。

長期的なリモートアクセスが一定期間常態化する可能性

ナレッジワーカーの一部は従来のオフィスに戻りつつありますが、それ以上に多くの従業員がまだ自宅から仕事を続けており、今後もしばらくその状態が続くことになります。Global Workplace Analyticsは、2021年末までに労働人口の25~30%が週に数日、自宅から仕事をするだろうと予測しています。また、従来のオフィスに戻ることなく、この先もずっと在宅勤務(WFH)を続けることを選ぶ人もいるかもしれません。

企業はこれに対応するため、使いやすく高パフォーマンスで、安全性の高いネットワークアクセスといった、在宅勤務者にオフィスと同様のエクスペリエンスを提供するリモートアクセスソリューションを導入する必要があります。さらにそのソリューションは、技術者を増やすことなく、費用対効果が高く、管理が簡単でなければいけません。

VPNは依然、選択肢の1つとしてありますが、その他はどうでしょう。他の選択肢としては、アプライアンスベースのSD-WANやSASEが挙げられます。それぞれのアプローチについて解説します。

VPNはあらゆる従業員をサポートする設計ではない

一部の従業員にとっては便利なリモートアクセスソリューションですが、多人数の従業員にリモートアクセスを提供するには非効率的な技術です。VPNはポイント・ツー・ポイント接続用に設計されているため、リモートワーカーとデータセンター内のネットワークアクセスサーバー(NAS)間の安全な接続には、それぞれ独自のVPNリンクが必要です。各NASの同時接続可能なユーザー数には限りがあるため、大規模なリモートユーザーに対応するには、本格的なデータセンターのインフラが必要となる場合があります。

VPN接続では、ユーザーとVPN間のあらゆる通信が暗号化されます。この暗号化処理には時間がかかるため、使用する暗号の種類によっては、インターネット通信に大幅な遅延が生じる可能性があります。リモートユーザーが、IaaSやSaaSといったアプリケーションやサービスにアクセスの必要がある場合に発生する遅延はより重大です。トラフィックは、エンドユーザーとNASの間を移動してからクラウドに送信され、帰りはその逆経路を取るため、複雑化します。

VPNは、特定のリソースへのきめ細かいアクセス制御のオプションを持たないにも関わらず、ネットワーク全体への過剰なアクセス権を提供してしまうという重大な問題点を持っています。いくつかの有名なデータ流出事件に、VPNを使って盗まれた認証情報が関与しています。攻撃者は正規の認証情報を使用し、VPN経由で接続することで、標的とする企業ネットワークに侵入し、自由に移動することができたのです。さらに、接続するデバイスのセキュリティ状態を確認することができないため、安全でないユーザーデバイスを経由してマルウェアがネットワークに侵入する可能性もあります。

リモートユーザートラフィックのルーティングのためのインテリジェンスを提供するSD-WAN

在宅ワーカーにリモートアクセスを提供するためのもう一つの選択肢として、アプライアンスベースのSD-WANが挙げられます。SD-WANは、VPNでは実現しないインテリジェンスな接続を提供します。Doyle Researchの主席アナリストであるLee Doyle氏は、ホームオフィスのユーザーを企業ネットワークに接続するためにSD-WANを使用するメリットについて、次のように概説しています。

  • 致命的要素となるアプリケーションや、遅延の影響を受けやすいアプリケーションの優先順位付け
  • クラウドベースサービスへのアクセスの高速化
  • 暗号化、VPN、ファイアウォール、クラウドベースのセキュリティとの統合によるセキュリティ強化
  • IT管理者向け一元管理ツール

アプライアンスベースのSD-WANの注意点として、主に拠点の接続用に設計されていることです(在宅の個人ユーザーにも対応が可能)。しかし、企業がSD-WANを採用していない場合、何百、何千もの在宅ベースのユーザーに対する実装や設定が簡単にできる技術ではありません。さらに、多種多様な通信機器やセキュリティ機器に巨額の投資が必要となります。

よりシンプルかつ安全で、手軽に拡張可能なソリューションを提供するSASE

CatoのSecure Access Service Edge(SASE)プラットフォームは、多くの従業員が同時にリモートアクセスする場面で、VPNに代わる優れた選択肢となります。このプラットフォームは、スケーラブルなアクセス、最適化された接続性、および統合的な脅威防止といった、大規模リモートアクセスを継続的にサポートするために必要な要件を提供します。 

Catoのプラットフォームを使って在宅勤務に対応する場合、企業はリモートユーザーの数に関係なく、簡単に素早く拡張が可能です。地域ごとにハブや、VPNコンセントレータを設置する必要はありません。Catoが所有する、世界規模で分散した数十のPoP(Point of Presence)上にSASEサービスは構築されており、あらゆるロケーションとユーザーに幅広いセキュリティとネットワークサービスを提供します。CatoのPoPに複雑なスケーリングは組み込まれており、組織が購入、設定、導入するインフラストラクチャはありません。エンドユーザーにリモートアクセスを提供する場合、ユーザーのデバイスにクライアントエージェントをインストールするか、セキュアブラウザ経由で特定のアプリケーションにクライアントレスでアクセスできるようにするだけです。 

ゼロトラストネットワークアクセスを採用したCato SASEプラットフォームは、ユーザーが必要とする特定のリソースやアプリケーションへのアクセスを許可します。このきめ細やかなセキュリティは、SASEが要求するネットワークアクセスに対するIDベース管理型アプローチが実現します。すべてのトラフィックは、SASEサービスに組み込まれた完全なネットワークセキュリティスタックを通過します。そのため、リモートユーザーからのトラフィックにも、多要素認証と完全なアクセス制御、および脅威防御が適用されます。ユーザーに最も近いPOP内ですべての処理が行われ、企業のネットワークとセキュリティポリシーが完全に適用されます。これにより、ネットワーク上の特定のセキュリティチョークポイントにトラフィックを強制的に送り込むことで起こる「トロンボーン効果」を排除することが可能です。さらにIT管理者は、企業内WANのすべてのトラフィックを一貫して可視化し、制御することができます。 

長短期の在宅勤務をサポートするSASE

従業員の一部がオフィスに戻りはじめている一方、多くの従業員は未だ在宅勤務を続けており、さらに継続する可能性すらあります。Cato SASEプラットフォームは、安全性が不十分かつ不便なVPNを経由することなく、通常のネットワーク環境にアクセスすることができる理想的な手段です。

Related Topics