VPNとゼロトラストの違いを解説｜企業が導入すべきセキュリティ対策はどちらか？

VPNの基礎知識

VPN（Virtual Private Network）とは、一般的なインターネット回線を利用して作られるプライベートネットワークのことです。拠点間を物理的に1対1で接続する「専用線」に対して、VPNは公衆の回線を利用して相互通信を行う、いわば「仮想の専用線」です。

VPNは、本社や拠点などに専用のルーターを設置し、トンネリング・暗号化などのセキュリティ技術を用いて通信を行います。外部から通信の内容が読み取れないことから、通信傍受やデータ改ざんといったセキュリティリスクが減少します。

ゼロトラストの基礎知識

ゼロトラストとは「全てを信用しない」の意味の通り、社内・社外のネットワークを区別せずに、全通信に対してユーザー認証や制御を行うという情報セキュリティの考え方です。

何をもってゼロトラストと見なすかについては、NIST（アメリカ国立標準技術研究所）が発行した「NIST SP800-207」が1つの指針となります。「NIST SP800-207」ではゼロトラストの7原則が示されています。

以下は、NISTから翻訳許可を取得したPwCコンサルティング合同会社によるゼロトラストの7原則の日本語訳です。

1.すべてのデータソースとコンピューティングサービスはリソースと見なす

2.ネットワークの場所に関係なく、全ての通信を保護する

3.企業リソースへのアクセスは、セッション単位で付与する

4.リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他の行動属性や環境属性を含めた動的なポリシーによって決定する

5.企業は、全ての資産の整合性とセキュリティ動作を監視し、測定する

6.全てのリソースの認証と認可は動的に行われ、アクセスが許可される前に厳格に実施する

7.企業は、資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、それをセキュリティ対策の改善に利用する

引用元：NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳｜PwC Japanグループ

これらの原則に従ってセキュリティ対策を行うことで、境界防御モデルのセキュリティと比較して高い安全性を確保できます。

VPNとゼロトラストの違い

VPNとゼロトラストの違いを、以下3つの観点から見てみましょう。

セキュリティの範囲・脆弱性

VPNの場合

VPNは社外と社内を安全につなぐものです。VPNは社外からの脅威に対処しますが、社内のセキュリティについては完全にはカバーしていません。

たとえば認証済みのPCで社内ネットワークに接続する場合、PCがマルウェアに感染していたとしても監視の対象外となっているケースがあります。この場合はマルウェアの存在が見落とされ、社内のネットワークに感染を広げる恐れがあります。

また機器の脆弱性を狙って攻撃されるケースも少なくありません。昨今では自動車部品製造会社や病院などが、VPN機器の脆弱性に起因したサイバー攻撃を受けています。攻撃を受けると、IDやパスワードなどの情報漏えいや、システムダウンによる事業の停止などの被害を受ける可能性もあるため注意が必要です。

ゼロトラストの場合

ゼロトラストでは無条件にITシステムへの通信を許可することはなく、常に認証・認可を行います。そのためマルウェア拡散などのリスクは低くなります。

パフォーマンス面

VPNの場合

VPNはトンネリング、カプセル化、暗号化といった処理を行うために、VPNを利用していない場合に比べると全体的に処理速度が低下します。

またクラウドサービスを利用している場合には、いったん社内ネットワークを経由してクラウドサービスにアクセスするという段階を踏むため、遅延が生じる可能性があります。

ゼロトラストの場合

ゼロトラストは正当なアクセス権のあるユーザーでも、アクセスのたびに認証を行ったりログイン中に再認証したりするため、作業スピードが落ち、業務の効率が悪化する可能性があります。またゼロトラストを構成する機器やソフトウェアに不具合が生じると、業務が停止することも考えられます。

導入におけるハードル

VPNの場合

VPNのサービスはクラウドも含め、さまざまな企業が提供しています。複数のVPNサービスの中から企業の事情に合わせて適切なサービスを選択できるでしょう。またVPNに精通している専門家と協力すれば、導入のハードルは低くなります。

ゼロトラストの場合

ゼロトラストを実装するにあたっては、さまざまなセキュリティ製品を組み合わせることになります。どの製品を使うか、どの程度をゴールとするかなど、システム確立までのプロセスは難易度の高いものです。また製品購入や設計のコストは高くなる傾向にあります。

【VPNの課題】企業で「脱VPN」が進んでいる理由

昨今では、VPNからゼロトラストへ切り替えを行う傾向にあります。なぜ「脱VPN」が進んでいるのでしょうか。

円滑な業務への支障

昨今の感染症流行の影響により、各企業ではテレワークを推進しました。VPNを使用する人の数も増加した結果、社内ネットワークに負荷がかかり、アクセスしにくい状態となり、クラウドサービスや社内システムの利用に支障が出ることとなりました。またオンライン会議もVPN経由では遅延の発生などで行いにくく、上司や同僚とのコミュニケーションにも支障をきたす事態となっています。

セキュリティ面でのリスク

VPN機器の脆弱性を突いたサイバー攻撃が相次いでいることも、理由に挙げられます。その背景には、脆弱性自体もさることながら、企業が機器のアップデートを行えていないことを一因とするケースもあります。サイバー攻撃の結果、情報漏えいや業務停止といったように失うものが大きいことから、よりセキュリティレベルの高い対策への移行が検討されているのです。

従来の「境界防御モデル」の限界

VPNへの負荷やセキュリティ面でのリスクから、境界防御モデルのセキュリティの前提が崩れつつあります。

境界防御モデルとは、ネットワーク上で社外・社内の間に境界を作り、外部からの攻撃をブロックして社内ネットワークの安全性を保つものです。しかし、働く環境の多様化やクラウドサービスの普及によって、どこまでが社内／社外なのか、そもそもの境界が曖昧になってしまった背景があります。そのため働く環境の変化に伴い、「境界防御モデル」の限界が訪れているという考え方も広まっています。

VPNの課題はゼロトラストで補填できる

前項のようなVPNの課題は、ゼロトラストで補填できます。 境界防御モデルのVPNに対して、ゼロトラストは境界を設けない考え方です。社内・社外のネットワークはどちらも安全ではないという前提で行い、一貫したセキュリティが提供されます。クラウドサービスを利用する場合にも、VPNを介さずにアクセスできるようになるため、遅延のないスムーズなアクセスが可能になります。 テレワークを解除して出社体制に回帰し、VPNによる負荷を下げる企業であっても、今後もテレワークが求められる可能性がある以上は、今一度ネットワーク環境を見直す必要性はあるでしょう。

VPNとゼロトラストはどちらを選ぶべき？

VPNとゼロトラストは、それぞれにメリット・デメリットがあります。VPNを選ぶほうが良い場合、ゼロトラストを選ぶほうが良い場合の例をご紹介します。

VPNがおすすめのケース

VPNは適切な人数でアクセスすれば、負荷の問題はさほど大きなものにはなりません。たとえば次のような要望がある場合は、VPNを検討する余地があります。

ゼロトラストがおすすめのケース

「VPNの課題を解消したい」「より強固なセキュリティ対策を構築したい」という場合には、ゼロトラストがおすすめです。下記の場合にはゼロトラストを検討する余地があります。

まとめ

今回は、VPNとゼロトラストについて簡単に比較しました。

VPNとゼロトラストの特徴やメリット・デメリットを踏まえつつ、まずは企業のネットワーク上の課題を洗い出してみてください。そのうえで、VPNとゼロトラストのどちらの選択が適切なのか判断すると良いでしょう。

また、ゼロトラストの一部としてVPNを活用したり、ゼロトラストの移行期間中にVPNを採用したりといったVPNとゼロトラストを組み合わせる手法も考えられます。企業それぞれの状況に合わせて、柔軟な対策を講じることが大切です。

ＪＢサービス株式会社では、VPNやゼロトラストの導入・運用を支援するサービスを提供しています。課題解決にあたり、専門家を必要とされる場合には、下記のページをご活用ください。

関連サービス

VPNマネジメントパック

VPNマネジメントパックは、VPN機器のレンタルで、安価なインターネット回線に高品質なVPN装置を接続することにより、高速でセキュアな拠点間接続を実現します。

詳しく »

関連サービス

ゼロトラストセキュリティ運用サービス

ゼロトラストセキュリティ運用サービスでは、拠点やモバイル端末から安全にインターネットにアクセスするためのネットワークサービス「Prisma Access」で使用するPanoramaに関して、ＪＢサービス株式会社の認定ホワイトハッカーを中心としたセキュリティ専門家が運用を代行します。ＪＢサービス株式会社は、Prisma Accessの導入から運用代行までサポートします。

詳しく »