VPNの危険性とはVPNにはセキュリティの面でも課題が出ている。警察庁の2021年9月の発表によると、2021年の上半期はランサムウェアによる攻撃が多発。染経路が判明したうち半数以上はVPN装置を経由したものだった。

VPNの脆弱性は毎年約70件報告されており、その中には大手ベンダーのVPN装置も多く含まれている。VPNはユーザーIDとパスワードによる低レベルな認証が多く、脆弱性を突かれてID/パスワードが流出する事例が後を絶たない危険な状態だ。

脆弱性の多くについては、発見次第、ベンダーがパッチを公開しているものの、VPN装置の脆弱性を管理しきれる企業は限られており、攻撃の起点となっているのが実情である。「VPNに依存すると、パッチを当てたりファイアウォールの設計を見直すといった、脆弱性の運用管理から手を離せなくなる」と渥美氏は警告する。

また、VPN自体の脆弱性ではないが、ラテラルムーブメント（脅威の横移動）に弱いのも課題だ。多くのVPNの場合、ユーザーは一度社内ネットワークに入ってしまえば、その後はノーチェックとなり、社内ネットワーク全域にアクセスが可能となる。社内ネットワークにおいても、各ユーザーが不必要な範囲へのアクセスができないように、マイクロセグメンテーションを実現することが望ましいが、できている企業は多くない。

結果として、侵入者はVPN装置を踏み台にして社内ネットワークを横移動して、重要な資産にたどり着いてしまうのだ。

実際にVPNに危機感を感じている企業は増えている。ゼットスケーラーが2021年1月、米サイバーセキュリティ・インサイダーズと共同で、各企業のサイバーセキュリティの専門家（担当者）約350名を対象に調査したところ、72％の担当者がVPNのセキュリティリスクに懸念を抱き、67％が代替手段を検討していることが判明している。

脱VPN、まずはID管理それではこれらの課題を克服するために、どのように脱VPNを進めればいいのか。

まずキャパシティの問題を解決するのに有効なのが、「ローカルブレイクアウト」という仕組みだ。これは特定のクラウドなどへの通信を識別して、ユーザーを直接アクセスさせる仕組みのこと。

ただし、SaaSを無制限に使わせるとIDおよびログが分散し管理性が下がる。現在、従業員の多くは社内システムに加えてMicrosoft 365やZoom、Slack、Boxなど用途に応じて複数のSaaSを利用している。これらへのアクセスは把握できる状態にしておく必要がある。

まずはIDの徹底管理から始めるべきだと渥美氏は指摘する。「どのようなリモートアクセスソリューションを採用するにしても、ユーザーに紐づいたIDを把握できなければ意味がない。1人の従業員につきIDは1つで、そのIDがいつ、どのリソースにアクセスして何をしたか。これらを追跡できるようにするためにもIDの統合管理が必要だ」

IDの統合管理とブレイクアウトを可能にするのが、OktaやAzure Active Directory（以下、Azure AD）などのIDaaSサービスである。

ID管理と認証の機能をクラウドで提供するサービスで、Microsoft 365などのクラウドサービスとも事前に連携しておくことで、IDaaSで認証をすればこれらのサービスごとに認証を行う必要がなくなる。いわゆる「シングルサインオン（SSO）」が可能だ。SSOはユーザーの利便性だけでなく、管理者側にとってもIDの一元管理が可能になり利便性が高まる。つまりリモートワークユーザーの通信を一度クラウドのIDaaSを経由せさせることで、IDの一元管理やブレイクアウトによる帯域の効率化が可能になるのだ。

さらに主要なIDaaSにはアクセス権のコントロール機能もある。例えばAzure ADでは誰が、どこから、どのデバイスで、どのアプリにといった条件で制限がかけられる。Azure ADに登録していないデバイスや国外からのアクセスは拒否したり、アプリにアクセスはできるが印刷は許可しないといった制御が可能だ。こうした仕組みはオンプレミスの社内アプリケーションを利用する場合も適用できる（図表2）。「基本的には、認証して本人確認をして、許可されたアクセスしかさせない運用になる。アプリケーションとの通信はSSL/TLSでエンドトゥーエンドで暗号化される」と渥美氏は解説する。ただし、社内で完結するような通信であっても、一度IDaaS基盤にアクセスして認証する必要が生じる点については注意が必要だろう。

図表2　Azure ADを利用したリモートアクセス構成のイメージ