IAPとは？VPNの課題やZTNAとの相性も交えて解説！

IAPとは？

IAP(Identity-Aware Proxy：アイデンティティー認識型プロキシー）は、プロキシーを活用してデータ通信を行うセキュリティソリューションの一つです。
プロキシが通信の中継役を担うことで匿名性の確保やウイルスチェックを行い、セキュリティレベルの向上や不正アクセスのリスク軽減に寄与します。また、IAPではコネクターと呼ばれるサーバーを経由してアプリケーションに接続します。

暗号化した状態で通信を行うのでデータの破壊・改ざん・盗聴などを防ぎ、安全にデータ通信を行うことが可能です。
アプリケーションにログインするたびに認証を求めることから、ZTNA（Zero Trust Network Access：ゼロトラストネットワークアクセス）に導入されています。
また、現在企業のリモートワークを実現しているVPN(Virtual Private Network)からする要素の一つとしても考えられています。

IAPの主な機能

	機能	効果
コネクター	IAPとアプリケーション・クラウドサービスの窓口 IAP側に発信を行うサーバー	利便性確保不正アクセスのリスク軽減リソースの使用量節約ログオンの高速化
エージェント	データ通信を仲介するソフトウェア HTTPやSSLなど、HTTPSプロトコルでもアプリケーションの利用が可能
IAM連携	ユーザー属性・アクセス地点・使用端末などからアクセス許可を破断通常のアクセス傾向とは異なる端末や場所からのアクセスでは、多要素認証の要求を実施
名前解決	人物名が使用されたドメイン名からIPアドレスを特定アプリケーションへのアクセスを許可
RDP変換	サーバー側での画面情報をクライアントに転送して映し出すプロトコルの一つ Windowsのリモートデスクトップで利用可能

現在のリモートワークを支えるVPNとは？

VPNはインターネット上に仮想の専用線を敷いた通信ネットワークです。
全てのアクセスは1台のVPNゲートウェイを必ず経由してから社内アクセスに侵入する形となり、社外からでもアクセスできる状態を整えます。

また、トンネリング技術とデータ通信の暗号化により、セキュリティ対策に不安を抱えるカフェやファストフード店などで作業をしたとしても、第3者からのデータ通信の改ざん・盗聴・破壊のリスクを軽減します。
プライベートネットワークを構築して外部から低コストで安全なアクセスを実現するVPNですが、同時に課題も抱えています。

VPNが抱える4つの課題とは？

IAPとの違いも含めて課題を一つひとつ確認していきます。

セキュリティ対策に不安

VPNは「社内は安全で、危険が伴う社外からのアクセスに注意を払う」との考えに基づく、社内と社外の区別を明確にした境界線セキュリティモデルが主流だった時に導入されたネットワークでした。
そのため、外部アクセスがVPNゲートウェイを通り抜けた後は正規のアクセスと見なされ、自由に社内のデータファイルを閲覧することが可能です。

例えば、第3者がアカウント情報のハッキングを行い、社員になりすまして不正アクセスを行った場合や複数のPCを乗っ取って対象のWebサイト・サーバーにサイバー攻撃を仕掛けるDDoS攻撃などが見抜けません。
また、内部の不正行為に関してのチェック機能がほとんど稼働していないので、内部漏洩が発生しやすい状況が作られます。
特に現在はテレワークやサテライトオフィスワークなど、オフィス外で仕事を行う機会が増加しており、オフィスでは機能していた監視の目が無くなっています。

所属企業に不満を抱えていた社員が多額の金銭的見返りと引き換えに企業の機密情報を流出させたとしても、不思議では無い状況です。
一方で、IAPはアクセスに注視しているのではなく、アプリケーションの保護に注力しています。
コネクターが通信の窓口となるため直接アプリケーションにはアクセスできず、アクセス地点に関わらず毎回認証が確認されます。

少しでも異変があった場合は生体認証やワンタイムパスワードなどによる多要素認証が課せられるので、精度の高い本人認証が可能です。

内部漏洩の発生理由と企業への影響

	内部漏洩の決断理由	内部漏洩が発生しやすい理由	企業への影響
内容	給料・待遇への不満人間関係のトラブル所属企業への恨み転職先での地位確立	自由度の高い環境で仕事をする機会の増加企業は社員が不正行為を起こさない前提で雇用企業は社員の行動を全て把握することは困難退職した社員のケアも必要多額の金銭的見返りが入手可能	莫大な利益の損失社会的信用失墜顧客離れ市場での優位性低下企業ブランドの失墜優秀な社員の流出

ファイアウォールの設定変更は不要

VPNの場合、インターネットとファイアウォールの間にDMZ(DeMilitarized Zone)を設けて、外部からのアクセスをより確実にVPNゲートウェイが通過できるようファイアウォールの設定を緩めている場合がありました。ファイアーウォールは外部からの不正アクセスをブロックするのが役割ですが、基準を緩めてしまうと不正アクセスを通してしまうリスクが高まります。

ファイアウォールがアクセスを判別する基準はIPアドレスとポート番号です。IPアドレスとポート番号が偽装されていた場合は社内ネットワークへの侵入を許してしまうため、未知のマルウェアやWebアプリケーションを狙った脆弱性攻撃は検知できません。

また、DMZも未知のマルウェアへの対応やWebサーバーの脆弱性を改善できるものでは無いため、IPS・IDSなど多層防御しながら安全性を高めておく必要があります。
つまり、防げない攻撃が多いにも関わらずファイアウォールの設定を緩めることは、サイバー攻撃に遭う確率や情報盗取のリスクを向上させているのと同じことです。
一方、IAPの場合はコネクター経由で通信を行うため、ファイアウォールの設定変更をせずに通信を継続できます。

不安定な通信状態

外出先から社内ネットワークにアクセスする場合は必ずVPNゲートウェイを経由します。
ただし、VPNゲートウェイは一台しか設置しないため、ユーザーからのアクセス地点と企業が保有するデータセンターがVPNゲートウェイと離れている場合は拠点間の通信経路に無駄が多くなり、通信速度の低下やアクセス障害を招きます。

そして、海外に拠点を展開している企業では通信障害や電気代の高騰に悩まされる他、脆弱性を突かれて情報漏洩が起きるリスクも高まります。

スケーラビリティが低い

VPNは特定の拠点間を結ぶためのネットワークです。
そのため、全国を対象に拠点を展開している企業はVPNゲートウェイを必要な分だけ用意しなければならず、コストがかさみます。

また、ルーターやネットワーク機器のリソース消費も多いため、キャパシティ以上にユーザー数が増加した場合は不具合が発生します。
急激にユーザーが増えた場合はキャパシティを見直したうえで、再度VPN機器の購入が必要です。

IAP認証を採用するZTNAとは？

ZTNAは、アメリカのForrester Research社が提唱した「全てのアクセスに危険が潜んでいる」の考えに基づいて考案されたネットワークアクセスです。セキュリティモデルとして一貫してゼロトラストと呼ばれる事もあります。
ユーザー、デバイス機器、アクセス地点を問わずに全てのアクセスに対して毎回認証を求めます。そのため、10秒前にログアウトしたアプリケーションに10秒後再びログインをした場合でも、認証を要求される性悪説に戻づいたアプローチです。

境界型モデルでは警戒が薄かった内部ネットワーク侵入後の不正行為を防ぐことができる点やクラウドサービス利用の増加に伴い、安全性と利便性を備えたネットワークとして注目が高まっています。

ZTNAの4つの導入メリットとは？

通信性を安定させつつ、組織全体のセキュリティレベルの向上が図れます。
また、クラウド上での処理が多くなるため、管理者の業務負担を軽減します。

セキュリティレベルの向上

IDPを用いてコネクター経由で通信を行うため、VPNゲートウェイのように間口を広くしておく必要がありません。
外部からの通信を待たずアクセス要求があった時以外は侵入口を隠しておくため、不正アクセスやサイバー攻撃に遭うリスクを大幅に軽減できるからです。
また、コネクターの更新作業や脆弱性対応はベンダーが自動的に対応するため、未知のマルウェアへの対応や管理者の業務負担を軽減できます。

通信性が安定

1か所しか設置されなかったVPNゲートウェイとは異なり、ZTNAは多数のアクセスポイントを用意しています。
ベンダーは世界各地にユーザーを抱えておりアクセスポイントが少ないと、頻繁に通信障害が発生するからです。
アクセスポイントが多数存在することで通信速度の低下やアクセス障害のリスクを軽減する他、自動的に最寄りのアクセスポイントに誘導することで、特定のアクセスポイントへの集中を防ぎます。

ユーザー数増加に対して柔軟に対応可能

クラウド上でのデータ処理が多くなるため、ユーザー数の増減に柔軟に対応可能です。
VPNの時には気にしていたサイジングの問題も気に留める必要が無くなり、管理者の作業効率上昇が期待できます。

拠点間におけるセキュリティレベルのばらつきを解消

VPNの場合はVPNゲートウェイやセキュリティポリシーの設定が地域ごとの管理者に一任していたケースが多かったため、ヒューマンエラーによる脆弱性が生まれやすい傾向にありました。
特に海外に拠点を置く企業は現地社員と頻繁にコミュニケーションを取る機会が少ないため、本社の方針や意見を十分に反映しきれない場合が多々ありました。

典型的な例として、三菱電機は2019年に中国拠点におけるVPNのセキュリティに関する脆弱性を突かれてハッカー集団に不正アクセスを許し、機密情報の流出を許しています。
近年の犯罪者は知識と技術を向上させ、組織の弱点や不正アクセスができる侵入口を探して攻撃を仕掛ける傾向が強いため、注意が必要です。
ZTNAを導入することによって組織全体のアクセス管理をポリシーによって一元化し、一貫性のあるアクセス管理を実現します。

ZTNAに導入すべきセキュリティソリューションとは？

SWGとCASBの機能を紹介します。

SWG

SWG（Secure Web Gateway）はクラウド型のプロキシで、IPアドレスやURLから業務上関係ないサイトや危険なサイトへのアクセスをブロックするサービスをクラウド上で展開するセキュリティソリューションです。
IPアドレスやURLでは判断が付かない場合でもサンドボックスを活用して通信内容を解析し、危険なサイトへのアクセスを防ぎます。

ZTNAは基本的に自社が保有する情報資産へのアクセスを防ぐの対し、SWGは外部環境での情報流出のリスク軽減が可能です。
他にもWebフィルタリングやアプリケーション制御機能などを搭載し、常にデータ更新が行われているためリアルタイムでの情報を反映した判断を下せます。
また、操作の簡素化や相互運用性の課題を解消するためにも、ZTNAとSWGをセットで販売しているベンダーを選ぶことが推奨されています。

SWGの機能

	機能	効果
Webフィルタリング	業務上関係性の低いWebサイトへのアクセスを制限・ブロック SNSへの書き込み禁止やセキュリティ保護に問題のあるサイトへのアクセスをブロック	情報漏洩のリスク軽減内部漏洩の抑止力業務効率改善標的型攻撃対策ゼロデイ攻撃対策未知のマルウェアにも対応
サンドボックス	マルウェアやサイバー攻撃を検知・解析隔離された環境でプログラムを解析するため、ネットワークへの影響を最小化
アプリケーション制御	業務効率低下や情報漏洩につながる危険のあるアプリケーションの利用を制限・禁止
アンチウイルス	データファイル内に忍び込んだウイルスを検知・駆除感染したファイルの修復

CASB

CASB（Cloud Access Security Broker）は、クラウドサービスの利用状況の可視化・通信制御を行うセキュリティソリューションです。
Office365やSalesforceなど、企業で利用が増加するSaaS(Software as a Service)におけるユーザー行動を見える化し、シャドーITによる情報漏洩を防ぎます。
他にもコントロール機能や脅威防御によって特定のサービスへの不審なアクセスをブロックすることが可能です。

SWGで外部アクセスによる情報盗取のリスクを減らしつつ、CASBでSaaSにおける内部漏洩のリスクを軽減する形になります。

CASBの機能

	機能	効果
クラウドサービスの可視化・制御	社内で利用されている全てのクラウドサービスの利用を可視化サービスごとの安全基準に基づいたリスク評価ユーザーのアップロード・ダウンロードの可視化	シャドーIT防止内部漏洩の検知・予防情報漏洩のリスク軽減利便性を失うこと無く安全性の向上を実現
アクセスコントロール	1つのセキュリティポリシーで、クラウドサービスやWebサイトのコントロール通信のブロック・アラート・暗号化を一元化
データ保護	機密情報と定義した情報の持ち出し・コピーを制限データの所在を自動検出不正ユーザーがいた場合は、実行キャンセルを実施
脅威防御	クラウドサービスに潜んでいるマルウェアやランサムウェアの検知・隔離データの大量ダウンロード・コピーの検知