【スポンサーリンク】

FWとVPNを一体化させる利点・欠点(UTM)

  • ファイアウォールにVPN機能を組み込むことは、一見便利ですが問題もあります。
  • ファイアウォールとVPNを分けて、それぞれに特化したシステムを使った方が管理しやすいことも多いのです。
  • 特に、大規模な組織やクラウドサービスを主に使う場合、UTM(統合脅威管理)は適していません。

「Keep It Simple and Stupid」ということかぁ。

外部から社内システムにリモートアクセスするより、直接クラウドサービスを利用するようにした方が安全なんだね。

\記事が役に立ったらシェアしてね/
【スポンサーリンク】

FWにVPNを組み込む運用とは?

「FWでVPNを使わない方がいい1」って聞いたんだけど、どういうこと?

VPNを使った方が安全なんじゃないの?

ここで問題になっているのは、
「FWとVPNという本来は違う機能をひとまとめにすること」
についての是非です。

「ファイアウォール(FW)」も「インターネットVPN」も、ネットワークセキュリティに関係していますが、方向性は異なります。

対応するリスクの違い
  • ファイアウォールは、
    ネットワークへのアクセスを制御することに重点を置いている
  • VPNは、
    通信データ自体を保護することに重点を置いている
たとえば、
  • リモートワークの場合、ファイアウォールは職場のネットワークへの不正アクセスを防ぎますが、VPNは自宅と職場の間の通信を暗号化して保護します。
  • 公衆Wi-Fiを利用する場合、ファイアウォールは端末へのマルウェアの侵入を防ぎますが、VPNはWi-Fi上の通信を暗号化して保護します。

既存の「ファイアウォール(FW)」に「インターネットVPN」の機能を組み込むのは、ネットワークセキュリティ(安全性)とリモートアクセス(利便性)を一元的に管理するためです。

FWで外部からの不正なアクセスから社内ネットワークを保護すると同時に、VPNでリモートワーカーからの安全なアクセスを提供することができるからです。

インターネットVPN

「インターネットVPN(Virtual Private Network)」は、インターネットを介して暗号化されたトンネルを作成し、リモートアクセスや拠点間通信を実現する技術です。

FWにVPNを組み込んだ経緯

FWにVPNを組み込むようになったのは、通信技術の進歩とともにネットワークセキュリティとリモートアクセスに対するニーズが高まってきたことと密接に関連しています。

そのニーズに対応するため、ファイアウォール、VPN、その他のセキュリティ機能を単一のデバイスに統合した「UTM(Unified Threat Management:統合脅威管理)」という手法が生まれました。

つまり、「FWにVPNを組み込む」ことは、UTMを利用することと同じ意味合いを持ちます。

  1. インターネットの普及(1990年代)
    1990年代にインターネットが普及し始めると、企業はインターネットを介して社内ネットワークにアクセスする必要性が高まりました。
    当初、専用線を使用していましたが、コストが高く柔軟性に欠けていました。
  2. VPNの登場(1990年代後半)
    1990年代後半、VPNの概念が登場しました。
    VPNを使用することで、インターネット上に安全な通信トンネルを作成し、リモートアクセスを実現できるようになりました。
  3. ファイアウォールの進化(2000年代初頭)
    2000年代初頭、ファイアウォールは、単なるパケットフィルタリングから、より高度な機能を備えたステートフルインスペクションファイアウォールへと進化しました。
  4. UTMの登場(2000年代中頃)
    2000年代中頃、UTM(Unified Threat Management)の概念が登場しました。
    UTMは、ファイアウォール、VPN、アンチウイルス、侵入防止システム(IPS)などの複数のセキュリティ機能を単一のデバイスに統合したものです。
  5. FWでのVPN使用の普及(2000年代後半)
    多くの企業がネットワークセキュリティとリモートアクセスを一元的に管理するために、ファイアウォールにVPN機能を組み込むようになりました。

FWにVPNを組み込む問題点

ファイアウォールにVPN機能を組み込めば、一見便利で効率的に見えます。
しかし、実際には複雑性が増し、かえって運用やメンテナンスが難しくなる問題点も表面化してきました。

  1. クラウドサービスの普及と新たな課題(2010年代)
    2010年代に入ると、クラウドサービスの普及により、ネットワークのセキュリティ要件が大きく変化しました。
    クラウドサービスを利用する際、従来のFWでのVPN使用では、十分な柔軟性とスケーラビリティを提供できない場合があります。
  2. ゼロトラストセキュリティモデルの台頭(2010年代後半)
    2010年代後半、ゼロトラストセキュリティモデルが注目を集めるようになりました。
    このモデルでは、ネットワークの境界に関係なく、すべてのアクセスを検証し、制御します。
    これにより、従来のFWでのVPN使用の限界が明らかになってきました。

最近のセキュリティトレンドと運用の観点からは、ファイアウォールでVPNを使用することには、いくつかの重要な懸念事項があるのです。

FWでVPN使用の問題点
  • パフォーマンスと運用への影響
    VPN処理によるFWの負荷とネットワークパフォーマンスへの影響
    最新状態を維持するための頻繁なアップデートと予期せぬ影響のリスク
  • セキュリティとトラブルシューティングの課題
    VPNの脆弱性への即座の対応の必要性とネットワーク全体への影響
    ファイアウォールとVPNの統合による問題解決の複雑さと専門知識の必要性
  • 柔軟性とベンダーロックインの問題
    FWとVPNの密接な結合による個別の最適化や変更の困難さ
    単一ベンダーへの依存によるソリューションの移行の困難さとコストの増加

UTMは小規模向けだがクラウドには不適

UTMは、中小企業のシンプルな社内ネットワークでは有効です。
しかし、大規模な組織やクラウドサービスをメインに利用する場合には、あまり効果的ではないからです。

UTMが向いているパターン
  • 中小企業や単一拠点の組織
    複数のセキュリティ機能を一元的に管理できます。
    コストを削減し、管理を簡素化できます。
  • 比較的シンプルなネットワーク環境
    単一のデバイスでセキュリティを管理できるため、運用が容易になります。
  • セキュリティ専門知識が限られている組織
    UTMを使用することで、包括的なセキュリティソリューションを導入できます。
    UTMベンダーが提供するサポートや定期的な更新により、セキュリティを維持できます。

FWでのVPN使用から、より柔軟で拡張性の高いソリューションへの移行を検討する組織も出てきています。

UTMが適さないパターン
  • 大規模な組織や複雑なネットワーク環境
    UTMは十分なスケーラビリティと柔軟性を提供できない可能性があります。
    個別の専用デバイスを使用する方が、パフォーマンスと管理性に優れています。
  • クラウドサービスを多用する組織
    クラウドに最適化されたセキュリティソリューションが適しています。

クラウドサービスは、中小企業でも利用が当たり前になっているよね。

代替アプローチ

FW、VPNの方法の本質的な問題点は、「信頼できるユーザー」と「そうでないユーザー」を区別することです。
一度、信頼が確立してしまうと内部ネットワークで(比較的)自由にアクセスできてしまうからです。

そのため、管理の行き届いていないVPNが、不正アクセスの被害を大きくしてしまうことがあります。
とくに、ファイアウォールとVPNが一体化していると管理が複雑だからです。

代替アプローチ
  • 専用のVPN機器・サービス
    FWとVPNを分離し、それぞれに最適化された製品やサービスを利用する。
  • マイクロセグメンテーション
    攻撃の影響範囲を最小限に抑えるために、ネットワークを小さなセグメントに分割する。
  • ゼロトラストセキュリティモデル ・クラウドベース
    ネットワークセキュリティとアクセス管理を一元化するため、SASEなどの統合されたクラウドサービスを利用する。
    ネットワークの境界防御に依存せず、各リソースごとに認証と認可を行うことで、より柔軟で安全なアクセス制御が可能になる。

ゼロトラストとSASE(Secure Access Service Edge)

そもそも「信頼できるユーザー」を区別せず、個別のデータごとにアクセスの認証をする「ゼロトラストセキュリティモデル」が注目されています。

たとえば

ゼロトラストセキュリティモデルの原則に基づいて設計されたサービスの一例として、Google Document や OneDrive、Dropboxなどがあります。
ユーザーは、ネットワークの場所や状態に関係なく、個別に認証および認可され、きめ細かなアクセス制御が適用されます。

企業システムでは、有力なのがクラウドベースのセキュリティモデルである SASE(Secure Access Service Edge)です。

社内システム・ネットワークを構築してVPNでアクセスするのではなく、クラウドベースのサービスに移行してすべてのアクセスを個別に認証するようにするのです。

SASE

SASEは、ネットワークセキュリティとアクセス管理機能をクラウドで提供するサービスモデルです。
これには、ファイアウォール、VPN、ゼロトラストネットワークアクセス(ZTNA)、クラウドアクセスセキュリティブローカー(CASB)、セキュアWebゲートウェイ(SWG)などの機能が含まれます。

ちなみに、Google Documentは、SASEの原則やコンセプトを部分的には具体化したサービスですが、完全なSASEソリューションとは言えません。
Google Documentは文書作成と共同編集に特化したサービスであり、ネットワークセキュリティ、ファイアウォール、VPN、CASBなどの機能は提供していないからです。

こちらもどうぞ。
個人用OneDriveと仕事用OneDriveを共存させる
OneDriveのタスクトレイアイコンが白い場合と青い場合があるのはどうして? タスクトレイのOneDriveアイコンには 2種類あります。OneDriveのアイコンの色は、現在アクティブなアカウントの種類を表しています。 白いアイコンは、個人用OneDriveアカウント 青いアイコンは、OneDrive for Businessアカウント OneDriveアプリの設定で、個人のMicrosoft...

「仮想」と「virtual」
日本語の「仮想」という言葉には、2通りの意味合いがあります。 一般的には「そこにはない」というネガティブなイメージで使われることが多いですが、IT用語の「仮想」は「実質的にそこにある」というポジティブな意味が強いです。 「仮想」という言葉から連想するのが、「空想」とか「かりそめ」とか「想像上」みたいな感じなんだよね。そっちにイメージが引っ張られるなぁ。 言葉の意味の多様さを感じさせる事例と言えます...

「VPN」とは?(IPsec)
「VPN」は、インターネット通信を暗号化するための仕組みです。 ざっくり言うと、公衆 Wi-Fi からインターネットにアクセスするときに、途中経路で情報漏えいすることを防ぎます。 「テレワーク」で、社外から社内システムにアクセスするときには、通信の暗号化が必要になります。 インターネットは「開かれた通信網」 「VPN」っていう言葉を見かけるんだけど、なんなのかな?インターネットのセキュリティで、必...

「Google接続サービス」アプリって何をしているの?【Googleの公衆Wi-FiとVPN】
「Google接続サービス」は、「GoogleのフリーWi-Fi」でセキュリティ保護された通信(VPN)ができるようにするアプリです。 海外(特に米国)では有用な機能のようです。しかし、Googleは日本国内では まだフリーWi-Fiを提供していないので利用できません。 PixelやNexusなど「Google製」のスマホ・タブレットにインストールされています。 キーワードは「VPN」。 「Goo...

(補足)

  1. ごごてぃさん: 「FWでVPN使うのはもうやめたほうがいい気がする。 / X
QRコードを読み込むと、関連記事を確認できます。

FWとVPNを一体化させる利点・欠点(UTM)
【スポンサーリンク】
タイトルとURLをコピーしました