過去数ヶ月間で否定的な報道を受け注目を集めたシステム侵害がありましたが、VPNがその侵害の原因となっています。脅威にさらされたとき、VPNはなぜそれほど危険なものになるのでしょうか?VPNのベストプラクティスがどのようなものであれば、企業はセキュリティ確保のために確実に従おうと思うのでしょうか?
VPNは、「信頼できるオンプレミスネットワーク」を作成し拡張するために数十年前に設計されました。組織は従来、リモートユーザーが企業ネットワークと通信するための安全なチャネルを提供するために、VPNを使用していましたが、これは今日の複雑なエコシステムやマルチクラウドインフラ向けに構築されたものではありません。
VPNはセキュリティに対して、いわば「境界ベース」のアプローチを採用しています。境界とは、内部の信頼できるユーザーと外部の信頼できないユーザーです。このアプローチは、ファイアウォールやオフィスワーカーを保護する他のセキュリティソリューションであり、パンデミック以前にはそれなりに十分と言えるものでした。
しかし1年前、リモートワークへの劇的な移行が起こったとき、VPNが依存していた境界ベースのセキュリティモデルに伴う課題が浮き彫りになりました。従業員は家庭用のネットワーク上で、BYOD(Bring-Your-Own-Devices)や管理されていないデバイスを介して、複数の場所から企業ネットワークに接続していました。この分散型の作業によって、企業のVPNソリューションは広範囲にわたって攻撃を受ける領域が出てきたのです。VPNへの侵害によって非常に危険なケースがあるため、「100%の防御でなければだめ」なのです。攻撃者が企業ネットワークに侵入すると、すべてにアクセスできるようになるので、攻撃されると大きな被害が発生する可能性があります。
マルチクラウドソリューションへの移行により、「ゼロトラスト」ソリューションがVPNの安全な代替手段になります。VPNとは異なり、実質的にアクセスを許可しません。例外的に、最小特権アクセスの概念に基づく細かなアプローチは可能になります。デフォルトでは、アクセス許可の付与が明示されていない限り、アクセスは拒否されます。ゼロトラストモデルはネットワークをセグメント化できます。そして、ユーザーはアプリケーションまたはシステムにアクセスするたびに認証する必要があります。クラウドへの急速な移行を考えると、これはハイブリッドおよびリモート環境向けのより安全な設計だと言えます。
とはいえ、VPNは引き続きオンプレミスネットワークで使用されています。使用事例に基づいて、ゼロトラストソリューションとVPNを組み合わせて継続的に使用される可能性が高いでしょう。VPNでオンプレミスネットワークを保護している企業向けに、VPNのベストプラクティスをいくつか示します。