Two palms hold four pills. In one palm — the blue pill VPN, in another — the yellow SASE, the black ZTNA, and the red PROXY.

新型コロナウイルスの感染拡大により、仕事やレジャーでリモートアクセスの需要が増えたため、オンラインセキュリティの重要性が高まりました。数多くの企業が、自社に適したさまざまな VPN(仮想プライベートネットワーク)を求めるようになったため、Web 上のセキュリティを図るためのさまざまなオプションが、ここ数年のうちに誕生しました。

この記事では、事業を守る方法を探している方にも、プライバシーのことを考えている方にも、それぞれふさわしい VPN 代替手段について考察していきます。

VPN の代わりに利用できるものとは?

VPN とは、データトラフィックをサーバー経由で再ルーティングすることにより、暗号化された通信トンネルを通して、インターネットにアクセスする技術のことを指します。クライアントにログインしてアプリを実行するだけで、ネットワーク全体をカバーするセキュリティが実現できます。VPN は個人にとっては最も優れたソリューションと言えますが、事業を守りたい場合には、もっと魅力的な他の選択肢もあるため、よく検討する必要があります。

  1. ゼロトラストネットワークアクセス(ZTNA)

ゼロトラストとは、ユーザー本人すら信頼しないことを意味します。これは、企業が運用することを前提にしたセキュリティ対策で、主に企業向けに売り出されています。VPN に代わる機能を持ち、実に偏執的なまでに疑り深いソリューションで、以下のような特長があります。

  • デフォルトでは、すべてのトラフィックをブロックします。
  • 一定のアプリへのアクセスしか、許可しません
  • 多要素認証(MFA)を採用しています。
  • ネットワーク上のすべてのアクティビティを監視します。
  • ネットワークユーザー全員に対し、セキュリティ設定に従って認証を受けるよう、絶えず要求します。
  • 最小特権の原則に基づいて動作します。デフォルトでは、ネットワーク内の何人にも、特権アクセス管理を付与しません。

簡単に言えば、ネットワーク上でひとつ先に進もうとするたびに、ほぼ毎回、認証を受ける必要があります。プログラムの側から見れば、ユーザー本人すらが脅威であり、ユーザーデバイスもセキュリティ上のリスクと見なされます。このため毎回認証を受けて、「ゼロトラスト」の点となる必要があるのです。

この方法でネットワークを保護すると、管理者はユーザーを認証し、ネットワーク内外のデバイスを監視することができます。もうひとつの利点として、ネットユーザーは(オンライン時も含め)ネットワーク外に自分の IP アドレスを曝露せずに済みます。

結論:ZTNA は、安全性の高いセキュリティソリューションのひとつであり、会社資産を手近なところで守ることができます(やり方が多少偏執的だとしても)。ハードウェア VPN からグレードアップすることが可能ですしかし ZTNA は家庭で手軽に利用できるようには、まだなっていません。ソフトウェア VPN ほど便利ではありません。

  1. セキュアアクセスサービスエッジ(SASE)

これは、SASE(読み方「サシー」)というトレンチコートを着たセキュリティソリューションの束のことを指します。複数のサービスを、クラウドベースの単一のセキュリティサービスに統合するというのが、そもそものアイディアです。

SDN + SWG + CASB + FWaaS + ZTNA = SASE

SASE の働きを理解するには、SASE というコートの下に隠れているプログラム一つひとつを見ていく必要があります。

ソフトウェア定義ネットワークSDN) – ソフトウェアによって管理されるネットワーク。

セキュア Web ゲートウェイSWG) – セキュリティ対策が施されていない(悪意のあるおそれがある)データ トラフィックがネットワークに入るのを防ぎます。

クラウドアクセスセキュリティブローカーCASB)は、サービスプロバイダーとユーザーの間に位置する「機密性の高い」ポイントであり、クラウドベースのリソースにアクセスすると、さまざまなセキュリティポリシーをトリガーします。

ポリシーには、ユーザー認証、認定、シングルサインオン、資格情報マッピング、デバイスプロファイリング、暗号化、トークン化、ロギング、アラート、マルウェアの検出・防止などがあります。

サービスとしてのファイアウォールFWaaS) – パソコン上のファイアウォールがデータトラフィックを検査しフィルタリングを行います。FWaaS は同じ概念ですが、クラウドコンピューティングをより安全にするためにクラウドに適合させたものです。

ゼロトラストネットワークアクセスZTNA) – 先に述べたように、ユーザーがアクセス許可のないものを閲覧できないようにする厳格なセキュリティ対策の一種です。

結論SASE は比較的新しいクラウドベースのセキュリティソリューションです。その設計思想は、大企業にとって扱いやすい、オールインワンのセキュリティ対策です。

ただし、まだ新しいため、トラブルシューティングが簡単に解決しないおそれがあり、内部ネットワークの管理が厄介になるリスクがあります。SASE は、他のセキュリティ対策(実装されたばかりの SD-WAN など)と重複する場合があり、パフォーマンスの問題を引き起こすおそれがあります。

  1. プロキシサーバー

VPN とプロキシを比較すると、どちらもデータのルートを変更し、IP アドレス(インターネットプロトコル)を変更するという点では、似ています。ですが、さらにプロキシについて見ていきましょう。プロキシサーバーを利用すると、Web 上のある別のサーバーが、ユーザーデバイスに成り代わります(プロキシとは「代理」の意)。

インターネットサービスプロバイダー(ISP)は、ユーザーの所在地に応じて個別の IP を付与します。ユーザーのブラウザは IP を使って、Web 上で接続するあらゆるサーバーにリクエストを送信します。

プロキシを使うと、データトラフィックは、プロキシサーバーを経由する際に、新たな IP を取得します。これにより、地理的制限を回避し、IP トラッキング(およびそれに付随する一切)を回避することができます。

さまざまなプロトコルで、さまざまな目的に用いられるプロキシが多数ありますが、この記事では特に話題のものに限って取りあげます。

結論:プロキシサーバーを利用すると、新たな IP が取得でき、これにより、より低価格の市場にアクセスしたり、Web 上の地理的制限を回避したりすることができます。

ただしプロキシは、新たな IP を付与するだけで、それ以外に何か Web またはネットワークに関するセキュリティの機能を持っているわけではありません。

  1. スマートドメインネームサーバー(DNS)

スマート DNS は、VPN と類似点があり 、DNS サーバーとプロキシサーバーの両方を使って DNS アドレスを変更します。このため DNS プロキシと呼ぶ場合もあります。

DNS システムは、コンピュータが通信に使用する言語です。DNS を使って Web サイトの名前 (www.surfshark.com など) を IP アドレスに移し替えます。

スマート DNS サービスは、トラフィックをサーバー経由でルーティングすることで、IP を変更することなく、別の DNS アドレスを付与します。また、訪問先の Web サイトは、新たに付与された DNS アドレスをまず参照するよう強制されます。このため、一般にはインターネットサービスプロバイダー(ISP)が定めている地理的制限を回避することができます。

ただし、セキュリティに関して、特別な機能があるわけではありません。ユーザーの IP が変わるわけではないため、もっと執念深いサービスプロバイダーの手に掛かれば、見抜かれてしまうおそれがあります。

結論: スマート DNS は、デバイスが VPN をサポートしていない環境で、地理的制限を回避するには、優れた選択肢です。ただし、保護機能はありません。

  1. Shadowsocks

これはプロキシサーバーに近いもので、その主な目的は、ある種の制限や検閲を潜り抜けることです(ヒント:アジアにあるグレートファイアーウォールに関連します)。このサービスは、中国のプログラマーが始めたもので、その経緯には興味深いものがあります。

Shadowsocks は完全なプロキシではなく、SOCKS5 プロキシ サーバーに接続するアプリです。ただし、プロキシ本体は、以下の3つの認証方法を組み合わせて用いる点で、他のプロキシと異なります。

  • Null 認証 – プロキシに接続する際に認証は必要ありません。 ユーザーのパスワードがノーチェックで受け入れられます。
  • ユーザー名・パスワード認証– パスワードは、指定のユーザー名と一致する場合に限り、受け入れられます。
  • GSS-API 認証 – ふたつ以上のパソコン(一例として、ユーザーデバイスとユーザーがアクセスしようとしているサーバー)が同一の認証方法を用いてユーザー ID を確認するものです。

Shadowsocks を SOCKS5 と組み合わせると、トラフィックがリモートサーバーに集中し IP アドレスが変更されてから、目的のサービスにデータが到達します。

結論:Shadowsocks はユーザーの IP を変更し、位置情報を隠すことはできるものの、トラフィックを保護する機能はありません。そのセキュリティは薄いベールのようで、ディープパケットインスペクション(DPI)ツールの手に掛かれば(だれかが使うかもしれません)簡単に破られてしまいます。

Web 上の制約を乗り越えるために個人で利用する限りでは、最適なツールかもしれませんが、事業用のネットワークを管理している場合、Shadowsocks はセキュリティの観点から良い選択肢とは言えません。

  1. SSH トンネル

SSH トンネリング、または、SSH ポートフォワーディングとは、暗号化された SSH チャンネル経由であらゆるデータ (任意のデータと呼ぶ) を転送するものです。

SSHとは何ですか? 

暗号化を使用するセキュアシェルプロトコルですシェルは、マウス、キーボード、タッチスクリーンではなくテキストを介してコマンドが発行されるプログラムです。シェルには、自分のものではないデバイスからもログインできます。これが、 SSH を用いて安全なリモート作業が行える基本理由です。

備考SSH は特定のデバイスに接続します。SSH は VPNに似ていますが、SSH が特定のデバイスに接続するのに対し、VPN はネットワークに接続します。

ポートフォワーディングとは何か?

ポートフォワーディングにより、サーバーは、インターネットからプライベート ネットワーク上のデバイスにアクセスできるようになります。インターネットからのデータがデバイスに到達すると、ポートフォワーディングにより、デバイス上の特定の入力場所、つまりポートを通じて、データがリダイレクトされます。

SSH ポートフォワーディングおよび SSH トンネリングとは何か?

これにより、セキュアシェルクライアントと同じコンピュータ上で実行されている別のクライアントアプリケーションから、暗号化されたトンネルを介してデータを転送できます。このセキュリティプロトコルは、暗号化と直接接続の機能があるため、ファイアウォールを突破するために用いることができます。

結論SSH トンネリングは、優れたセキュリティ対策であり、企業向けソフトウェア VPN の代替手段として検討するに値します。SSH チャンネルを通過するデータを暗号化します。SSH トンネリングを個人利用することも可能ですが、一定の知識が必要です。

大きな欠点はありません。強いて言えば、SSH トンネリングはクライアントを通過するデータの一部しか保護せず、サーバー全体に実装するには、豊富な経験が必要となります。

  1. Tor

オニオンルーター(Tor)は、個人のユーザーにとって優れたソリューションです。ただし、通信速度が重要な事業において、VPN の代わりに Tor を選択しようとしているなら、考え直す必要があります。

要するに Tor とは何か?

オニオンルーターとは、Tor ソフトウェア Tor サーバーのネットワークのことを指しますこのサービスは、一部、ボランティアに頼っています。

Tor の仕組み

Tor は、階層化されたプライベートサーバー(パソコンを提供するボランティア)グループを活用して、インターネット経由でインターネットトラフィックをルーティングし暗号化します。

  1. 世界中に広がるネットワーク内で、利用可能としてリストアップされているノードに接続します。
  2. データは、3つのランダムな Tor ノードを通じて集められます。これらはそれぞれ異なっており、固有の暗号化キーを持っています。

入口ノードはユーザと中継ノードを知っています。

中継ノードは入口ノードと出口ノードを知っています。

出口ノードは中継ノードと接続先を知っています。

ネットワークのアーキテクチャにより、データフローの起点と最終的な目的地を、単一のパソコンが認識することはできません。このため、ユーザーの ID と IP は安全です。

ただし、Tor にはいくつかの欠点があります。主な問題点としては、インターネットの通信速度が遅いこととと、難読化を採用していないことです。つまり、インターネットサービスプロバイダーは、ユーザーが閲覧しているコンテンツを確認できなくても、ユーザーが Tor を利用していることは確認できます。Tor の利用を違法と定めている国もあります。

結論: Tor は、その独特なインフラにより、個人で利用する限りにおいては、素晴らしいプライバシー保護ツールと言えます。しかし、その最大の資産は、ボトルネックともなります。インターネットは、だれに対しても開かれており、無料であるべきだという点に、異論を挟む挟む気はありません。ですが、とりわけ企業を経営している場合には、ネット上のセキュリティを図るにあたり、より手軽で迅速な方法があることも、申し添えたいと存じます。

むすび

ハードウェア VPN を利用していて、セキュリティを確保しつつ事業を拡大しようとすると、手間や困難さが指数関数的に増大することになります。企業にとって、従来型の VPN に代わる優れた代替手段は SASE サービスです。ネットワークの安全がすでに図られており、微修正だけが必要な場合は、ZTNA をお試しください。

セキュリティ管理者の好みにもよります。ネットワークを細かく管理するほうがお好みでしょうか?あるいは、管理技術がそこまで洗練されておらず、もっと単純なソリューションをお求めかもしれません。

ハードウェア VPN の問題の多くは、その後継技術であるソフトウェア VPN によって解決されていますので、その点にもご留意ください。VPN 接続は、ご家庭でプライベートにご利用になる場合も、事業に運用する場合も、最も優れた選択肢と言えます。拡張が容易で、実装手順も単純で、RAM ベースのサーバー、暗号化、難読化技術の採用により、セキュリティが確保されます。

ソフトウェア VPN で安全なリモートワークが可能に(レジャー目的の利用も)

Surfsharkを入手する

よくある質問

VPN より安全なものどれか?

Tor は、その強力なインフラを背景に、個人ユーザーにとっては十分なプライバシー保護機能を有するとされています。通信の安全を図るために、よく利用されており、ダークウェブへのアクセスにも使えます。にもかかわらず、このサービスが問題の原因になることもあります。例えば難読化を採用していないため、Tor を利用しているという事実を秘匿することはできません。

特に、事業を経営されている方には、VPN から Tor に移行することはお勧めいたしかねます。信頼性に関わるほど通信速度が遅く、ネットワーク管理も不十分だからです。

Tor は VPN より優れているか?

それは、だれが利用するか、また、何のために必要かによって異なります。Tor VPN の比較概要 – 速度を気にせず、機密性の高いデータをやり取りする必要がある場合は Tor が最適です。日常的なネット閲覧で、プライバシーを守りたい場合、VPN は信頼性が高く、通信速度と利便性のバランスが取れています。

VPN はプロキシより安全か?

はい、VPN は新たな IP を付与するだけでなく、データ トラフィックを暗号化して難読化することができます。プロキシは、トラフィックを再ルーティングすることで IP を変更するだけなので、地理的制限を回避するのには最適です。