ゼロトラストネットワークアクセス（ZTNA）とVPNの違いとは？ ―進む 脱VPN の背景、メリットも解説

VPNとは

VPNとは、Virtual Private Networkの略称で、日本語では「仮想専用通信網」の意味です。アクセスごとに認証システムを設けて、一度安全と「許可」したアクセス以外は拒否する「境界型モデル」という仕組みになっています。大きく分けて「インターネットVPN」と「IP-VPN」があり、急拡大した在宅勤務に対応するためにも、低コストで導入障壁の低いインターネットVPNの利用が特に広まりました。

クローズドネットワークのIP-VPN

通信業者によって企業ごとに設けられた専用のクローズドネットワークを使うVPNで、オリジナルなネットワークを活用するためVPNの中ではセキュリティが堅牢なタイプになります。そのほか通信速度や品質が安定しているのも魅力ですが、運用コストが高額になりがちな点や、一度不正に侵入されると社内ネットワークすべてにアクセス可能な点は注意です。

オープンネットワークのインターネットVPN

誰でも使えるインターネット回線をそのまま流用するVPNで、IP-VPNと比較するとかなりの低コストで利用できます。一方で、世界共通のインターネットを使うため、誰でも自社のネットワークに不正アクセスしやすいリスクが伴います。また、通信品質・速度なども不安定な面があるのも注意点です。

（参考）最新のサイバーセキュリティトレンドについて深掘り解説！

ゼロトラストネットワークアクセス（ZTNA）とは

ZTNAとは、Zero Trust Network Accessの略称です。基本的に守るべき情報資産にアクセスするものはすべて信用せずにその安全性を検証するという「ゼロトラスト」の原則に則り、社内・社外を問わず厳密にアクセスを制御する「考え方」であり、サービスによっては「ZTA」と略される場合もあります。

そもそもZTNAは2019年にGartner社が提唱したアクセス形態で、2010年にForrester Research社が提唱したZero Trust（ゼロトラスト）をベースにした概念です。SaaSなどクラウドサービスの普及や、DX（デジタルトランスフォーメーション）など、企業や組織の働き方やビジネスのあり方が大きく変化する中で、近年特に注目が高まっています。

注目の高まりに比例して、いくつかのベンダーやプロバイダがZTNA関連のサービス・ソリューションを提供しています。ZTNAの概念を元にセキュアな環境がありながらも、業務の効率性も高めるようなものもあるため、セキュリティ体制を強化したい企業の担当者の方はいくつかチェックしてみると良いでしょう。

ゼロトラストネットワークアクセス（ZTNA）とVPNの違い

セキュリティ面で脱VPNを考える際、近年注目されているのがゼロトラストネットワークアクセス（ZTNA）です。VPNとゼロトラストネットワークアクセス（ZTNA）は、ネットワークという観点から同じ文脈で語られる場合もありますが、実際は下記の表のように大きく異なります。

ここからはVPNとゼロトラストネットワークアクセス（ZTNA）の違いについて、IIJ編集部にもよく問い合わせがある部分を中心に解説します。

セキュリティポリシーが違う

もっとも顕著な違いとしてセキュリティポリシーの違いがあります。VPNはネットワーク単位でのアクセス許可であり、一度許可すると基本的に広範囲にアクセス可能な「信頼するセキュリティ」です。一方で、ZTNAはアプリ単位のアクセス制御で、内部にアクセス後も継続的に認証する「何も信頼しないセキュリティ」となっています。セキュリティポリシーの観点でいえば正反対のスタンスといえるでしょう。

セキュリティの範囲や強度が違う

セキュリティポリシーが異なることから、セキュリティの範囲や強度も大きく違っているといえるでしょう。VPNは特定のネットワーク全体を包括する形で制御する一方で、ZTNAは特定のネットワークの中で部門や階層などに個別の細かなアクセス制御をかけるイメージです。

VPNが一度侵入してしまえば全体にアクセスできる一方で、ZTNAは一部権限に侵入できてもほかの部門の権限へアクセスできません。ZTNAは個々のセキュリティ範囲は極めて小さいですが、だからこそ細かな認証を必要とし、全体のセキュリティの強度を高めています。

拡張性やパフォーマンス性が違う

VPNはユーザ数や接続地点が増えるとサーバーに限界が出てくるため、パフォーマンス面でも接続の遅延・不安定性が現れてくるでしょう。一方で、ZTNAはクラウド上での運用のためリソースを動的にスケール可能であり、一定レベル以上の通信速度・品質の安定化も望めます。細かい範囲でそれぞれアクセス制御していることで、直接且つ適切なトラフィックが可能です。

企業のセキュリティ担当の方から「ZTNAの通信品質ってどうなの？」とお問い合わせがたまにありますが、答えは「ZTNAはクラウド上で細かくアクセス制御を実施するため、制御のクオリティだけでなくパフォーマンスも高めている」ということになります。

（参考）ゼロトラストネットワークアクセス（ZTNA）とは？背景やゼロトラストを実現する機能を解説

VPNが抱える課題

ZTNAとVPNを比較・整理したところで、つづいてはその比較から見えてくるVPNが抱える課題をいくつかピックアップして深掘りします。

インターネットの回線速度が落ちる

VPNはネットワークごとの制御のため、ユーザ数やアクセス地点が増えるごとにキャパが限界を迎えます。例えば、自社にてリモートワークでアクセスする従業員が増えすぎてしまうと、インターネットの回線速度が落ちるリスクがあります。特に安価なインターネットVPNは、全世界で共通のネットワークを使用しているため、通信品質が不安定になりがちなので注意です。

拡張性がない

VPNはアクセスごとの制御になるため、アプリレベルでの制御が可能なZTNAと比べると細かな拡張性が低いです。また、IP-VPNをはじめ専用線・閉域網を活用するVPNは、新しい拠点の追加や変更を実施する際に工数がかかってしまいます。リモートワーク環境をクイック＆柔軟に対応していきたい場合に対しても、VPNは拡張性・柔軟性が低いのは留意しておきましょう。

セキュリティインシデントのリスクがある

ここまで解説してきた通り、VPNはもともと「信頼する」セキュリティシステムのためインシデントにつながりやすいです。IP-VPNなどの比較的セキュリティ精度の高いタイプでも、一度内部のネットワークに入れば認証なしでどこでもアクセスしやすいのはほかのVPNと同様になります。インシデントを未然に防ぎたい場合は、ZTNAのセキュリティ体制を構築するのがおすすめですよ。

脱VPNが進む背景

ここまでVPNの抱える課題について整理してきましたが、海外を中心に「脱VPN」が進んでいる背景には様々な外的要因も絡んでいます。ここでIIJ編集部が考える「VPNを取り囲む状況の変化」について少し触れていきます。

1. COVID-19の影響でワークプレイスの境界が曖昧になった

COVID-19の影響によってテレワークやリモートワークなど自宅や会社の外で業務を行う頻度が増え、社内と社外の「境界線」がより曖昧になりました。

また、PC・スマートフォン・タブレットなど複数の端末からアクセスされることもあり、その中には企業の管理外である私用端末なども含まれます。管理外のアクセス含めITガバナンスを効かせる必要が発生してきており、その方法として脱VPN及びZTNA化が検討され始めているのです。

2. クラウドの浸透によるインターネットトラフィックの増加

働き方の変化に伴い、Microsoft 365やZoomなどに代表されるクラウドサービス(SaaS)を業務で利用するのが一般的になりました。また、日常的に使用する業務アプリケーションがクラウドになることで、インターネットトラフィックが大幅に増加してしまいVPNの設備を圧迫するようになっています。IIJ編集部でも、実際に「VPNの通信速度が遅い」あるいは「社内ネットワークにアクセスできないから改善したい」といった不満の声をお聞きしたことがあります。

3. レガシーVPNの脆弱性を狙った攻撃の頻発

VPNの利用シーンが増えるにつれて、旧型のVPN機器やVPNサービスの脆弱性を狙った攻撃も多発するようになりました。脆弱性が発見されパッチが公開されているにも関わらず、企業が更新を放置して未対応のままの機器も存在します。

こうした「レガシーVPN」は、サイバー犯罪者の恰好のターゲットです。VPNは一度認証を通ってしまえば、ネットワーク内の他のリソースへのアクセスも許してしまうリスクがあります。そのため、パスワードなどの認証情報の漏えいから機密情報の漏えい、ランサムウェア感染などの被害に繋がるケースも増加中です。VPNの脆弱性について詳しく知りたい方はこちらの記事をチェックしてみてくださいね。

4. システム部門の業務負荷の増大

さまざまな環境変化に伴い、増大するトラフィックの制御、ネットワーク機器の増設やメンテナンスなど、システム部門の負荷も高まっています。ユーザーのアクセス環境が多様化することで、リモートアクセス環境に対して統一したセキュリティポリシーを設定するのは困難です。

結果として、拠点間でセキュリティポリシーや運用状況にバラツキが出るなどのほころびも生じています。拠点が国内外に複数あるような企業ほどガバナンスを利かせにくい状況もあってか、マネージド型ファイアウォールサービスなどセキュリティソリューションを提供しているIIJ編集部にも問い合わせが増えています。

VPNの脆弱性が狙われた事例

上記のような課題を抱えるVPNは、実際にサイバー攻撃などの標的にされています。ここで実際の攻撃例を紹介します。

1. 大阪の医療機関を狙った攻撃

2022年10月に起こった大阪の医療機関を狙ったサイバー攻撃はメディアでも大きく報道されました。医療機関の給食委託業者のシステムを運用する会社が、リモート保守のために設置したVPN機器の脆弱性を突かれ、そこが侵入経路となりました。

このランサムウェア攻撃によって医療機関の電子カルテが暗号化され、閲覧不能の状態になりました。システムが完全に復旧するまで3か月程度かかり、被害額は調査と復旧に数億円、診療制限で十数億円に上ったと言われています。

2. 名古屋の港湾会社を狙った攻撃

2023年7月の名古屋の港湾会社を狙った攻撃も記憶に新しいと思います。同社のシステムがランサムウェア攻撃の被害に遭い、港湾の全ターミナルの操業が3日間にわたり停止し、物流に大きな影響を及ぼしました。

この攻撃は保守用VPN機器の脆弱性を突かれ、そこが感染経路となりシステムのデータが暗号化されています。同社は運用面の利便性を重視した結果、IDとパスワードさえ合致すれば誰でもアクセス可能な状態で、さらにVPNには数か月前に脆弱性が公表されていたものの脆弱性への対応が未対応だったことも判明しています。

3. 大手石油パイプラインのレガシーVPNを狙った攻撃

2020年に起こった石油パイプラインへのサイバー攻撃は、メディアでも大きく報道されました。この攻撃では旧型のVPNがパスワード認証のみであったことで、不正アクセスの起点となってしまいました。犯罪者は不正アクセスによってネットワークへ侵入、ランサムウェアを感染させました。パイプラインが一次操業停止に陥る事態に発展し、440万ドルという多額の身代金が支払われました。

4. 大手VPNサービスの脆弱性を狙ったパスワード窃取攻撃

2019年、大手VPNサーバーの脆弱性が発覚し、修正パッチが提供されました。しかしながらパッチを適用しないまま運用を継続している企業が少なからず存在し、こうした企業のIPアドレス情報が闇サイトで取引されるようになりました。この脆弱性を狙った攻撃により、ヨーロッパの複数の製造業でランサムウェアによる被害を引き起こしています。

VPNからZTNAへ移行するメリット

あらゆる側面で問題のあるVPNに代わる仕組みとして、IT業界をはじめ様々な業界で注目が高まっているのがZTNAです。VPNからZTNAへ移行するメリットは具体的にどのようなものでしょうか？

1. リソースやポートに対する攻撃リスクを抑制できる

ZTNAでは基本的にユーザー（端末）は、ZTNAベンダーが提供するアクセスポイントと通信します。そのため、社内ネットワークなどのリソース（いわば開口部）を外部から隠せるため、VPNと比べ外部からの攻撃リスクを抑えられます。

2. マルウェアの拡散を抑えることができる

VPNではネットワークレベルでの接続がされるため、端末からのマルウェア・ランサムウェアが容易に拡散されてしまいます。一方で、ZTNAではアプリケーションレベルでのアクセスになり、端末からのマルウェア・ランサムウェアの拡散を防ぐことができます。仮に侵入されたとしても、ZTNAはVPNと比べると被害範囲を限定できるでしょう。

3. 認証・認可を強固かつきめ細かく制御できる

上述の事例の通り、旧型のVPN装置はパスワード認証だけのものも少なくありません。またVPNに限らず複数のサービスを利用するケースにおいて、その認証強度がまちまちであることもよくあります。

パスワードの使い回しや、容易に想像がつく低強度のパスワードなどは不正アクセスの原因になりがちです。ZTNAでは多要素認証を含む認証・認可のポリシーをアプリケーションレベルで設定でき、かつ一元管理できます。セキュリティの運用・保守をシンプルにしたい場合はZTNAがおすすめです。

4. ネットワークトラフィックの集中や遅延を防げる

VPNでは、基本的にすべての通信が社内ネットワークを経由します。そのためMicrosoft TeamsやZoomといったクラウド上にあるリソースも、社内ネットワーク経由でアクセスします。多くの従業員がVPNを利用することでトラフィックが集中し、通信の遅延などが生じやすいです。

ZTNAは一度認証を通れば社内ネットワークを経由することなく直接クラウド上のリソースにアクセスできるため、トラフィックの集中や遅延を防止できるというメリットがあります。

VPNを利用する上でのトラフィック抑制の仕組みとしてはインターネットブレイクアウトという手法がありますが、別途セキュリティ対策を検討しなければなりません。ZTNAのソリューションにはSWGやCASBといった便利な機能を備えたタイプもあるため、機能が豊富なものを選べば普段の業務効率をアップできます。

機能	詳細
SWG（セキュア Web ゲートウェイ）	Webおよびインターネットのトラフィックを分析、Web リクエストを検査および定義済みのポリシーと照合して悪意あるパケットを送信先への到達前にフィルタリングすることでサイバー脅威やウイルス感染に対してセキュリティを確保するWebセキュリティソリューション
CASB（Cloud Access Security Broker）	ユーザーと複数のクラウドサービスプロバイダーの間に単一のコントロールポイントを設けてクラウドサービスの利用状況を可視化・制御し、一貫性のあるセキュリティポリシーを適用するサービス

ZTNAを構築して脱VPN！

リモートワークの浸透によってワークプレイスの境界は曖昧になり、そこに乗じようとするサイバー犯罪者はその牙と爪を磨いています。こうした環境の変化とリスクの高まりに対し、VPNでは限界が来つつあるのは事実です。

企業はゼロトラストの原則に則り、境界型セキュリティから脱却する必要性があります。ZTNAはゼロトラストを体現し、脱VPNを推進するためのテクノロジーとして、ますます必要性が高まるでしょう。

ZTNAは安全性を保ちながら、快適な業務環境を提供するソリューションです。IIJはZTNAのソリューションサービス「Safous」を提供しています。詳しくは下記Safousのウェブサイトをご覧いただくか、お問い合わせボタンからIIJへお気軽にお問い合わせください。

Safous公式ウェブサイト

関連リンク

• ゼロトラストネットワークアクセス（ZTNA）とは。背景やゼロトラストを実現する機能を解説
• SASEとは？ ゼロトラストネットワークアクセス（ZTNA）とどう違い、どのような機能があるのか
• ゼロトラストネットワークとは？境界防御にはない強靭性・利便性のポイントを解説