VPNの代替セキュリティ対策

これまでVPN（仮想プライベートネットワーク）は安全安心なネットワーク利用に欠かせない技術としての企業運営に重要な役割を果たしてきました。ところが近年増えつづけているのがVPNの脆弱性を突いたサイバー攻撃。安心かつ安全に利用できる保証がなければ、代替となる対策を検討する必要が出てきます。そうしたなか登場したのが、たとえば「SDP」（ソフトウェア定義境界）や「SASE」（通称サッシー：セキュアアクセスサービスエッジ）と呼ばれる新技術。
今回はこの話題を解説します。

リスク

オフィスなどとの拠点間のデータ通信をセキュアに行うことを前提に設計・構築されたのがVPNテクノロジー。テレワーク・リモートワークが珍しいことではなくなり、各拠点からクラウドサービスへの接続が今や当たり前。そこを踏まえてもVPN利用には複数の限界や課題が見えてきました。

まず一つめが、ネットワーク内部からの攻撃に弱いこと。ネットワーク内のエンドユーザーへの信頼に依存、リソースへのアクセスを許可することで成立しますが、信頼関係が崩れた場合、内部から崩壊しやすいのです。

続いて、VPNゲートウェイのデータ通信処理能力の問題、近年増え続ける接続デバイス数やデータ通信量の増加による通信速度の低下が見られ、レイテンシ（遅延）が発生してクラウドサービス自体の使い勝手が悪くなる要因となっています。

またアクセス制御の難しさもあります。アクセス権限をユーザーごとに詳細レベルまで設定できず、これまでセキュリティ対策としては不完全と指摘されてきました。

SDP（Software Defined Perimeter）

セキュアなリモート接続実現のため考案されたのが「SDP（ソフトウェア定義境界）」と呼ばれる技術。エンドユーザーおよびデバイス自体を最初から信頼できない前提で取り扱う「ゼロトラストセキュリティ」思想に基づき、権限のないエンドユーザーからのネットワークリソースへのアクセスを制限できます。ファイアウォールなどネットワーク境界を定義して防御するセキュリティとは異なる思想です。

本技術ではエンドユーザーと特定リソースとの間に状況に応じたセキュアな暗号化接続を行い、セキュリティを担保。エンドユーザーID、デバイス、状況等を検証してアクセスさせるか否かの判断ができるのです。

たとえばオンプレミスとクラウドが混在するハイブリッドインフラからテレワークやBYOD（私物端末の業務利用）にも対応、セキュリティ強化につながりやすいのです。

SASE（Secure Access Service Edge）

セキュリティとネットワーク統合によるシナジー効果の高いツールとして登場した「SASE（セキュアアクセスサービスエッジ）」。クラウドを介したセキュリティとネットワーク保護機能をまとめて提供するサービスであり、従来型サービスの欠点であったセキュリティとネットワーク保護の分離を克服しています。

こうしたツールを用いれば、どんな場所からのリクエストでもエンドユーザーは必要なリソースにセキュアにアクセス、複数クラウドサービスを併用するマルチクラウド、テレワーク・リモートワークなどの環境でも安心して活用できます。

またネットワークパフォーマンス向上にも有益であることが判明しています。たとえばオフィスでのアプリ利用時に自社データセンターまでネットワークを経由してトラフィックをルーティングすればレイテンシ（遅延）の発生がつきものですが、エンドユーザーは自社データセンターを経由せず、サービスベンダー管理下の最短のPoP（Point of Presence：接続拠点）を経由して通信、データ転送速度の高速化を図りやすい特長が見られます。

こうした新たなセキュリティ対策は、VPNの脆弱性克服への動きとして検討が活発化しており、企業にとって判断の優先順位があがってきています。