コロナ禍でテレワークが広がってから、安全性を確保するために多くの企業がVPNを取り入れました。しかしVPNの脆弱性を狙い、実際にサイバー攻撃を受けたなどの事件の増加もあり、VPNのセキュリティ上の課題が浮き彫りとなりました。
そこで注目度が高まっているのがゼロトラストという考え方です。ゼロトラストでは「何も信頼しない」という前提のもと、強固なセキュリティを実現するため、ゼロトラストへの移行を採用する企業も増加傾向です。
そこで本記事では、ゼロトラストとVPNの違いやVPNの問題点、ゼロトラストをおすすめする理由を解説します。本記事を読めば、インターネットのセキュリティを高める方法を理解でき、余計なリスクへの対処ができます。
目次
ゼロトラストとは
ゼロトラストとは、「何も信頼しない」ことを前提とするセキュリティの考え方です。基本的にどんなセキュリティも危険性があると考えるため、強固な対策を講じることに繋がります。
従来のセキュリティでは、社内(LANの中)は安全、社外からのアクセスは危険なのでルーターやファイヤーウォールでブロックという考え方でした。社内からのアクセスで内部リソースへのアクセス制限がない場合も多く、一度内部に侵入した攻撃者が簡単にアクセスできました。
しかしゼロトラストでは常に認証を行うため、内部へのアクセスを厳密に制限し、また内部からのアクセスでも認証し、不正アクセスを防ぎます。
従来のセキュリティの脆弱性が問題となる中、ゼロトラストは現代において情報を守る武器の1つです。
VPNとは
VPNは「認証情報を持っているユーザーは信頼する」という考えのもと、セキュリティ対策を講じます。VPNでは送信者と受信者の機器で「カプセル化」という暗号化処理を行い、第三者が侵入できない仮想的なトンネルを形成することで暗号通信します。
以前は、社外から社内のネットワークにアクセスするには物理的な専用線が必要でした。しかしVPNでは、外部から簡単に侵入できない仮想ネットワーク(トンネリング)を作ることで、物理的な専用線がなくても社外からのアクセスが可能となりました。
またVPNでは通信のセキュリティ強化のため、正規の利用者であることを確認する認証を行い、内容を暗号化して送信します。本社や拠点などに専用のルーターを設置する必要はありますが、外部から通信の内容が読み取れないため、通信傍受やデータの改ざんなどのセキュリティリスクは減少します。
ゼロトラストとVPNの違い
上記では、ゼロトラストとVPNについてそれぞれ解説しました。テレワークの環境を構築する両者は、主にセキュリティ戦略を中心に行います。しかしゼロトラストとVPNでは大きく異なるポイントが2つあるため、ここではその違いを詳しく解説します。
- 拡張性
- セキュリティ
1. 拡張性
ゼロトラストとVPNの違いの1つ目は、拡張性です。VPNのカスタマイズは複雑で高度な技術が必要となります。また新しい機能を追加する場合はさまざまな制約や追加コストが必要なため、拡張性の低さが問題です。
一方でゼロトラストはクラウドベースのセキュリティのため、拡張性に優れており、スケールアップ(コンピュータ増設など)も柔軟に対応できます。
組織の成長や技術の進化により、ユーザーやデバイスが増えた場合でも、ゼロトラストでは簡単に拡張できます。そのため将来の事業拡大などで、機能追加やユーザー増加などの拡張性を持たせたい企業はゼロトラストがおすすめです。
2. セキュリティ
ゼロトラストとVPNの違いの2つ目は、セキュリティです。中でも両者は考え方に根本的な違いがあります。ゼロトラストは「何も信頼しない」ことを前提にセキュリティ対策する一方で、VPNは「認証情報を持っているユーザーは信頼する」という考え方です。
VPNは、外部からの攻撃に対するセキュリティは強いものの、一度内部にアクセスされた場合、セキュリティが弱くなるという弱点があります。
一方でゼロトラストでは、外部だけでなく内部のセキュリティも対策が厳格化されています。LANの中からのアクセスもインターネット経由も同等に扱います。認証やアクセス制御などを組み合わせて常にデバイスやユーザーが信頼できるかを評価しているため、万が一情報が漏れた場合でも、内部から攻撃されるリスクを軽減できることが特徴です。
VPNの課題
VPNの課題として、主に下記の3つが挙げられます。
- セキュリティへのリスク
- 柔軟性
- インターネットの速度
VPNではセキュリティのリスクが課題点の1つです。
VPNでは機器そのものに脆弱性がよく発見されます。VPN機器のセキュリティパッチを適用し続けなければサイバー攻撃の対象になりかねません。サイバー攻撃から情報漏洩のリスクもあるため、セキュリティ面はVPNの課題と言えます。
ランサムウェア攻撃の7割がVPN機器のセキュリティパッチ適用不足が原因であったという報告があります。実際、随時VPN機器のセキュリティパッチを適用するという運用を実行できる企業がほとんどありません。
またVPNは柔軟性も課題点です。
VPNのカスタマイズは複雑で、拡張の際には多くの制約やコストを要するため、機能の拡張など柔軟性が低くなります。高度な知識を有する技術者が必要になります。そのため事業をスケールアップするときに対応しづらいことが、VPNの課題点となります。
VPNはデータを暗号化処理するため、データのやり取りに時間を要します。またVPN接続により通信経路が増えるため、遅延が発生するなどインターネット速度の低下にも繋がります。
VPNに潜むセキュリティリスク
VPNは長年、社外のアクセスに対して安全な通信を確保するものとして利用されてきました。しかしVPNには下記のようなセキュリティのリスクが潜んでいます。
- 不正アクセス
- 情報漏洩
- マルウェア感染
1. 不正アクセス
VPNでは不正アクセスのリスクがあります。
VPNは社外から接続したデバイスが社内のLANの中にいるようにみせかける技術です。そして社内のシステムの多くはLAN内のアクセスに対してアクセス制限をかけていないことが多いです。一旦VPN経由で社内LANに侵入されると簡単に攻撃されることもあります。
またVPN機器自体に脆弱性がある場合があるため、直接サイバー攻撃を受ける危険性があります。
導入する企業が常にセキュリティパッチを適用すればリスクを回避できますが、アップデートに対応せずに運用を続けると、サイバー攻撃により侵入されてしまいます。
2. 情報漏洩
VPNでは、情報漏洩も大きなリスクの1つです。
VPNの機器は社外から社内へのアクセスをするための機器です。そのため攻撃者がこの機器のセキュリティホールを攻撃し内部へ侵入することで、社内システムや社内のPCやファイルサーバー、NASにアクセスし、情報を持ち出します。
またVPNにIDとパスワードを設定していてもパスワードが簡易であったり、パスワードの使い回しをしてしまったりすると簡単に侵入されてしまいます。全従業員のうち一人でも弱いパスワードを使うだけで侵入されてしまうようでは危険です。
ここでは実際にVPN経由の不正アクセスで情報が漏洩した事例をご紹介します。
大阪急性期・総合医療センター
これは2022年10月に起きたサイバー攻撃による被害で、当時のメディアでも大きく報道されました。医療機関の給食委託業者のシステムを運用する会社がリモート保守のために設置したVPN機器の脆弱性を突かれ、ネットワークに侵入されたことが原因です。
このランサムウェア攻撃で2200台ものPC端末に不正アクセスされ、医療機関の電子カルテは暗号化、病院のシステムは閲覧不能となりました。システムの完全復旧には約3ヶ月かかり、被害総額は調査と復旧で数億円もかかったと言われています。
※ ランサムウェアとはデータを不正に暗号化することで、復元と引き換えに対価を要求する悪質な行為のこと。
名古屋港コンテナターミナル
これは2023年7月に名古屋の港湾会社を狙った攻撃です。このランサムウェア攻撃では、保守用のVPN機器の脆弱性を突かれ、そこから侵入を許しました。なお同社は運用面での利便性を重視しており、IDとパスワードさえ合致していれば、誰でもアクセスできる状況だったそうです。
また被害が起きる数ヶ月前にはVPNの脆弱性が公表されていたものの、未対応だったことも被害の引き金となりました。結果として港湾の統一システムが3日ほど停止し、物流に大きな被害をもたらしました。
3. マルウェア感染
マルウェアとは、コンピュータや利用者に被害をもたらす悪質なソフトウェアのことです。このマルウェアに感染すると、パソコン内のファイルを削除されたり、別のパソコンへ侵入されてしまったりするなどの被害が見られます。
VPNではこのマルウェア感染も懸念点の1つです。VPNはネットワークの外側から内側への不正アクセスを防ぐ役割があります。しかしVPN機器のセキュリティーホールやID、パスワードの管理不足を突いて攻撃者は侵入してきます。侵入した後にPCやファイルサーバー、NAS等にマルウェアを設置していきます。
VPNからゼロトラストに移行する企業が多い理由
VPNは長年リモートワークの安全な通信手段として利用されてきました。しかしコロナ禍による急激なリモートワークの拡大により、サイバー攻撃などの被害も拡大しました。現在ではゼロトラストに移行する企業が増えており、ここではゼロトラストに移行する企業が多い理由を下記の2つの観点から解説します。
- セキュリティ面の向上
- 業務が円滑になる
1. セキュリティ面の向上
VPNからゼロトラストに移行する企業が多い理由の1つ目は、セキュリティ面の向上です。コロナ禍のテレワーク増加の影響で、VPNを使用する企業は増加しました。
しかしそれに伴い「認証情報を持っているユーザーは信頼する」というVPNの脆弱性を狙う攻撃者も顕著に見られました。また多くの企業が機器のセキュリティパッチの適用は運用が難しいため、サイバー攻撃の標的になっています。
そんな中、VPNよりもセキュリティ対策を厳重に行い、機器のアップデートも不要なゼロトラストでは、サイバー攻撃による情報漏洩や業務停止のリスクを最低限減らすことに繋がります。そのためVPNからゼロトラストに移行する企業が増えているのが現状です。
2. 業務が円滑になる
VPNからゼロトラストに移行する企業が多い理由の1つ目は、業務の円滑化です。新型コロナウイルス感染症の流行により、VPNの利用者数は増加し、社内のネットワークの負荷は増大しました。
VPNは過大な負荷が生じると、アクセスの遅延や不安定性が発生します。
VPNにおいて負荷を軽減するには、機器のリプレイスが必要です。しかし機器をリプレイスするにも、コストがかかる点や機器のスペックによっては通信が不安定になるなど、懸念点が多いです。またVPN機器の設置、リプレイスには専門の知識をもった技術者が必要になります。
しかし、ゼロトラストではクラウドベースで情報を管理するため、拡張性が高く、ユーザー数の増加にも柔軟に対応できます。結果的に業務が円滑になるため、VPNからゼロトラストに移行する企業が増えています。
ゼロトラストとVPNどちらを選ぶべき?
結論から言うと、ゼロトラストがおすすめです。特にセキュリティや拡張性の高さを重視している方は、ゼロトラスト一択です。
VPNは以前は安全と信頼され多くの企業が採用してきましたがが、VPNは機器自体にサイバー攻撃を受けることで、ランサムウェア被害等の事件が増加しています。
また攻撃者に一度内部に侵入されると、情報漏洩やマルウェア感染のリスクも高まります。一方でゼロトラストは、すべての接続が検証されるため、内部でも不正アクセスが検出されるとすぐにブロックされます。
ゼロトラストは、より高度なセキュリティレベルを提供するため、移行する企業も増えているのが現状です。なお現在VPNからゼロトラストへの移行は、多くの時間や労力が必要となる場合があるため、早めの対応がおすすめです。
ゼロトラストセキュリティならibisStorage
本記事では、ゼロトラストとVPNの違いやVPNを使い続けるリスクを解説してきました。セキュリティをより強固にして不正アクセスを防ぐには、ゼロトラストへの移行がおすすめです。
しかしゼロトラストを実現したいけど、どのクラウドストレージサービスを使えばいいか分からない方もいますよね。そんな方は ibisStorage(アイビスストレージ)がおすすめです。
ibisStorage は、会社や学校などの組織から貸与されたパソコンのみ、かつ承認されたユーザーのみにクラウドシステムのアクセスを許可できます。そのため強固なゼロトラストセキュリティを実現し、さまざまな脅威から顧客のデータを守ることが可能です。
簡易なパスワードやパスワードの使い回し、パスワードの漏洩等があっても承認されたPCからしかアクセスできないため即座に侵入されることもありません。
また、高度なファイル保護や柔軟なアクセス権限もコントロールするため、業務のDX化も強力にサポートします。
セキュリティの脅威が複雑化する現代において安心・安全のクラウドストレージを提供してくれるため、安心してデータを管理したい方は ibisStorage がおすすめです。
