コロナ禍によるリモートワーク需要の増加により、低コストで仮想的な専用線接続を実現するVPNの利用が急増。インターネットVPNとIP-VPNに大別できるVPNには、それぞれメリットとデメリットが存在する。この記事では、インターネットVPNとIP-VPNの違いや、ポストVPNとして脚光を浴びている技術について解説する。
VPNとは
「VPN」とは「Virtual Private Network」の略で、日本語では「仮想専用線」と訳される。秘匿性・機密性の高いデータを安全に通信するために設けられた、一対一で通信を行うために敷設する専用線を仮想的に実現する技術だ。専用線は企業・組織の拠点間を結び、重要なデータの通信に使われていたが、専用線を敷設、維持するためのコスト負担が重荷となっていた。
専用線を代替するものとして「広域イーサネット(WAN)」もあるが、これも専用線と同様に拠点間を閉域型ネットワークで接続することで、高いセキュリティレベルを実現する。また、一定の通信帯域が確保されていることから、通信速度も安定する傾向にある。通信ではデータリンク層(L2)にて接続するため、さまざまなプロトコルに柔軟に対応できる。ただし、専用線と同じく維持コストの負担の大きさがデメリットと言える。
一方で、既存の一般回線を用いながら、仮想的な専用線を構築する技術がVPNだ。一般回線を利用するため、専用線や広域イーサネットと比較すると、コスト的には優位性がある。
VPNは送信側、受信側それぞれに設置した機器で通信データに「カプセル化」と呼ばれる処理を行う。その結果、第三者からは傍受できない仮想的なトンネルが形成され、そのトンネルの中を通って通信することで安全性を担保する。また、専用線は物理層(L1)接続であるのに対し、VPNはネットワーク層(L3)接続であり、IPプロトコルで通信することになる。導入にあたって、その違いを理解しておく必要があるだろう。
インターネットVPNとIP-VPNの違いとは
VPNはその実現方法によって、インターネットVPNとIP-VPNに大別される。それぞれの違いは次のとおりだ。
インターネットVPN
インターネットVPNは、その名のとおり、既存のインターネット回線を活用したVPNであり、コスト負担を抑えられることがメリットだ。ただし、通信速度や品質はインターネット環境に左右される。
また、インターネットVPNの一種として、SSL-VPNと呼ばれるタイプのVPNもある。SSL-VPNは、VPN接続をする2点間をSSL暗号通信で接続するのが特長であり、セキュリティはより強固となる。
いずれも、クライアント側は専用ソフトウェアの導入が原則不要で、手軽にVPNを構築できることがメリットだ。単にVPNといった場合は、SSL-VPNを含むインターネットVPNを指すことが多い。
IP-VPN
IP-VPNは、通信経路としてサービス事業者の閉域型ネットワークを利用するVPNである。VPN通信のための帯域が確保されていることで、インターネットVPNよりも安定した通信を実現する。専用線に近い環境での通信を行えることがIP-VPNのメリットだが、インターネットVPNと比較するとコスト負担が大きくなりがちだ。
VPNのメリットとデメリット
VPNを導入することによって得られる主なメリットとデメリットは以下のように整理できる。
メリット
1)安全な通信の実現
セキュアなアクセスを実現するために、トンネリング技術によって外部から見えない仮想的なトンネルを作り、暗号化技術を採用しているため盗聴などのリスクが低く、安全な通信が可能だ。
2)リモートアクセスへの適性
パソコンだけでなく、モバイル端末からのアクセスも可能であり、リモートアクセスのインフラとして適している。働き方改革やコロナ禍によってリモートアクセスの需要が増え、VPNのユーザー数は増加傾向にある。
3)導入・運用コストが抑えられる
物理的な回線で接続する専用線と比べて、既存のネットワークを利用して仮想的な専用線を構築するため、導入コストや運用コストを抑制できる。
デメリット
1)導入機器・ソフトウェアの脆弱性
過去にはVPN機器やソフトウェアに脆弱性が生じ、攻撃者に狙われて被害を受けた事例もあり、VPN機器そのものがセキュリティホールとなる可能性がある。
2)アカウント情報の漏えい
ログインに利用するVPNのアカウント情報がEmotetなどのマルウェアによって窃取されてしまうと、なりすましによる不正アクセスが生じる懸念もある。
3)通信環境のパフォーマンス
インターネットVPNは一般回線を用いることから、接続ユーザー数が増えると通信速度が低下したり、通信が不安定になったりする恐れがある。また、VPN機器の性能によっても、パフォーマンスが左右される。
ポストVPNとして注目を集めるZTNA
多くの企業で利用されているVPNだが、VPN機器の脆弱性を狙ったランサムウェア攻撃が一時期、相次いだことからセキュリティ上の懸念を考慮し、VPN利用を見直す機運も高まっている。
また、VPNではIDとパスワードだけで認証されるサービスも少なくないことから、アカウント情報を窃取されてしまうと、不正アクセスによって社内ネットワークへのアクセスが可能となってしまう。その結果、社内の別サーバーへの侵入といったラテラルムーブメント(水平展開または横展開)を容易に許してしまうこともVPNのデメリットだ。
そこで代替技術として注目が集まっているのが、ZTNA(Zero Trust Network Access)である。
ZTNAはどのような通信も信用しない(ゼロトラスト)という新しいセキュリティ概念に基づいている。このゼロトラスト・セキュリティの考えを元に、従来の境界型防御一辺倒のセキュリティ対策を改め、通信自体をその都度検証していくことで、高いセキュリティレベルを保ちつつリモートアクセスを実現する。
ZTNAでは、ユーザーごとに付与する権限を設定した上で、ログイン時に多要素認証を用いるなどして認証を強化する。また、アクセスする端末の信頼性を評価し、信頼性の低い端末からのネットワークへのアクセスを拒否する仕組みやユーザーの通信動向をコンテキストとして分析し、必要以上のアクセスを許可しないといった機能もある。こうした「リモートアクセスポリシー」に基づいて動的にアクセス可否を判断することができるのがZTNAの大きな特長だ。
ZTNA以外のVPNの代替選択肢
今後、VPNがすべてZTNAをはじめとした技術に代替されるわけではない。VPNで十分なケースでは、今後もVPNが利用されていくことだろう。また、コスト面でメリットのあるインターネットVPNと、セキュリティとパフォーマンスに優れたIP-VPN、それぞれのメリットとデメリットを勘案した上で利用していくことが重要だ。
ただし、企業・組織におけるデジタル利用のさらなる加速、業務環境の変化からも、今後はより一層、セキュリティレベルの高いリモートアクセスが求められることになるはずだ。ZTNA以外にも、VPNに代わる選択肢として以下のようなソリューションがある。
SDP(Software Defined Perimeter)
SDPとはネットワークの境界(Perimeter)をソフトウェアによって仮想的・動的に構成する技術であり、ゼロトラストネットワークの考え方に基づいたソリューションの1つだ。ソフトウェアによって、ユーザーとアクセスするサーバーとの間にネットワーク接続を構築する。通信の度にネットワークを確立し、通信が終わると切断するため、攻撃対象とされにくい。
SASE(Secure Access Service Edge)
ネットワークサービスとセキュリティサービスを統合し、クラウドサービスとして提供するという考え方。ゼロトラストの概念に基づいたものであり、ゼロトラストを実現する具体的なソリューションの1つである。
企業・組織の状況によっては、ZTNAとSDPを組み合わせて利用するという選択も考えられるだろう。今後、ゼロトラストはトレンドで終わらず、セキュリティの標準となっていくことが見込まれている。自社の事業内容、従業員の働き方などを踏まえた上で、最適な選択をしてほしい。
