サイバーセキュリティ 
KeeperをSlackのワークフローと連携させると
企業のリモートワークやクラウド利用の拡大に伴い、従来のVPN(仮想プライベートネットワーク)に代わる新たなセキュリティ戦略が注目されています。
特に、脱VPNという流れは、ゼロトラストセキュリティの普及とともに、多くの企業で検討されるようになってきました。
本記事では、なぜ脱VPNが注目されているのか、そしてその代替策や潜在的な問題点について解説します。
脱VPNが注目されている理由
企業のセキュリティ戦略において、従来のVPNからの脱却、いわゆる「脱VPN」が注目を集めています。その背景には、テレワークの普及やクラウド化の進展にともない、従来のVPNの限界などが顕在化してきたことなどがあります。
ここでは、「脱VPN」が注目されるようになった主な理由について、詳しく解説します。
従来のVPNが抱える限界がある
長らく企業ネットワークへの安全なリモートアクセス手段として活用されてきたVPNですが、対応しきれない場面が増えてきています。まず問題となるのは、VPN接続によってユーザーに社内ネットワーク全体へのアクセスが容易に許可されてしまうことです。これは、最小権限の原則に反し、内部不正のリスクを高める要因となります。
また、ユーザー数が増加した際のスケーラビリティの問題も深刻です。特に、クラウドサービスとの連携が前提となる現代のIT環境では、VPNでは柔軟な対応が難しく、ボトルネックになりがちです。さらに、すべての通信がVPNを経由することで発生する通信遅延は、業務効率の低下にも直結します。
こうした複合的な問題から、VPNはもはや現代的な働き方に対応するには限界があると考えられつつあります。
ゼロトラストセキュリティの普及
脱VPNが進む背景には、ゼロトラストセキュリティモデルの台頭があります。ゼロトラストとは、「誰も信用しない」を前提とし、すべてのアクセスに対して検証を行うセキュリティの考え方です。加えて、ゼロトラストでは、アクセス権限を「必要最低限」に制限することや、ネットワークを細かく分割して横断的な移動を防ぐマイクロセグメンテーションの実装も重要とされています。
これらの高度な制御を実現するには、VPNのような一括的なアクセス手段では対応しきれ亡くなっています。そのため、ゼロトラストの実現を目指す企業の間で、VPNを前提としないアクセス構成への移行が加速しているのです。
VPNを狙ったサイバー攻撃の増加
VPNそのものがサイバー攻撃の標的となるケースが急増しています。VPNには、未修正の脆弱性が残っていることが多く、攻撃者にとっては格好の侵入口となります。こうした脆弱性が放置されたままだと、ゼロデイ攻撃などによって容易に内部ネットワークへの侵入を許してしまう可能性があります。
さらに、VPNに必要な認証情報がフィッシングなどで盗まれた場合、第三者が正規ユーザーとしてネットワークにアクセスするリスクも無視できません。実際のランサムウェア攻撃では、VPNを経由して組織内に侵入し、被害を拡大させる手口が多く確認されたケースもあります。
VPNの問題点
企業のリモートアクセス基盤として広く利用されてきたVPNですが、その運用には多くの課題が伴います。ここでは、VPNが抱える代表的な問題点について、4つの観点から詳しく解説します。
セキュリティリスク
VPNは、一度接続が確立されると、ユーザーに広範なネットワークリソースへのアクセスが許可される構造になっています。このため、万が一不正アクセスが発生すると、攻撃者は一度の突破でネットワーク内部に自由に入り込み、他のシステムや機密データへと侵入を拡大していく、水平展開を行いやすくなります。つまり、VPNは侵入後の被害拡大を容易にしてしまう構成となっているのです。その結果、ランサムウェアや情報漏洩といった深刻な被害も多数報告されています。
さらに、VPN接続の認証手段がユーザー名とパスワードに依存しているケースが多いことも問題です。こうした単一要素認証は、フィッシングやクレデンシャルスタッフィングによって容易に突破される可能性があり、多要素認証(MFA)が導入されていない環境では特にリスクが高まります。
クラウドサービスとの親和性が低い
多くの企業が、SaaSやIaaSなどのクラウドサービスを業務の中心に据えるようになっています。しかし、VPNはもともとオンプレミスのネットワークアクセスを前提に設計されているため、クラウドサービスとの親和性が必ずしも高くありません。
たとえば、VPN接続を経由してクラウドにアクセスする場合、一度社内ネットワークを通す「ヘアピン型トラフィック」となり、不要な遅延が発生するだけでなく、回線やVPNゲートウェイに余計な負荷をかける結果となります。
また、複数のマルチクラウドを利用する企業では、それぞれのサービスに適したアクセスポリシーを個別に設計・管理する必要があり、VPNによる一括制御がかえって非効率になることもあります。
このように、VPNはクラウドファーストなIT環境との整合性に欠け、モダンなネットワークアーキテクチャとはミスマッチを起こしやすいのです。
アクセス制御がしにくい
VPNは、ユーザーが接続した時点で広い範囲のネットワークリソースにアクセスできるケースが一般的です。これにより、ユーザーごとに細かくアクセス権限を設定する最小権限アクセスの実現が難しくなります。
また、VPNは接続の有無にフォーカスした設計となっており、アクセス先のリソースや時間帯、端末のセキュリティ状態などをもとに動的に制御する機能には限りがあります。結果として、「誰が」「いつ」「どこから」「何にアクセスしたか」をリアルタイムで監視・制御することが難しく、セキュリティポリシーの柔軟な適用にも障壁が生じます。
インフラ・運用負荷が高い
VPNは導入時だけでなく、運用フェーズでも多くのリソースを必要とします。ネットワーク構成の設計、機器の選定・調達、セキュリティパッチの適用、ユーザーごとの設定やトラブル対応など、インフラチームへの負荷は少なくありません。
ユーザー数が増えるほど、VPNゲートウェイの処理能力が問題となり、ハードウェアの増強や回線の帯域拡張が求められる場面も出てきます。また、障害が発生した場合は復旧作業がシステム全体の可用性に直結し、運用への影響も大きくなります。
VPNの代わりにどんなソリューションが注目されている?
VPNの限界やセキュリティリスクが明らかになる中で、多くの企業がより柔軟かつ安全なアクセス制御を実現できる新しいソリューションへと移行しつつあります。VPNの代わりに注目されているソリューションには以下のようなものがあります。
- ZTNA(ゼロトラスト・ネットワーク・アクセス):ユーザーやデバイスを都度検証し、必要なアプリだけに限定してアクセスを許可するゼロトラスト型のリモートアクセスです。
- SASE(Secure Access Service Edge): ZTNAなど複数のセキュリティ機能をクラウドで統合し、どこからでも安全にアクセスできるネットワーク基盤です。
- SDP(ソフトウェア・ディファインド・ペリメーター):未認証のユーザーからアプリやシステムを見えなくすることで、攻撃対象を最小限に抑えるセキュリティモデルです。
これらのソリューションは、「誰が、どこに、どのようにアクセスするのかをアクセス管理するソリューションで、外部からの脅威だけでなく、内部からの不正アクセスや誤操作といった内部脅威に対しても有効です。
ユーザーやデバイスの信頼性を毎回検証し、その都度適切なアクセス権限を与えることで、従来のVPNでは難しかったきめ細かなセキュリティ制御を実現します。
脱VPN後のVPNレス時代の新たなリスク
多くの企業がZTNAやSASE、SDPといったゼロトラスト技術を導入し、VPNに依存しない安全なアクセス環境を整え始めています。これにより、従来のVPNが抱えていた課題である、過剰なアクセス権限、通信遅延、機器の脆弱性などは、着実に解消されつつあります。
しかし、VPNを廃止すればセキュリティが完成するかというと、そうではありません。VPNに代わるアクセス手段が整ったからこそ、新たに見えてくるリスクも存在します。
それは、「アクセスが許可された後に、何が行われているのか」という視点です。
たとえば、次のようなリスクが浮上しています。
- アクセス後の操作が管理されていない:ZTNAやSASEはアクセスの制御までだが、ログイン後に何をしたかまでは追えない。
- 内部不正や設定ミスが可視化されない:管理者による誤操作や、悪意のある内部ユーザーの行動が検知・記録されない。
- 外部委託先のアクセスがブラックボックス化する:ベンダーや業務委託先に一時的アクセスを許可しても、操作ログや承認フローが残らないと後追いが困難。
- セッションの監視・記録が行われていない:SSHやRDPなどのセッション接続内容が録画されておらず、インシデント時に調査できない。
- 特権アカウントの濫用が検知されにくい:高権限の特権アカウントによる過剰アクセスや自動化ツールの誤動作が見逃される恐れがある。
ゼロトラストは、アクセスの「入り口」を守る技術です。しかし、本当に守るべきものは、その先にある「操作」や「行動」ではないでしょうか。このようなリスクに対応するためには、アクセス後の行動を監視・制御し、責任の所在を明確にできる仕組みが必要です。そこで脱VPNとともに注目されているソリューションの1つが、PAMです。
脱VPNする際組織にあったソリューションの組み合わせが大切
VPNを廃止し、ゼロトラスト型のセキュリティ体制へ移行する流れは加速していますが、その実現方法は企業ごとに異なります。
ZTNA、SASE、SDPなどのソリューションを1つだけ導入すれば十分というわけではなく、自社のシステム構成、利用するクラウドサービス、ユーザーの働き方に応じた最適な組み合わせが必要です。
たとえば、アプリケーション単位のアクセス制御にはZTNA、そして特権アクセスの監視と制御にはPAMなどといったように、役割ごとに異なるソリューションを連携させることで、真に堅牢なゼロトラスト環境が構築されます。
どの技術をどう組み合わせれば、自社にとって最も効果的なのかを確認するためには、実際の動作やユースケースを確認するのが一番の近道です。
その疑問を解消するには、実際の動作やユースケースを確認するのが一番の近道です。
もし、脱VPNを本格的に検討されているのであれば、KeeperPAMをソリューションの1つとして、ゼロトラスト環境でどのように動作するのかまずはデモを確認するのも1つの手です。
この機会に、KeeperPAMのデモをリクエストして、アクセス制御から操作の可視化まで、どのように実現されるのかをご確認ください。
脱VPNに関するよくある質問
Q1. なぜ多くの企業はVPNから脱却しようとしているのでしょうか?
A. VPNは一度接続されると社内ネットワーク全体にアクセスできるため、不正アクセスされた場合の被害が大きくなります。さらに、スケーラビリティやリモートワーク対応にも限界があるため、より安全で効率的なZTNAへの移行が進んでいます。
Q2. VPNをやめることで逆にリスクは増えませんか?
A. 設計と運用が適切であれば、ZTNAなどの新しい仕組みはVPNよりも安全性が高く、攻撃の拡大を防ぐ仕組みも備わっています。ただし、認証基盤の整備や可視化の不足があると逆にリスクが生じる可能性もあります。
Q3. 中小企業でも脱VPNは実現できますか?
A. はい。最近は中小規模にも適したクラウド型のZTNAやSASEサービスが登場しており、初期費用を抑えて簡単にすぐに導入できるケースが増えています。
