第5回SaaSセキュリティリーグ会議
「SaaSセキュリティリーグ」は、SaaSユーザー企業の実務者同士で情報交換を行う取り組みである。SaaS管理者やセキュリティ担当者を横串でつなぎ、知見交換を行うことで、セキュリティレベル向上に貢献していくことを目的としている。ここでは、「SaaSセキュリティリーグ」が行った第5回会議の内容をまとめて公開する。
問題点の概要
「VPNは危険だ」という言説が広まっている。ランサムウェア被害の報道でVPNが侵入経路として言及されることが増え、セキュリティベンダーはこぞって「脱VPN・ゼロトラスト移行」を訴えている。
このような状況を受けて、今回のSaaSセキュリティリーグでは、VPN利用の現状、ZTNAへの移行状況等についてディスカッションを行った。
ディスカッション内容
- VPN利用状況の現状:VPNをどのような用途で使っているか
VPN自体は、現状各組織で使われている状況である。VPNの問題自体は認識されており、ZTNAへの移行に向けての作業、準備が進められている。
VPNの利用については、以下の3つのポイントで考える必要があり、この中で、VPNの廃止を進めているのは、リモートアクセスおよびサードベンダー用アクセスということである。- 従業員のリモートアクセス
- サードベンダー用アクセス
- 拠点間アクセス
また、お客様の方でVPNアクセスを求められることがあり、これはVPN接続せざるをえないという指摘があった。その際には、運用として会社のネットワークからは使わせないようにする対応を取っているとのことである。
- SaaS/クラウドへのアクセスはVPN経由かどうか
リモートアクセスとSaaSアクセスは特に区別せず同じ扱いをしている。
一旦オンプレにつないでからクラウドにアクセスしている。
スプリットVPNも使われているが、あくまで限定した形での利用とている。特に、Zoom・Teams等のリアルタイム通信が必要とされる場合に利用している。
クラウドアクセスのパターンは以下の3つに分けられる:- SASE/CASB経由
- 端末からダイレクトにクラウドサービスに接続(パフォーマンス、可用性の問題)。
- ZTNAであっても、一旦社内に持ってきてからインターネットに接続する(アクセス元を管理したいケースに利用)。IPアドレスでコントロールし、外に出るIPアドレスで経路を特定することができる。
- VPN廃止の検討、計画の状況
従業員のリモートアクセスおよびベンダーアクセスVPNは全廃の方向で進めている。従業員のリモートアクセスについては、インターネット経由はすでに無くしているところもあり、ZTNAに移行している。リモートデスクトップに近いやり方で制御している。
ベンダーアクセスについては、なるべく無くす方向で進めている。主要な相手とは専用回線のVPNで対応している。
拠点間アクセスは、継続してVPNを利用している。 - ZTNA(SASE)への移行の問題点
VPNを廃止する場合の問題点として、以下が上げられた:- SIPがルーターを超えられないので、VPN接続せざるを得ないところがある。コールセンターの音声系など。
- SASEが高い。
- 子会社の一部などADドメインに参加していない独立したネットワークがある。ADドメインに参加していない子会社の端末でも、ZTNAエージェントをインストールしてIdPでログインできれば、同じポリシーで制御できるのではないか。
- SaaS製品の問題がネットワーク側の問題とされるケースがあるが、SASEとほかの製品との問題点の切り分けは特に問題にはなっていない。
- その他
- 中小企業向けの対策としてZTNAはどうなのか、軽量な接続方法としてVPNは残るかという観点での検討が必要ではないかという指摘があった。Tailscale などの利用の検討する必要があるとのことである。また、SaaSを中心に業務を行っている小規模組織に対しては、SSEの利用も考えられるのではという指摘があった。
- 経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」において、発注者(委託元)が取引先(受注者・委託先)に対してセキュリティ強化を依頼した場合に、セキュリティ対策コストの価格転嫁ができるとの意見があった。これにより、ZTNAへの移行が進められるかもしれないという指摘である。
- 参考資料
以上