リモートアクセスセキュリティにより、ユーザーとデバイスは企業ネットワークの外から社内リソースに安全にアクセスできます。
この記事を読み終えると、以下のことができるようになります。
記事のリンクをコピーする
リモートアクセスセキュリティ(「セキュアリモートアクセス」と呼ばれることもある)は、許可されたユーザーとデバイスのみが企業ネットワークの外部から内部リソースにアクセスするようにする技術とプロセスで構成されています。リモートワークとハイブリッドワークの拡大に伴い、リモートアクセスのセキュリティの重要性が高まっています。
多くの企業が、広範なセキュリティ変革の一環としてリモートアクセスセキュリティ機能を実装しました。これまで、企業のセキュリティは「城と堀」モデルをよく使用していました。これは、ネットワーク(「城」)の内のすべてのユーザーがデータ、アプリ、その他のリソースに自由にアクセスできるというものでした。境界セキュリティ(「お堀」を含む)が他のユーザーを寄せ付けず、防御側がセキュリティのハードルを下げることを決断しない限り、リソースへのアクセスを妨げていました。
現在、企業は城壁を越えて毎日働いている多くの人たちを抱えています。Zero Trustセキュリティモデルの一部としてリモートアクセスセキュリティ機能を導入することで、こうした企業はアプリやデータをリスクにさらすことなく、遠隔地のユーザーをより適切にサポートすることができます。
リモートアクセスセキュリティは以下のような複数の機能を採用することができます。
ITまたはセキュリティチームは、役割に基づいて特定のリソースへのアクセス権をユーザーに付与するポリシーを設定できます。例えば、在宅勤務している経理チームのメンバーが、会計ソフトウェアへのアクセス権を与えられている場合がありますが、会社のWebサイトの変更に使用されるコンテンツ管理システム(CMS)へのアクセス権は与えられません。ロールベースのアクセスポリシーは、最小権限の原則に従っています。この原則では、ユーザーは自分の仕事を実行するために絶対に必要なコンテンツにのみアクセスでき、それ以上にはアクセスできません。
これらのポリシーは、内部脅威を防止し、外部攻撃者による漏洩の被害を制限するのに役立ちます。万一、誰かが従業員の資格情報を盗んだ場合、盗んだ者は限られたリソースにしかアクセスできません。
リモートアクセスのセキュリティには、単なるユーザー名とパスワード以上のものが必要になります。ほとんどのリモートアクセスセキュリティ実装には、多要素認証(MFA)が含まれます。MFAは、ユーザーに1つまたは2つの追加の認証要素を使用して本人確認を行うことを要求します。場合によっては、ユーザーは、テキスト、物理的なUSBキー、または顔認識機能で送信されるワンタイムパスコードを使用する必要があります。MFAは、盗まれたパスワードだけでは、犯罪者が企業ネットワークにアクセスできないようにするのに役立ちます。
リモートアクセスセキュリティには、適応型認証や条件付きアクセスポリシーを含めることもできます。例えば、誰かが通常とは異なる場所からログインしている場合、リソースにアクセスするために再認証が必要になるかもしれません。サイバー攻撃のリスクが高い国へ出張している場合、非常に機密性の高いシステムにアクセスできない可能性があります。
一部の企業では、従来の仮想プライベートネットワーク(VPN)サービスを使い続けています。しかし、リモートアクセスセキュリティでは、Zero Trustセキュリティモデルのコア要素であるZero Trustネットワークアクセス(ZTNA)技術を使用することでより優れた対策をとることができます。VPNサービスは、時代遅れの「城と堀」モデルと同様に動作します。ユーザーはログインすれば、企業ネットワーク内を自由に動けます。これに対し、ZTNAは、接続されたユーザーとデバイスに、要求してアクセスを許可されたリソースへのアクセス権のみを付与します。
リモートユーザーの場合、複数のアプリケーションに個別にログインすると、ワークフローが大幅に遅くなる可能性があります。シングルサインオン(SSO)機能により、ユーザーは一度ログインするだけで、複数のサービスとしてのソフトウェア(SaaS)およびオンプレミスアプリケーションにアクセスできます。
リモートアクセスセキュリティは、ユーザーとデバイスの動作を監視・分析し、通常とは異なる動作や潜在的に危険な動作にフラグを立てるツールを利用できます。例えば、企業は、ユーザーとエンティティの動作分析(UEBA)機能、セキュアサービスエッジ(SSE)プラットフォーム、セキュリティ情報およびイベント管理(SIEM)システム、拡張型検出・対応(XDR)ツールなどを採用することができます。異常な挙動が識別された場合、これらのツールは自動的にリソースへのアクセスをブロックしたり、管理者に警告したり、他の対応を開始したりすることができます。
リモートアクセスセキュリティは、企業のセキュリティ境界の外側から社内リソースにアクセスするユーザーを抱える組織には欠かせません。
リモートアクセスセキュリティ機能は、より柔軟な業務をサポートしながら、企業がセキュリティ体制全体を強化するのに役立ちます。適切に実装することで、企業は以下のことが可能になります。
リモートアクセスセキュリティの有効性は、その実装に大きく依存します。企業が主要機能の実装に失敗したり、より大きなセキュリティフレームワークへのリモートアクセスの統合に失敗したりすると、企業はセキュリティギャップを経験するだけでなく、ユーザーを苛立たせ、管理者にとっても複雑さを増すことになりかねません。
企業は、次の問題に直面する可能性があります。
リモートアクセスセキュリティのために従来のVPNサービスを未だに使っている企業は、ネットワークの多くがむき出しのままになっています。攻撃者が従業員のVPN資格情報を盗んだ場合、攻撃者は企業ネットワーク全体にアクセスできる可能性があります。ZTNAは、従業員の役割と権限に応じてネットワークアクセスを制限するため、VPNよりも優れた代替手段です。
MFAは、ユーザーが常に複数の方法でアイデンティティを確認するように求めるため、ユーザーはストレスが溜まります。ユーザーエクスペリエンスを向上させるために、管理者は、MFAを特定の状況(ユーザーが通常の場所外で作業している場合など)に制限するために適応型認証を実装し、認証要求の数を減らすためにSSOを実装することができます。
企業によっては、複数のベンダーから複数のソリューションまたはサービスを購入する場合があります。そのような場合、管理の複雑さが増す一方で、セキュリティギャップが生じる可能性があります。単一のプラットフォーム内でリモートアクセスセキュリティ機能を実装することで、これらの課題を軽減または排除することができます。
リモートアクセスセキュリティ機能は、企業ネットワークの境界を超えて運用されているユーザーとデバイスに対応するように設計されています。しかし、多くの企業はネットワーク内のエンティティのアクセスも管理する必要があります。ほとんどの企業では、場所を問わずユーザーとデバイスを処理できるツールを実装することで、最高の利益を得ることができます。
リモートアクセス機能は、企業ネットワーク外で運用されているユーザーとデバイスを検証することで、Zero Trustモデルをサポートします。ただ、リモートアクセス機能だけでは、Zero Trustを完全に実装するには不十分です。企業は、ネットワーク内のエンティティを検証する機能でリモートアクセスセキュリティを補完する必要があります。
ZTNAは、そのエンティティが企業の境界の内側にいるか外側にいるかにかかわらず、ユーザーとデバイスにアプリケーションへのアクセスを許可できます。ZTNAは、ユーザーのIDと役割の検証に加え、デバイス、ユーザーの位置、リクエストのタイミングと頻度、リクエストされたアプリとデータ、その他の要素を評価します。
ZTNAソリューションは、リモートアクセスセキュリティに不可欠な追加機能をいくつか提供します。例えば、MFA機能に加えて、IDプロバイダー(IdP)、SSOプラットフォーム、またはその両方との統合を提供することができます。適切なZTNAソリューションを使用することで、企業はユーザーエクスペリエンスを効率化しながら、エンティティの検証を強化することができます。
IDおよびアクセス管理(IAM)は、ユーザーIDを検証し、ユーザー権限を管理します。単一の製品で提供される場合もあれば、プロセス、アプリケーション、クラウドサービス、ハードウェアを組み合わせて提供される場合もあります。
IAMは、リモートアクセスセキュリティの構成要素です。ところが、リモートアクセスセキュリティがリモートユーザーを対象とするのに対し、IAMは作業場所に関係なくすべてのユーザーに使用できます。
CloudflareのZTNAサービスにより、企業はZero Trustセキュリティモデルの一部として、リモートアクセスセキュリティを実装することができます。リモートワークの従業員、出張する従業員、請負業者、パートナーは、リソースが企業のデータセンターにあるかクラウドにあるかにかかわらず、どこからでも企業リソースに安全に接続できます。Cloudflare Accessの詳細についてご覧ください。
利用開始
アクセス管理について
ゼロトラストについて
VPNリソース
用語集