VPNセキュリティ:VPNがどのようにデータを保護し、アクセスを制御するか

バーチャルプライベートネットワーク(VPN)は、データを保護し、ユーザーアクセスを管理するために役立ちますが、VPNの使用に代わるものがいくつかあります。

Share facebook icon linkedin icon twitter icon email icon

VPNセキュリティ

学習目的

この記事を読み終えると、以下のことができます。

  • バーチャルプライベートネットワーク(VPN)がどのようにセキュリティを強化するか
  • VPNをアクセス制御に利用すると、どのような欠点があるか
  • VPNの代替となるものについて

VPNは、ビジネスに効果的なセキュリティを提供するのですか?

バーチャルプライベートネットワーク(VPN)とは、インターネットセキュリティサービスのことで、プライベートネットワークに接続していても、ユーザーがインターネットにアクセスすることができます。VPNは、暗号化を利用して、安全ではないインターネットインフラストラクチャ上で、安全な接続を作ります。

VPNは企業データを保護し、データへのユーザーアクセスを管理する一つの方法です。VPNは、ユーザーがインターネットを介してアプリとWebプロパティを操作する際にデータを保護し、特定のリソースを非表示にしておくことができます。一般的にアクセス制御のために使われますが、他のIDおよびアクセス管理 (IAM)ソリューションは、ユーザーアクセスの管理でも役立ちます。

VPNはデータ保護にどの程度役立ちますか?

暗号化は、データをスクランブルする方法なので、権限のある関係者だけが情報を理解することができます。読み取り可能なデータを取得し、攻撃者または傍受した人にはランダムなものに見えるように変えます。こうして、暗号化は「シークレットコード」のようになるのです。

VPNは、デバイス間で暗号化された接続を確立することで、機能します。(VPNは多くの場合、IPsecまたはSSL/TLS暗号化プロトコル使うことがあります。)VPNに接続するデバイスは全て、暗号化キーを設定し、これらのキーはデバイス間で送信されるすべての情報をエンコード(符号化)し、デコード(符号化)します。このプロセスによって、ネットワーク接続に短いレイテンシーが加わることがあります。これによってネットワークトラフィックに遅延が発生します(VPNパフォーマンスについての詳細をご覧ください)。

この暗号化によって、公共インターネットインフラストラクチャ全体に広がったとしても、VPN接続はプライバシーが保たれたままでいられるという効果が生まれます。ここで、ちょっと想像してみましょう。アリスさんが自宅で仕事をしていて、務める会社のVPNに接続すると、100マイル(約161km)離れたサーバーに保存されている会社のデータベースにアクセスできます。データベースに向けたアリスさんのリクエスト全てとデータベースの応答が、中間のインターネットエクスチェンジポイント(IXP)を通過するとします。次に、犯罪者が密かにこのIXPに侵入し、通過するデータ全てを監視しているとしましょう(電話回線を盗聴するようなものです)。それでも、アリスさんのデータはVPNのおかげで安全です。犯罪者が見られるものと言えば、暗号化されたデータだけです。

VPNがアクセス制御にどのように役立ちますか?

Acme Co.のオフィスビルに、サーバーAとサーバーBの二つのサーバーがあるとしましょう。Acme.CoはWiFiを使用していないので、デバイスはすべて、ネットワークにアクセスするためにEthernetケーブルを使用しなければなりません。サーバーAは、デスクトップコンピューターとオフィスのプリンターを含めたすべてのデバイスが、ケーブルとルーターを経由して物理的に接続されています。

サーバーAのネットワークに物理的に接続していない人はサーバーAに接続できません。サーバーBについても同様です。ボブさんがオフィスのプリンターを経由してサーバーAに保存してある資料を印刷したい場合、サーバーAとプリンターにアクセスする前に、正しいネットワークに自分のデスクトップコンピューターを接続しなければなりません。サーバーBから資料を取得したい場合は、このネットワークにも同様に接続する必要があります。

VPNは、ネットワークが物理的でなく仮想的である場合を除き、似たような方法で機能します。ボブさんがサーバーAのネットワークに接続しない限り、サーバーAに接続できないように、コンピューターはVPNに接続しなければ、VPNゲートの背後にあるリソースに接続できません。Acme Co.が、物理的なケーブルとルーターの代わりに、WiFiとVPNを使用していたら、ボブさんはサーバーAに接続するために、VPN Aにログインしなければなりませんし、VPN BにアクセスするにはVPN Bに接続する必要があるのです。

このようにVPNが機能するため、多くの企業がアクセス制御にVPNを使っています。つまり、ユーザーがどのリソースにアクセスできるかをコントロールしているということです。企業が複数の異なるVPN設定すると、それぞれのVPNが異なる内部リソースに接続します。ユーザーをこうしたVPNに割り当てることで、ユーザーによってレベルのデータへのアクセス異なります。

アクセス制御と管理は、企業データの保護と安全に欠かせないものです。アクセス制御がなければ、権限のないユーザーが機密データを閲覧したり改ざんしたりできるようになり、結果としてデータ漏えいとなります。

VPNをアクセス制御に利用するとどのような欠点がありますか?

1. 単一障害点。

攻撃者がVPNの外部からVPN暗号化されたトラフィックを監視することができません。ただし、VPNに接続できる場合は、そのネットワークに接続されているリソースにアクセスできます。攻撃者にとっては、VPNゲートのデータにアクセスするには、アカウント一つ、またはデバイス一つ侵害するだけのことです。

こうした状況は、「castle-and-moat (城と堀)」モデルとして知られていることがよくあります。お堀で保護されているお城を思い浮かべてください。お城に向けられる攻撃力はお堀で防ぐことができますが、一度お堀を超えられてしまったら、城全体は危険にさらされることになります。セキュリティに対するVPNアプローチで、「お堀」を構成するのは、内部ユーザーVPNアカウントです。攻撃者がユーザーのログイン認証情報を盗み、VPNを侵害できる場合、「お堀を超え」て、接続するデータすべてにアクセスができてしまいます。

ゼロトラストセキュリティは、デフォルトでユーザーを信頼せず、安全性を高めた戦略を城と堀アプローチの代わりにすることを目的としたアクセス制御のフレームワークです。ゼロトラストセキュリティの詳細については、こちらをご覧ください。

2. VPNは、管理が面倒です。

複数のVPNを利用すると、大規模な企業では管理が困難になります。規模の大きい組織においては、非常に多くのユーザーが様々なタイプのアクセスが必要となり、ITチームは、1)多くのVPNをセットアップし、維持しなければならなくなるか、2)ユーザーが一度に複数のVPNにログインする必要が出てくるために不便で、デバイスでもネットワークでもパフォーマンスに悪影響を及ぼします。

3. VPNは、きめ細やかさに欠けます。

VPNは、多数のユーザーグループへのアクセスを一度に開くには、適しているでしょう。ただ、実際のところ、ITチームが個々のユーザーに合わせて権限を調節する必要な時もあります。従業員の中には、コードベースにアクセスする必要がある人がいたり、コードベースとコンテンツ管理システム(CMS)にアクセスする必要がある人もいます。また、別の従業員はその両方に加えて、マーケティング自動化プラットフォームにもアクセスが必要ですが、CMSにだけアクセスが必要な人もいます。

従業員それぞれに合わせてVPNを設定するのは、法外な経費、パフォーマンスの低速化、労働集中的など、ムダが多いのです。個々のユーザーのレベルに合わせてアクセスを管理するためには、新しくよりきめ細かいアプローチが必要となります。

従業員がリモートワークができるようにするためのVPNの代替手段がありますか?

VPNはバーチャルであるため、リモートワーカーが必要とする企業リソースにアクセスできるようにするために、よく使われます。しかし、このアプローチは上述の問題に少なくとも一つに直面していることがよくあります。

多くのIDおよびアクセス管理(IAM)ソリューションが、実装が簡単でさらにきめ細かな制御を提供しています。たとえば、Cloudflare Accessは設定が簡単で、パフォーマンスに影響を与えることなく、セキュリティを高めるために構築されています。Cloudflare Accessは、VPNなしでも内部アプリケーションへの安全なアクセスを実現します。VPNの代わりに、Cloudflare グローバルネットワークが内部リソースとデータを保護します。

安全なWebゲートウェイが、危険なコンテンツをフィルタリングし、データが企業の管理下にあるネットワークを離れるのを防止することで、リモートワークをする従業員の安全を保ちます。最後に、ソフトウェア定義ペリメーター(SDP)を実装すると、不正ユーザーに、内部インフラストラクチャとデータを見せないようにします

リモートワークをする従業員のセキュリティについての詳細をご覧ください。