「VPN繋げば社内と同じなので大丈夫です」——リモートワーク導入時にこう言われた現場は少なくありません。
しかしこの「社内と同じ」という状態が、実はリスクの源泉でもあります。VPNで社内ネットワークに接続した瞬間、その端末は社内のあらゆるリソースへの経路を持つことになります。端末が侵害されていたら——考えたくない話ですが、現実に起きています。
この記事では、VPNとゼロトラストの設計思想の違いと、現実的な移行アプローチを整理します。
VPNとは——「トンネルを掘って社内ネットワークに接続する」仕組み
VPN(Virtual Private Network) インターネット上に暗号化されたトンネルを構築し、リモートの端末を社内ネットワークに接続する技術。接続後は物理的に社内にいるのと同じネットワーク環境になる。
VPNが有効だった時代の前提
VPNは「社内ネットワーク=安全」という前提の上に成り立っています。ファイアウォールで外と内を分け、内側に入れた人・端末は信頼するという境界防御モデルです。
オンプレミス中心の時代には、この前提は概ね成立していました。社内にリソースが集中しており、社内ネットワークへのアクセス経路を守ることがセキュリティの中心でした。
VPNが抱える構造的なリスク
クラウド化・リモートワークの普及により、VPNの前提が崩れています。
| VPNの構造的なリスク | 内容 |
|---|---|
| 一度接続したら広範囲にアクセスできる | VPN接続後は社内の多くのリソースに到達できる状態になる |
| 端末のセキュリティ状態を問わない | マルウェアに感染した端末でもVPN接続できてしまう |
| 接続元の正当性をパスワードのみで判断 | 認証情報が漏えいすれば誰でも接続できる |
| クラウドリソースへの経路が非効率 | 社内経由でクラウドにアクセスするため遅延が発生する |
ネットワークセグメンテーションの考え方と組み合わせることで、VPN経由の横移動リスクを軽減できます。詳しくは「ネットワークセグメンテーション入門」を参照してください。
ゼロトラストとは——「ネットワークの場所を信頼しない」考え方
ゼロトラスト(Zero Trust) 「すべてのアクセスを信頼しない」を原則とするセキュリティモデル。社内ネットワークにいるかどうかに関わらず、アクセスのたびに認証・認可・デバイスの状態を検証する。
ゼロトラストの基本的な考え方は「Never Trust, Always Verify(決して信頼せず、常に検証する)」です。
ゼロトラストの基本原則
| 原則 | 内容 |
|---|---|
| IDの検証 | ユーザーが誰かを毎回確認する(MFA必須) |
| デバイスの検証 | アクセスする端末が安全な状態かを確認する |
| 最小権限のアクセス | 必要なリソースへのアクセスのみ許可する |
| 継続的な監視 | アクセス中も異常がないか監視する |
| 侵害を前提とした設計 | 侵害されることを前提に被害を最小化する設計にする |
ゼロトラストのAzureでの実装パターンについては「ゼロトラストとは?Azureでの実装パターン」で詳しく解説しています。
VPNとゼロトラストの根本的な違い
| 比較項目 | VPN(境界防御) | ゼロトラスト |
|---|---|---|
| 信頼の基準 | ネットワークの場所(社内か否か) | ID・デバイス・状況の組み合わせ |
| アクセス許可のタイミング | 接続時に一度だけ | アクセスのたびに検証 |
| 接続後の制御 | 広範囲にアクセス可能 | 必要なリソースのみ許可 |
| デバイスの状態確認 | 基本的に確認しない | 常に確認する |
| クラウドへの親和性 | 低い(社内経由が必要) | 高い(直接アクセス) |
移行の現実——「今すぐVPNをやめる」は正しいか
VPNとゼロトラストは対立しない
「ゼロトラスト=VPN廃止」という誤解がありますが、これは正確ではありません。ゼロトラストはセキュリティの考え方(モデル)であり、VPNは技術(ツール)です。
ゼロトラストの原則に従ってVPNを使うことも可能ですし、段階的にVPNへの依存を減らしながらゼロトラストの仕組みを整備していくことが現実的なアプローチです。
移行の段階的なアプローチ
一度にすべてを切り替えようとすると、業務への影響が大きく現場が混乱します。以下の3フェーズで段階的に進めることを推奨します。
フェーズ1(基盤整備):MFAの全社展開・条件付きアクセスの設定・デバイス管理の開始
フェーズ2(アクセス制御の強化):クラウドリソースへの直接アクセス化・VPN経由の通信を限定化・デバイスコンプライアンスの適用
フェーズ3(VPN依存の解消):オンプレリソースのクラウド移行・残存するVPN用途の代替手段への移行・VPNの段階的縮小
ゼロトラスト移行の具体的な第一歩
まず条件付きアクセスから始める
ゼロトラスト移行の入口として最も取り組みやすいのが条件付きアクセスです。「誰が・どこから・何のデバイスで」アクセスするかに応じてアクセスを制御することで、VPNに頼らないセキュリティ制御を実現できます。
条件付きアクセスの設計パターンについては「条件付きアクセスの設計パターン」を参照してください。
デバイス管理(Intune)を整備する
ゼロトラストでは「このデバイスは安全か」を確認することが重要です。Microsoft Intuneを使ってデバイスを管理し、OSのバージョン・暗号化・ウイルス対策の状態がポリシーを満たしているかを確認します。
Microsoft Intune Microsoftのクラウドベースのデバイス管理サービス。Windows・iOS・Androidなどのデバイスを一元管理し、セキュリティポリシーの適用やアプリの配布を行う。
条件付きアクセスと組み合わせることで「Intune準拠デバイスからのみアクセスを許可する」という制御が可能になります。
IDの保護を強化する
ゼロトラストの中心はIDです。MFAの全社展開・パスワードポリシーの見直し・特権アカウントのPIM適用を優先して進めてください。
MFAの仕組みと導入については「MFAとは?」を参照してください。
よくある失敗パターン——移行を急いで現場が混乱した事例
① 全社一斉にVPNを廃止して業務が止まった
「ゼロトラストに移行するからVPNを廃止する」と一斉に切り替えた結果、オンプレリソースにアクセスできない部門が続出したケースです。VPNへの依存度をシステム・部門別に調査し、代替手段が整ってから段階的に廃止してください。
② 条件付きアクセスを設定したがVPN時代の権限設計が残っていた
条件付きアクセスでアクセス制御を強化したが、VPN経由で社内ネットワークに入れば何でもできる状態が残っていたケースです。ゼロトラストは「認証の強化」だけでなく「権限の最小化」もセットで進める必要があります。
③ Intuneの準拠デバイス要件を設定したが展開が間に合わなかった
条件付きアクセスで準拠デバイスを要求するポリシーを有効にしたが、Intuneへの登録が完了していない端末が多く、ユーザーがアクセスできなくなったケースです。必ずレポート専用モードで影響範囲を確認してから有効化してください。
④ ゼロトラストを「製品導入」と勘違いした
「ゼロトラスト製品を買えばゼロトラストになる」という誤解です。ゼロトラストは製品ではなく設計思想です。製品を導入しても、IDの管理・権限の最小化・デバイスの管理・監視の仕組みが整っていなければ意味がありません。
実務チェックリスト——ゼロトラスト移行の準備状況確認
現状把握
- [ ] 現在VPNが必要なシステム・用途を洗い出しているか
- [ ] VPN接続後にアクセスできるリソースの範囲を把握しているか
- [ ] MFAが全ユーザーに展開されているか
フェーズ1の実施状況
- [ ] 条件付きアクセスで管理者アカウントへのMFA要求を設定したか
- [ ] 社外からのアクセスに条件付きアクセスを適用したか
- [ ] Intuneによるデバイス管理を開始したか
フェーズ2以降の計画
- [ ] クラウドリソースへの直接アクセス化の計画があるか
- [ ] VPN経由の通信を限定化するロードマップがあるか
- [ ] オンプレリソースのクラウド移行の計画があるか
クラウドセキュリティの全体像については「クラウドセキュリティとは?」を参照してください。
まとめ——今日確認すべきことは1つです
今日やることは1つだけです。自社のVPN接続後に、どの範囲のリソースにアクセスできるか確認してください。
「VPN接続後は社内のすべてにアクセスできる」状態であれば、まず条件付きアクセスとMFAの整備から始めることをお勧めします。ゼロトラストへの移行は一夜にして完了するものではありませんが、「今日できる第一歩」から始めることが重要です。
あわせてご覧ください
コメント