Zero Trustネットワークアクセスの台頭

必要に迫られてつくられたVPNの代替

企業のVPNの落とし穴

世界的なパンデミックは、我々の働き方を劇的かつ急速に変えました。社内アプリケーションやデータへのアクセスに関して、より速く、より安全に、より高い信頼性を、という声が高まっています。米国に拠点を置く雇用主を対象にした2020年5月の調査で、新型コロナウイルス感染症の影響で、正社員の53%が在宅勤務中だったという結果が出ています。これは2019年と比較すると7倍増です。パンデミック後も、22%がリモートワークを続けると予想されています。この世界的なリモートワークの拡大によって、仮想プライベートネットワーク（VPN）の欠陥が明らかになりました。企業のVPNは低速で、モバイルでの動作も不十分であり、侵害を受けやすい傾向にあります。

VPNを使用すると、VPNクライアント（ユーザーのコンピュータまたはデバイスにインストールされているソフトウェア）を、VPNゲートの背後にあるオンプレミスの（クラウドベースのVPNの場合はクラウドに設置されている）ネットワークアクセスサーバー（共有サーバーにインストールされている専用サーバーまたはソフトウェア）にリンクすることで、内部ネットワークにアクセスできます。VPN はアセットを保護し、内部ネットワークへのユーザーアクセスを管理するために、暗号化された接続を確立することで機能します。VPNに接続するデバイスは全て、暗号化キーを設定し、これらのキーはデバイス間やサーバー間のネットワークで送信されるすべての情報をエンコードし、デコードします。このプロセスによって、ネットワーク接続に少しの遅延が加わり、これがネットワークトラフィックの遅延につながります。

全体的には、VPNパフォーマンスは本当に腹立たしいものになり得ます。多くの場合、生産性とユーザー体験に影響を及ぼすことになります。従業員は、デバイスにログオンするために別の認証情報の使用が必要になります。これにより、ワークフローが中断されます。アプリケーションへの接続は遅く、効率の低下を招きます。VPNがダウンすれば、突然作業停止に陥ります。VPNが、ユーザー自身およびユーザーがアクセスを試みているサーバーから遠く離れている場合、ユーザーはパフォーマンスの低下とレイテンシーを経験します。たとえば、サンフランシスコにいるユーザーがサンフランシスコにあるサーバー上のWebサイトへのアクセスを試みた時に、VPNサービスが日本にある場合、ユーザーのリクエストはローカルサーバーに接続する前に世界を半周して、戻ってくる必要があります。クラウドベースのVPNの場合、ネットワークアクセスサーバーは企業の内部ネットワークとは異なるデータセンターにあります。この手順の追加により、ユーザーとネットワーク間のすべてのリクエストにレイテンシーが加わる可能性もあります。

モバイルデバイスの急増により、ネットワークにアクセスする従業員の個人用デバイスなど、管理する必要のあるデバイス量の膨大化という別の課題が生じています。出張先では時々、ネットワークアクセスが、モバイルVPNクライアントやデバイスとホームオフィス間の距離によって影響を受けることがあります。また、安全な接続が確立された場合でも、遅くて信頼性に欠ける使用感をユーザーが抱く可能性があります。最終的に、企業と従業員は、レイテンシー、ログインの複雑化、生産性の低下に悩まされることになります。

VPNは、世界中に分散する現在の職場環境で求められるきめ細かなレベルで安全なユーザーアクセスを管理するには理想的でなく、重大なセキュリティ脆弱性が発生します。攻撃者は、外部からVPNトラフィックを見たり傍受したりすることはできませんが、万一VPNゲートを通過し、アカウント資格情報を1セットまたはデバイスを1つでも侵害できれば、企業ネットワーク全体を危険に陥れ、重大なデータ漏えいを引き起こすことができます。攻撃者がパンデミックに乗じる今日では、この懸念がさらに強まっています。

現在、多くのビジネスアプリケーションはクラウドでホストされるか、SaaS（Software-as-a-Service）として配信されるため、VPNとの互換性がありません。このようなアプリケーションは、通常、安全なアクセスを提供するために、独自のセキュリティツールとプロトコルを採用しています。しかし、ITチームはこれらのツールやプロトコルを完全に制御することはできないため、これらのアプリケーションにアクセスしているのが誰か、完全に理解するのが困難になります。

Zero Trustアプローチ

VPN は、従業員が世界中に分散する現状を視野に入れて、きめ細かなレベルの安全なユーザーアクセスを効率的に展開・管理できるように構築されたわけではありません。Zero Trustセキュリティは、プライベートネットワーク上のリソースにアクセスしようとするすべての人やデバイスについて、その所在がネットワーク境界の内か外かに関わらず厳格なID検証を必要とする、より魅力的な代替ITセキュリティモデルのことです。Zero Trustアーキテクチャには、特定の関連テクノロジーはありません。いくつかの異なる原則とテクノロジーを組み込んだ、ネットワークセキュリティに対する総合的なアプローチなのです。Zero Trustネットワークアクセス（ZTNA）でセキュリティリスクを確実に軽減するには、アプリケーションを公衆の目から隠し、すべてのリクエストを検証するメカニズムを実装する必要があります。高性能なグローバルネットワーク上であれば、さらに理想的です。

Cloudflare Accessは、クラウドに依存しない真にグローバルなネットワーク上でZTNAを提供し、310都市、120か国にまたがります。企業のVPNを、内部リソースの前に配置したIA (Identity-Aware) 保護レイヤーに置き換え、VPNクライアントの代わりに従業員のシングルサインオン (SSO) 認証情報を確認します。内部アプリケーションにアクセスする従業員は、ネットワークVPN機器を介してトラフィックをルーティングするのではなく、最寄りのデータセンターに接続します。認証はネットワークエッジで行われ、インターネットに接続しているあらゆるユーザーや機器をわずか50ミリ秒以内で認証し、安全なアクセスを実現します。

Cloudflareデータセンターの近接性により、AccessはVPNを使用せずにユーザーの認証をより迅速に行えると同時に、最速かつ最も安全な認証メカニズムで内部アプリケーションとネットワークを保護できます。ネットワーク遅延に対するペナルティはゼロに。ユーザー制御の面倒な管理プロセスを簡単に。安全、スケーラブル、グローバルなリモートアクセス。内部アプリケーションとリソースをプライベートネットワークに配置する必要もなくなりました。オンプレミス、ハイブリッド、マルチクラウド環境など、どこにでも安全にデプロイできます。

この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。

記事の要点

この記事を読めば、以下が理解できます。

• 従来のVPN技術の落とし穴

• Zero Trustがセキュリティ標準をどう変えたか

• グローバルクラウドネットワークを実装するメリット

関連リソース

• Omdiaマーケットレーダー: Zero Trustアクセス

• Forrester Opportunity Snapshot: Zero Trust

• Zero Trustセキュリティとは？

• Cloudflare ZTNAプラットフォーム