VPNセキュリティ:VPNがどのようにデータを保護し、アクセスを制御するか

バーチャルプライベートネットワーク(VPN)は、データを保護し、ユーザーアクセスを管理するために役立ちますが、VPNの使用に代わるものがいくつかあります。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • バーチャルプライベートネットワーク(VPN)がどのようにセキュリティを強化するか
  • VPNをアクセス制御に利用すると、どのような欠点があるか
  • VPNの代替となるものについて

記事のリンクをコピーする

VPNは、ビジネスに効果的なセキュリティを提供するのですか?

バーチャルプライベートネットワーク(VPN)とは、インターネットセキュリティサービスのことで、プライベートネットワークに接続していても、ユーザーがインターネットにアクセスすることができます。VPNは、暗号化を利用して、安全ではないインターネットインフラストラクチャ上で、安全な接続を作ります。

VPNは企業データを保護し、データへのユーザーアクセスを管理する一つの方法です。VPNは、ユーザーがインターネットを介してアプリとWebプロパティを操作する際にデータを保護し、特定のリソースを非表示にしておくことができます。一般的にアクセス制御のために使われますが、他のIDおよびアクセス管理 (IAM)ソリューションは、ユーザーアクセスの管理でも役立ちます。

VPNはデータ保護にどの程度役立ちますか?

暗号化は、データをスクランブルする方法なので、権限のある関係者だけが情報を理解することができます。読み取り可能なデータを取得し、攻撃者または傍受した人にはランダムなものに見えるように変えます。こうして、暗号化は「シークレットコード」のようになるのです。

A VPN works by establishing encrypted connections between devices. (VPNs often use the IPsec or SSL/TLS encryption protocols.) All devices that connect to the VPN set up encryption keys, and these keys are used to encode and decode all information sent between them. This process may add a small amount of latency to network connections, which will slow network traffic (learn more about VPN performance).

この暗号化によって、公共インターネットインフラストラクチャ全体に広がったとしても、VPN接続はプライバシーが保たれたままでいられるという効果が生まれます。ここで、ちょっと想像してみましょう。アリスさんが自宅で仕事をしていて、務める会社のVPNに接続すると、100マイル(約161km)離れたサーバーに保存されている会社のデータベースにアクセスできます。データベースに向けたアリスさんのリクエスト全てとデータベースの応答が、中間のインターネットエクスチェンジポイント(IXP)を通過するとします。次に、犯罪者が密かにこのIXPに侵入し、通過するデータ全てを監視しているとしましょう(電話回線を盗聴するようなものです)。それでも、アリスさんのデータはVPNのおかげで安全です。犯罪者が見られるものと言えば、暗号化されたデータだけです。

VPNがアクセス制御にどのように役立ちますか?

Acme Co.のオフィスビルに、サーバーAとサーバーBの二つのサーバーがあるとしましょう。Acme.CoはWiFiを使用していないので、デバイスはすべて、ネットワークにアクセスするためにEthernetケーブルを使用しなければなりません。サーバーAは、デスクトップコンピューターとオフィスのプリンターを含めたすべてのデバイスが、ケーブルとルーターを経由して物理的に接続されています。

サーバーAのネットワークに物理的に接続していない人はサーバーAに接続できません。サーバーBについても同様です。ボブさんがオフィスのプリンターを経由してサーバーAに保存してある資料を印刷したい場合、サーバーAとプリンターにアクセスする前に、正しいネットワークに自分のデスクトップコンピューターを接続しなければなりません。サーバーBから資料を取得したい場合は、このネットワークにも同様に接続する必要があります。

VPNは、ネットワークが物理的でなく仮想的である場合を除き、似たような方法で機能します。ボブさんがサーバーAのネットワークに接続しない限り、サーバーAに接続できないように、コンピューターはVPNに接続しなければ、VPNゲートの背後にあるリソースに接続できません。Acme Co.が、物理的なケーブルとルーターの代わりに、WiFiとVPNを使用していたら、ボブさんはサーバーAに接続するために、VPN Aにログインしなければなりませんし、VPN BにアクセスするにはVPN Bに接続する必要があるのです。

このようにVPNが機能するため、多くの企業がアクセス制御にVPNを使っています。つまり、ユーザーがどのリソースにアクセスできるかをコントロールしているということです。企業が複数の異なるVPN設定すると、それぞれのVPNが異なる内部リソースに接続します。ユーザーをこうしたVPNに割り当てることで、ユーザーによってレベルのデータへのアクセス異なります。

アクセス制御と管理は、企業データの保護と安全に欠かせないものです。アクセス制御がなければ、権限のないユーザーが機密データを閲覧したり改ざんしたりできるようになり、結果としてデータ漏えいとなります。

VPNをアクセス制御に利用するとどのような欠点がありますか?

1. 単一障害点。

攻撃者がVPNの外部からVPN暗号化されたトラフィックを監視することができません。ただし、VPNに接続できる場合は、そのネットワークに接続されているリソースにアクセスできます。攻撃者にとっては、VPNゲートのデータにアクセスするには、アカウント一つ、またはデバイス一つ侵害するだけのことです。

Such a situation is often known as the "castle-and-moat" model. Think of a castle that is protected by a moat. Any attacking forces going after the castle will be kept out by the moat, but once they cross the moat, the entire castle is in danger. With a VPN approach to security, the "moat" consists of internal user VPN accounts. If an attacker steals a user's login credentials, then they are able to breach the VPN — they can "cross the moat" and gain access to all connected data.

ゼロトラストセキュリティは、デフォルトでユーザーを信頼せず、安全性を高めた戦略を城と堀アプローチの代わりにすることを目的としたアクセス制御のフレームワークです。ゼロトラストセキュリティの詳細については、こちらをご覧ください。

2. VPNは、管理が面倒です。

複数のVPNを利用すると、大規模な企業では管理が困難になります。規模の大きい組織においては、非常に多くのユーザーが様々なタイプのアクセスが必要となり、ITチームは、1)多くのVPNをセットアップし、維持しなければならなくなるか、2)ユーザーが一度に複数のVPNにログインする必要が出てくるために不便で、デバイスでもネットワークでもパフォーマンスに悪影響を及ぼします。

3. VPNは、きめ細やかさに欠けます。

VPNは、多数のユーザーグループへのアクセスを一度に開くには、適しているでしょう。ただ、実際のところ、ITチームが個々のユーザーに合わせて権限を調節する必要な時もあります。従業員の中には、コードベースにアクセスする必要がある人がいたり、コードベースとコンテンツ管理システム(CMS)にアクセスする必要がある人もいます。また、別の従業員はその両方に加えて、マーケティング自動化プラットフォームにもアクセスが必要ですが、CMSにだけアクセスが必要な人もいます。

従業員それぞれに合わせてVPNを設定するのは、法外な経費、パフォーマンスの低速化、労働集中的など、ムダが多いのです。個々のユーザーのレベルに合わせてアクセスを管理するためには、新しくよりきめ細かいアプローチが必要となります。

従業員がリモートワークができるようにするためのVPNの代替手段がありますか?

VPNはバーチャルであるため、リモートワーカーが必要とする企業リソースにアクセスできるようにするために、よく使われます。しかし、このアプローチは上述の問題に少なくとも一つに直面していることがよくあります。

多くのIDおよびアクセス管理(IAM)ソリューションが、実装が簡単でさらにきめ細かな制御を提供しています。たとえば、Cloudflare Accessは設定が簡単で、パフォーマンスに影響を与えることなく、セキュリティを高めるために構築されています。Cloudflare Accessは、VPNなしでも内部アプリケーションへの安全なアクセスを実現します。VPNの代わりに、Cloudflare グローバルネットワークが内部リソースとデータを保護します。

安全なWebゲートウェイが、危険なコンテンツをフィルタリングし、データが企業の管理下にあるネットワークを離れるのを防止することで、リモートワークをする従業員の安全を保ちます。最後に、ソフトウェア定義ペリメーター(SDP)を実装すると、不正ユーザーに、内部インフラストラクチャとデータを見せないようにします

リモートワークをする従業員のセキュリティについての詳細をご覧ください。