ゼロトラストネットワークアクセスの台頭

必要に迫られてつくられたVPNの代替

企業のVPNの落とし穴

世界的なパンデミックは、我々の働き方を劇的かつ急速に変えました。社内アプリケーションやデータへのアクセスに関して、より速く、より安全に、より高い信頼性を、という声が高まっています。米国に拠点を置く雇用主を対象にした2020年5月の調査 では、新型コロナウイルスの影響で、正社員の53%が在宅勤務中であることを示しています。これは2019年と比較すると7倍増です。パンデミック後も、22%がリモートワークを続けると予測されています。この世界的なリモートワークの拡大によって、仮想プライベートネットワーク(VPN)の欠陥が明らかになりました。企業のVPNは低速で、モバイルでの動作も不十分であり、侵害を受けやすい傾向にあります。

VPNを使用すると、VPNクライアント(ユーザーのコンピュータまたはデバイスにインストールされているソフトウェア)を、VPNゲートの背後にあるオンプレミスの(クラウドベースのVPNの場合はクラウドに設置されている)ネットワークアクセスサーバー(共有サーバーにインストールされている専用サーバーまたはソフトウェア)にリンクすることで、内部ネットワークにアクセスできます。VPN はアセットを保護し、内部ネットワークへのユーザーアクセスを管理するために、暗号化された接続を確立することで機能します。VPNに接続するデバイスは全て、暗号化キーを設定し、これらのキーはデバイス間やサーバー間のネットワークで送信されるすべての情報をエンコードし、デコードします。このプロセスによって、ネットワーク接続に少しの遅延が加わり、これがネットワークトラフィックの遅延につながります。

全体的には、VPNパフォーマンスは本当に腹立たしいものになり得ます。多くの場合、生産性とユーザー体験に影響を及ぼすことになります。従業員は、デバイスにログオンするために別の認証情報の使用が必要になります。これにより、ワークフローが中断されます。アプリケーションへの接続は遅く、効率の低下を招きます。VPNがダウンすれば、突然作業停止に陥ります。VPNが、ユーザー自身およびユーザーがアクセスを試みているサーバーから遠く離れている場合、ユーザーはパフォーマンスの低下とレイテンシーを経験します。たとえば、サンフランシスコにいるユーザーがサンフランシスコにあるサーバー上のWebサイトへのアクセスを試みた時に、VPNサービスが日本にある場合、ユーザーのリクエストはローカルサーバーに接続する前に世界を半周して、戻ってくる必要があります。クラウドベースのVPNの場合、ネットワークアクセスサーバーは企業の内部ネットワークとは異なるデータセンターにあります。この手順の追加により、ユーザーとネットワーク間のすべてのリクエストにレイテンシーが加わる可能性もあります。

モバイルデバイスの急増により、ネットワークにアクセスする従業員の個人用デバイスなど、管理する必要のあるデバイス量の膨大化という別の課題が生じています。出張先では時々、ネットワークアクセスが、モバイルVPNクライアントやデバイスとホームオフィス間の距離によって影響を受けることがあります。また、安全な接続が確立された場合でも、遅くて信頼性に欠ける使用感をユーザーが抱く可能性があります。最終的に、企業と従業員は、レイテンシー、ログインの複雑化、生産性の低下に悩まされることになります。

VPNは、世界中に広がる現在の職場環境で求められている、きめ細かいレベルでの安全なユーザーアクセスの管理には理想的ではなく、重大なセキュリティ脆弱性をもたらします。攻撃者は、外部からVPNトラフィックを見たり傍受したりすることはできませんが、万一VPNゲートを通過できて、1 組であってもアカウント資格情報またはデバイスを侵害すると、企業ネットワーク全体を危険にさらし、重大なデータ漏えいを引き起こす可能性があります。これは現在ではさらに深刻な懸念事項になっています。それは、攻撃者がパンデミックを悪用するためです。

現在、多くのビジネスアプリケーションはクラウドでホストされるか、SaaS(Software-as-a-Service)として配信されるため、VPNとの互換性がありません。このようなアプリケーションは、通常、安全なアクセスを提供するために、独自のセキュリティツールとプロトコルを採用しています。しかし、ITチームはこれらのツールやプロトコルを完全に制御することはできないため、これらのアプリケーションにアクセスしているのが誰か、完全に理解するのが困難になります。

ゼロトラストアプローチ

VPN は、従業員が世界中に分散する現状を視野に入れて、きめ細かなレベルの安全なユーザーアクセスを効率的にデプロイおよび管理できるように構築されたわけではありません。ゼロトラストセキュリティとは、ネットワーク境界の内外のどちら側にいるかとは関係なく、プライベートネットワーク上のリソースにアクセスしようとするすべての人物とデバイスの厳格なID検証を必要とするより魅力的な代替ITセキュリティモデルのことです。ゼロトラストアーキテクチャに関連する特定のテクノロジーはありません。これは、いくつかの異なる原則とテクノロジーを組み込んだネットワークセキュリティに対する総合的なアプローチなのです。ゼロトラストネットワーク(ZNTA)を使用してセキュリティリスクを確実に軽減するには、アプリケーションをパブリックビューから隠し、すべての要求を検証するメカニズムを実装する必要があります。高性能なグローバルネットワーク上であれば、さらに理想的です。

Cloudflare Access は、クラウドに依存しない真にグローバルなネットワーク上でZTNAを提供し、200都市、100か国にまたがります。企業のVPNを、内部リソースの前に配置したIA (Identity-Aware) 保護レイヤーに置き換え、VPNクライアントの代わりに従業員のシングルサインオン (SSO) 認証情報を確認します。内部アプリケーションにアクセスする従業員は、ネットワークVPNアプライアンスを介してトラフィックをルーティングするのではなく、最も近いデータセンターに接続します。認証はネットワークエッジで行われます。つまり、わずか100ミリ秒の速さでインターネットに接続しているすべてのユーザーや機器を認証し、安全なアクセスを実現するのです。

Cloudflareデータセンターの近接性により、AccessはVPNを使用せずにユーザーの認証をより迅速に行えると同時に、最速かつ最も安全な認証メカニズムで内部アプリケーションとネットワークを保護できます。ネットワーク遅延に対するペナルティはゼロに。ユーザー制御の面倒な管理プロセスを簡単に。安全、スケーラブル、グローバルなリモートアクセス。内部アプリケーションとリソースをプライベートネットワークに配置する必要もなくなりました。オンプレミス、ハイブリッド、マルチクラウド環境など、どこにでも安全にデプロイできます。

このトピックについて情報がさらに必要な場合「2020年版Gartnerのゼロトラストネットワークアクセスに関するマーケットガイド」を入手してください。

この記事は、現代テクノロジーの意思決定者に影響を与える最新のトレンドとトピックをお届けするシリーズの一部です。