ネットワーク経由の不正アクセス・ランサムウェア感染の件数が急激に増加したことを契機に、リモートアクセス手段のセキュリティ性を高める動きが活発になっています。実際、VPNの限界が明らかになり、「脱VPN」「ゼロトラスト」を意識する機会が増えた方も多いかと思います。今回は、そのゼロトラストを支えるZTNAの一種であるIAP(Identity-Aware Proxy、アイデンティティ認識型プロキシ)について、VPNとの比較を通じて、ご説明します。
ZTNAの詳細はこちらの記事をご覧ください。
「ZTNA(ゼロトラストネットワークアクセス)とは?」
目次
IAP(Identity-Aware Proxy)とは
IAP(Identity-Aware Proxyの略、日本語:アイデンティティ認識型プロキシ、以下IAP)は、ユーザーとアプリケーションの間で通信を仲介するプロキシの一つです。「アイデンティティ認識型」と呼ばれているのは、ユーザーがアプリケーションにアクセスする度、IDaaSやMicrosoft Entra ID(旧AzureAD)などの認証基盤と連携し、認可を逐一実施しているからです。認可を逐一確認する仕組みは、ゼロトラストの基本原則にも記載されており、非常に重要な部分になります。
ゼロトラストの詳細はこちらの記事をご覧ください。
「ゼロトラストモデルとは」
IAPの主な機能
多くのIAPは以下の3機能を提供しています。これらの機能は下記図のようにIAPを構成します。
1.コネクター
IAPとオンプレミスアプリケーションの通信を中継するサーバのことです。オンプレミス環境に設置します。通信経路はIAP側で暗号化がされており、安全なネットワーク環境を構築しています。
2.エージェント
基本的にWebアプリを使用する場合、端末にエージェントは必要ありません。しかし、エージェントを導入することで、Webアプリ以外のアプリケーションにも、IAP経由でアクセスできるようになる製品もあります。
3.認証基盤(IAM)連携
IAP自身には、認証・認可機能がありません。そこで別途、Azure ADやIDaaSなどの認証基盤を用意し、IAM連携で認証・認可を実施します。IAPによっては、ユーザの所属部署・役職といった属性や日時、場所や端末の状態を判別し、アクセス制限を行える製品もあります。
IAP導入によるメリット
以上の機能で、オンプレミス環境にある社内システムに、社外インターネット経由でもアクセスできるようになる製品です。この点はもちろんメリットですが、それ以外にも以下の2つのメリットがあります。
セキュリティの強化
IAPを導入すると、常に認証・認可を行う形式になります。これにより、なりすましや不正アクセスのリスクを抑えることができます。また、クラウドサービスでの提供になるので、運用はベンダーに任せることができ、リソースの有効活用にもつながります。
スケーラビリティに優れている
クラウドサービスでの提供になるため、ユーザー数増加などの影響は低いと言えるでしょう。また、ユーザー目線でも使用感は導入前と変わりないため、ユーザビリティも良いと言えます。
IAPが注目を浴びている背景
従来のVPNを使用したリモートアクセスに課題があるため、IAPが注目を浴びています。そこで、VPNによるリモートアクセスとその限界について説明します。
VPNの概要
VPN(Virtual Private Networkの略)は、インターネット上や通信事業者が所持する閉域網などに、専用回線を仮想的に設置することで、安全な通信を可能にする技術のことを指します。1990年代から広まり始めた技術で、現在でも広く使用されています。
VPNについての詳細はこちらの記事をご覧ください。
「VPNとは?〜概要や仕組み、メリットなどをわかりやすく解説〜」
VPNの限界
古くからある技術なので、現在のテレワークやリモートアクセスを円滑に行えるものではありません。大きく4つの課題があるため、VPNを使用し続けることには限界があります。4つの課題について、それぞれ見ていきましょう。
1.セキュリティ
通信の安全性は担保されていますが、VPNのID情報が漏洩すると、簡単にアクセスできるようになります。直近でも、VPNのログイン情報漏洩は多数存在します。VPNはログインできると、権限等関係なく、全ての社内システムにアクセス可能なので、脆弱性が高まっています。直近では、VPN経由でランサムウェアに感染するケースが増えており、早急に対策する必要があります。
VPNのセキュリティに関する詳細はこちらの記事をご覧ください。
「ランサムウェアとは?VPNからの感染を防ぐ方法も解説」
2.運用
VPNはオンプレミスで構築されているので、運用負担が大きいです。VPN機器やファイアウォールの設定などは常に自社で監視する必要があります。また、VPNを利用する場合、通信量が大きくなりすぎると、回線速度が低下し、ユーザビリティを損なう可能性もあります。
VPNの通信速度が遅く、気になる方はこちらの記事をご覧ください。
「VPNが遅い原因とは?その対策などもご紹介!」
3.スケーラビリティ
VPNを拡張する際、VPN機器などをハードウェアで用意する必要があるため、スケーラビリティは非常に低いです。ユーザーが増えたり、通信量が増えたりすると、ユーザビリティが下がるため、VPN回線を強化する必要があります。
4.コスト
スケーラビリティが低い影響で、ユーザー数・通信量の増加による新たなコストが発生しがちです。また、前述の通り、セキュリティ面の不安が大きいため、コストパフォーマンスは低いです。
IAPとVPNを比較
IAPとVPNのリモートアクセス機能の比較、相違点についてそれぞれ見ていきましょう。
DaaSも含めたリモートアクセスサービスの比較はこちらをご覧ください。
リモートアクセスサービス比較【VPN・DaaS・ZTNA】
リモートアクセス機能の比較
前述の4項目でIAPとVPNを比較すると、以下の表になります。
IAP | VPN | |
---|---|---|
セキュリティ | ◎ | △ |
運用 | ○ | △ |
スケーラビリティ | ○ | × |
コスト | ○ | △ |
IAPとVPNの相違点
相違点は大きく2つあります。それぞれ見ていきましょう。
1.IAP・VPNが防御するもの
VPNは社内ネットワーク全体を制御するもの(境界防御の考え方)ですが、IAPはアプリケーションを防御するものになります。なぜならば、常にアクセスの認証・認可を実施することで、不正なアクセス・ユーザーが侵入しないよう設計されているからです。そのため、もし攻撃を受けた場合も、他のアプリケーションは普段通り使用できるようになります。この点はVPNと大きく異なる点です。
2.自社での設定
VPNは外部からアクセスできるように、ファイアウォールの設定を変更する必要があります。その一方で、IAPはそのような設定は必要ありません。IAPのコネクターから、外部のインターネットまでアクセスできるようになっています。そのため、自社での設定は少なく、導入もVPNより簡単と言えます。
KeygatewayC1パンフレットをダウンロードする
まとめ
本記事では、IAP(アイデンティティ認識型プロキシ)について、VPNと比較しつつ、説明してきました。現在では、VPNよりも導入・運用・ユーザビリティなどあらゆる面で優れた機能を持っており、不正アクセスやサイバー攻撃のリスクを抑える製品として、有用性が非常に高くなっています。
かもめエンジニアリングでは、IAPの機能を持つゼロトラスト接続サービスKeygatewayC1を提供しております。アクセス制限やファイルサーバへのアクセスにも対応し、利便性の高い製品となっております。また、VPNからのリプレースの実績もありますので、ご相談がある方は下記フォームよりお問い合わせください。
事業・商品・サービスに関するお問い合わせ
製品に関するお問い合わせはこちら
※フリーメールでのお問い合わせは受け付けておりません。