【技術者向け】ゼロトラストでランサムウェアを防ぐ|VPN廃止とZTNA導入ガイド
警察庁の統計によると、ランサムウェアの感染経路の約50%以上がVPN機器経由とされています。従来のVPNは「境界の内側は安全」という前提に基づいており、一度侵入されると組織内ネットワーク全体に横展開されるリスクがあります。
ゼロトラストは「何も信頼しない」という原則に基づき、すべてのアクセスを継続的に検証することで、この構造的な問題を解決するアプローチです。本記事では、VPNの構造的な問題点、ゼロトラストアーキテクチャの基本設計、ZTNA導入の具体的な手順、導入コストの目安までを技術者向けに解説します。
感染経路の詳細についてはランサムウェアの感染経路7選もあわせてご確認ください。
なぜVPNがランサムウェアの侵入口になるのか
VPNはリモートアクセスの標準的な手段として広く使われてきましたが、その設計思想自体がランサムウェア攻撃に対して脆弱性を持っています。
VPNの構造的な問題
従来型VPNの「城と堀」モデルは、現代の脅威に対して根本的な限界があります。
- 境界防御モデルの限界
- VPNは「ネットワークの境界を守れば内部は安全」という前提に基づいています。しかし、この境界が突破されると、攻撃者は内部ネットワーク全体にアクセスできてしまいます。これは現代の攻撃手法に対して致命的な弱点です。
- 「内部は安全」という前提の崩壊
- VPN接続後は、ユーザーはあたかも社内にいるかのように内部リソースにアクセスできます。正規ユーザーのVPN認証情報が窃取された場合、攻撃者も同様のアクセス権を得ることになります。
- 一度侵入されると横展開が容易
- VPNを経由して内部ネットワークに侵入した攻撃者は、内部の横展開(ラテラルムーブメント)を行いやすい環境にあります。内部通信は境界のセキュリティ製品を通過しないため、検知されにくいという問題があります。
VPN機器の脆弱性リスク
VPN機器自体が攻撃の標的となり、重大な脆弱性が頻繁に発見されています。
- 過去の重大脆弱性事例
- Fortinet、Pulse Secure、Citrix等の主要VPN製品で、認証バイパスやリモートコード実行を可能にする重大な脆弱性が相次いで発見されています。これらの脆弱性は、ランサムウェアグループによって積極的に悪用されています。
- パッチ適用の遅れが致命的に
- VPN機器は業務に直結するインフラであるため、パッチ適用のための停止が困難なケースがあります。この結果、既知の脆弱性が長期間放置され、攻撃者の格好の標的となっています。
- 攻撃者の集中攻撃対象
- VPN機器はインターネットに公開されている必要があり、攻撃者から容易に発見されます。脆弱性スキャンやブルートフォース攻撃の対象となり、不正アクセスの入口として狙われています。
テレワーク普及による攻撃面の拡大
新型コロナウイルス感染症対策をきっかけとしたテレワークの普及により、VPNのリスクはさらに増大しています。
- VPN利用者の急増
- テレワーク対応のためにVPNを急遽導入・拡張した組織が多く、適切なセキュリティ設計がなされていないケースがあります。利用者数の増加に伴い、攻撃対象となるアカウントも増加しています。
- 管理されていない端末からのアクセス
- 私用PCやBYOD端末からのVPN接続により、マルウェア感染した端末が社内ネットワークに接続されるリスクが高まっています。
VPNからの侵入パターン
| 攻撃パターン | 攻撃手法 | ゼロトラストでの対策 |
|---|---|---|
| 脆弱性悪用 | VPN機器の既知脆弱性を悪用 | VPN廃止、ZTNA導入 |
| 認証情報窃取 | フィッシング、ダークウェブで購入 | 継続的認証、MFA必須化 |
| ブルートフォース | パスワード総当たり攻撃 | リスクベース認証、アクセス制限 |
| 横展開 | 内部ネットワークでの移動 | マイクロセグメンテーション |
| 権限昇格 | ドメイン管理者権限の取得 | 最小権限、PAM |
ゼロトラストアーキテクチャの基本設計
ゼロトラストは、VPNの構造的な問題を解決するための新しいセキュリティアーキテクチャです。
ゼロトラストの原則
ゼロトラストの根幹となる3つの原則を理解することが、適切な導入の第一歩です。
- Never Trust, Always Verify(信頼せず、常に検証)
- ネットワークの場所(社内・社外)に関わらず、すべてのアクセスリクエストを検証します。VPNのように「接続すれば信頼される」という前提を排除し、リクエストごとに認証・認可を行います。
- Least Privilege(最小権限)
- ユーザーやデバイスには、業務に必要な最小限のアクセス権限のみを付与します。これにより、認証情報が窃取された場合でも、被害範囲を限定できます。
- Assume Breach(侵害を前提)
- すでに内部に攻撃者が侵入している可能性を前提として設計します。この前提に立つことで、検知・対応の体制を強化し、被害の拡大を防ぐことができます。
NIST SP 800-207に基づく設計
米国国立標準技術研究所(NIST)が発行したSP 800-207は、ゼロトラストアーキテクチャの標準的なガイドラインです。
- ゼロトラストの7つの基本原則
- NIST SP 800-207では以下を原則として定義しています。すべてのデータソースとコンピューティングサービスをリソースと見なす、ネットワークの場所に関係なくすべての通信を保護する、企業リソースへのアクセスはセッションごとに許可する、リソースへのアクセスは動的ポリシーで決定する、すべての所有・関連デバイスのセキュリティ状態を監視する、リソース認証・認可は動的かつ厳格に実施する、ネットワーク・通信の現状を可能な限り収集する。
- コアコンポーネント
- Policy Engine(PE)はアクセス許可の判断を行う中核コンポーネント、Policy Administrator(PA)はPEの判断に基づきアクセスを制御、Policy Enforcement Point(PEP)は実際のアクセス制御を実施する執行ポイントです。これらのコンポーネントが連携してゼロトラストを実現します。
ランサムウェア対策としてのゼロトラスト
ゼロトラストの各原則は、ランサムウェア攻撃の各フェーズに対して効果的な防御を提供します。
- 侵入防止:認証・認可の厳格化
- VPN機器の脆弱性を悪用した侵入は、ZTNA導入により根本的に解消されます。継続的な認証とリスクベースのアクセス制御により、フィッシング詐欺で窃取された認証情報の悪用も困難になります。
- 横展開防止:マイクロセグメンテーション
- 万が一侵入を許した場合でも、マイクロセグメンテーションにより横展開を阻止できます。ランサムウェアが組織全体に拡散することを防ぎ、被害を局所化できます。
- 被害最小化:最小権限の原則
- ユーザーやデバイスには必要最小限の権限のみを付与するため、1つの認証情報が侵害されても、アクセスできるリソースは限定されます。特に重要なのは特権アカウントの保護です。詳細はActive Directoryをランサムウェアから守るをご参照ください。
ZTNA(Zero Trust Network Access)の導入手順
ZTNA(Zero Trust Network Access)は、ゼロトラストの原則に基づいたネットワークアクセス制御を実現するソリューションです。
ZTNAとVPNの違い
| 比較項目 | ZTNA | VPN |
|---|---|---|
| 接続モデル | アプリケーション単位の接続 | ネットワーク全体への接続 |
| 認証 | 継続的な認証・検証 | 接続時のみ認証 |
| アクセス制御 | アプリケーションレベルで制御 | ネットワークレベルで制御 |
| 可視性 | ユーザー・アプリケーション単位で可視化 | IPアドレス・ポートレベル |
| 拡張性 | クラウドネイティブで柔軟に拡張 | 機器増設が必要 |
| 攻撃面 | 最小化(アプリごとの接続) | 広い(ネットワーク全体) |
ZTNA導入のステップ
ZTNA導入は段階的に進めることが重要です。以下のステップに沿って計画を立てることを推奨します。
- Step 1:現状アセスメント
- 保護対象のアプリケーション、ユーザー、データフローの棚卸しを行います。現在のVPN利用状況、アクセスパターン、依存関係を把握し、移行の優先順位を決定します。この段階で既存環境の脆弱性評価も実施することを推奨します。
- Step 2:ポリシー設計
- 「誰が」「どのアプリケーションに」「どの条件で」アクセスできるかを定義します。ユーザーの役割、デバイスの状態、アクセス元の場所、時間帯などを考慮した条件付きアクセスポリシーを設計します。
- Step 3:ID基盤の整備
- ZTNA導入の前提として、ID基盤(IdP:Identity Provider)の整備が必要です。Azure AD、Okta、Ping Identity等のIdPとの連携を設定し、多要素認証(MFA)を必須化します。多要素認証バイパスのリスクを考慮し、FIDO2やパスキー等のフィッシング耐性MFAの導入も検討してください。
- Step 4:パイロット導入
- 限定的な範囲(特定のアプリケーション、特定のユーザーグループ)からZTNAを導入します。VPNと並行運用しながら、問題点を洗い出し、ポリシーを調整します。
- Step 5:段階的展開
- パイロットでの成果を踏まえ、対象アプリケーションとユーザーを段階的に拡大します。優先度の高いアプリケーションから順次移行し、VPNへの依存を徐々に減らしていきます。
- Step 6:VPN廃止
- すべてのアプリケーションがZTNA経由でアクセス可能になった段階で、VPNの廃止を検討します。ただし、一部のレガシーシステム等でVPNが必要な場合もあるため、完全廃止が困難なケースもあります。
主要ZTNAソリューション
- クラウド型ZTNA
- Zscaler Private Access、Cloudflare Access、Palo Alto Prisma Access、Netskope Private Access等が代表的な製品です。クラウドサービスとして提供されるため、インフラ構築・運用の負荷が低く、グローバルなエッジネットワークを活用した高速なアクセスが可能です。
- オンプレミス型ZTNA
- 既存のネットワーク機器ベンダーが提供するZTNA機能や、ソフトウェアアプライアンス型の製品があります。クラウドへのデータ送信に抵抗がある組織や、オンプレミス環境を維持したい組織に適しています。
- 選定時の考慮点
- 対応アプリケーションの種類(Webアプリ、TCP/UDPアプリ、レガシーアプリ)、既存IdPとの連携、エンドポイントエージェントの要否、価格体系(ユーザー数課金、帯域課金等)などを総合的に評価します。
マイクロセグメンテーションの実装
マイクロセグメンテーションは、ネットワークを細かく分離し、ランサムウェアの横展開を防ぐための重要な技術です。
マイクロセグメンテーションとは
- 従来のネットワークセグメンテーションとの違い
- 従来のセグメンテーションはVLANやサブネット単位でネットワークを分離していました。マイクロセグメンテーションは、ワークロード(仮想マシン、コンテナ、アプリケーション)単位で細かくセグメントを定義し、より精緻なアクセス制御を実現します。
- ワークロード単位での分離
- 同じサブネット内のサーバー間通信も含めて制御できるため、「セグメント内は自由に通信可能」という従来の弱点を解消します。攻撃者がセグメント内に侵入しても、他のワークロードへのアクセスは制限されます。
- ランサムウェアの横展開防止効果
- ランサムウェアは感染後に内部ネットワークを横展開し、より多くのシステムを暗号化しようとします。マイクロセグメンテーションにより、この横展開を阻止し、被害を最小限に抑えることができます。
実装アプローチ
- ネットワークベース(SDN、ファイアウォール)
- SDN(Software-Defined Networking)やファイアウォールのマイクロセグメンテーション機能を活用します。VMware NSX、Cisco ACI等が代表的です。仮想化環境と親和性が高く、既存のネットワークインフラを活用できます。
- ホストベース(エージェント型)
- 各サーバー・端末にエージェントをインストールし、ホストファイアウォールレベルで制御します。Illumio、Guardicore等が代表的です。物理環境・クラウド環境を問わず適用でき、きめ細かな制御が可能です。
- アプリケーションベース(サービスメッシュ)
- Kubernetes環境等では、Istio、Linkerd等のサービスメッシュを活用してマイクロセグメンテーションを実現します。コンテナ環境でのアプリケーション間通信を制御できます。
実装時の考慮点
- トラフィックの可視化が前提
- マイクロセグメンテーションを適切に設計するためには、まず現状のトラフィックフローを可視化する必要があります。どのワークロードがどのワークロードと通信しているかを把握し、許可すべき通信を特定します。
- 段階的な適用
- いきなり厳格なセグメンテーションを適用すると、業務に必要な通信がブロックされるリスクがあります。まず可視化モード(ログのみ取得)で運用し、通信パターンを把握してからポリシーを適用することを推奨します。
- 業務影響の最小化
- セグメンテーションポリシーの変更は、事前に業務部門と調整し、テスト環境での検証を経てから本番適用します。ロールバック手順も事前に準備しておくことが重要です。
ID管理とアクセス制御の強化
ゼロトラストにおいて、IDは新たなセキュリティ境界として中心的な役割を果たします。
IDを中心としたセキュリティ
- IDが新たな境界(Identity is the new perimeter)
- 従来のネットワーク境界に代わり、IDがセキュリティの中心となります。すべてのアクセスはIDを起点として認証・認可され、ネットワークの場所に関係なく一貫したセキュリティポリシーが適用されます。
- IAM(Identity and Access Management)の重要性
- ユーザーID、デバイスID、サービスアカウントを統合的に管理し、ライフサイクル全体(作成・変更・削除)を適切に管理することが重要です。退職者アカウントの放置や、不要な権限の蓄積は重大なリスクとなります。
多要素認証(MFA)の導入
- フィッシング耐性MFAの推奨
- 従来のSMS認証やワンタイムパスワード(OTP)は、フィッシング詐欺によって突破されるケースが増えています。FIDO2、パスキー、ハードウェアセキュリティキー等のフィッシング耐性MFAの導入を強く推奨します。
- 条件付きアクセス(リスクベース認証)
- ユーザーの行動パターン、デバイスの状態、アクセス元の場所、時間帯などを分析し、リスクに応じて認証要件を動的に変更します。通常と異なるアクセスパターンが検出された場合は、追加の認証を要求します。
特権アクセス管理(PAM)
- 特権アカウントの保護
- ドメイン管理者、システム管理者等の特権アカウントは、ランサムウェア攻撃において最も狙われる標的です。これらのアカウントを専用の特権アクセス管理(PAM)ソリューションで保護します。
- Just-In-Time(JIT)アクセス
- 特権は常時付与するのではなく、必要な時に必要な期間だけ付与する「Just-In-Time」アプローチを採用します。これにより、常時特権を持つアカウント数を最小化できます。
アクセス制御の原則
- 最小権限の原則の徹底
- ユーザーには業務に必要な最小限の権限のみを付与します。定期的な権限棚卸しにより、不要になった権限を削除することも重要です。
- ロールベースアクセス制御(RBAC)
- 役職や職務に基づいてロールを定義し、ロール単位でアクセス権限を管理します。個人単位での権限管理と比較して、管理の効率化と一貫性の確保が可能です。
- 属性ベースアクセス制御(ABAC)
- ユーザーの属性、リソースの属性、環境の属性(時間、場所等)を組み合わせて、より柔軟なアクセス制御を実現します。RBACを補完する形で活用されます。
導入コストと期間の目安
ゼロトラスト導入を検討する際、コストと期間の見積もりは重要な判断材料となります。
導入コストの構成要素
- ZTNAソリューションライセンス
- クラウド型ZTNAの場合、ユーザー数または帯域に応じた月額/年額のサブスクリプション費用が発生します。製品・ベンダーによって価格体系は大きく異なります。
- ID基盤の整備(IdP、MFA)
- IdPの導入・アップグレード費用、MFAトークン/デバイスの費用が含まれます。既存のMicrosoft 365やGoogle Workspaceを活用できる場合は、追加コストを抑えられる可能性があります。
- 既存システムの改修
- レガシーアプリケーションのZTNA対応や、認証方式の変更に伴う改修費用が発生する場合があります。アプリケーションの種類と数によって大きく変動します。
- 導入・移行コンサルティング
- 現状アセスメント、設計、移行計画策定、導入支援などのプロフェッショナルサービス費用です。社内にノウハウがない場合は、外部の専門家の支援を受けることを推奨します。
- 運用コスト
- 導入後の運用・保守費用、ポリシー変更・チューニングの工数、ユーザーサポートなどの継続的なコストも考慮が必要です。
企業規模別の目安
| 項目 | 従業員100名規模 | 従業員500名規模 | 従業員1,000名以上 |
|---|---|---|---|
| ZTNAライセンス(年額目安) | 数百万円〜 | 1,000万円〜 | 数千万円〜 |
| ID基盤整備 | 〜500万円 | 500〜1,500万円 | 1,500万円〜 |
| 導入コンサルティング | 〜300万円 | 300〜800万円 | 800万円〜 |
| 導入期間 | 3〜6ヶ月 | 6〜12ヶ月 | 12ヶ月〜 |
※上記は目安であり、既存環境、アプリケーション数、要件により大きく変動します。
ROI(投資対効果)の考え方
- VPNの脆弱性対応コスト削減
- VPN機器の脆弱性対応(パッチ適用、緊急対応)に要していたコストを削減できます。クラウド型ZTNAでは、脆弱性対応はベンダー側で行われます。
- インシデント対応コストの軽減
- ゼロトラスト導入により、ランサムウェア被害が発生するリスクを低減できます。万が一被害が発生しても、横展開が防止されるため、被害範囲と復旧コストを抑制できます。
- 生産性向上効果
- VPNの接続手順の簡素化、アクセス速度の向上により、ユーザーの生産性が向上するケースがあります。これらの副次的な効果も含めてROIを評価することが重要です。
経営層への投資提案については経営層を説得するセキュリティ投資提案術もご参照ください。
よくある質問(FAQ)
- Q: ゼロトラストを導入すればVPNは完全に不要になりますか?
- A: 多くのケースでVPNを廃止できますが、完全に不要になるとは限りません。ZTNAはアプリケーション単位のアクセスを提供するため、IPベースのアクセスが必要なレガシーシステムや、特定のプロトコルを使用するシステムでは、VPNが必要な場合があります。また、サードパーティ接続やB2Bの接続にVPNが残るケースもあります。段階的にVPNへの依存を減らしていくアプローチが現実的です。
- Q: ゼロトラスト導入にはどのくらいの期間がかかりますか?
- A: 組織規模と複雑性により大きく異なります。中小企業(100名程度)であれば3〜6ヶ月程度、大企業では12ヶ月以上かかることもあります。重要なのは、一度にすべてを導入しようとせず、段階的に進めることです。パイロット導入で成果を出しながら、徐々に範囲を拡大していくアプローチを推奨します。
- Q: 既存のオンプレミスシステムにもゼロトラストは適用できますか?
- A: 適用可能です。ZTNAソリューションの多くは、クラウドアプリケーションだけでなく、オンプレミスシステムへのアクセス制御にも対応しています。オンプレミス環境にコネクタ(エージェント)を配置することで、ZTNA経由でのアクセスを実現できます。ただし、アプリケーションによっては対応に制限がある場合もあるため、事前の検証が重要です。
- Q: 中小企業でもゼロトラストは導入できますか?
- A: 導入可能です。近年はクラウド型ZTNAサービスが充実しており、中小企業でも導入しやすい価格帯の製品が増えています。また、Microsoft 365 E5やGoogle Workspace等のライセンスに含まれるゼロトラスト機能を活用することで、追加投資を抑えながら導入を進めることも可能です。すべてを一度に導入するのではなく、優先度の高い領域から段階的に導入することを推奨します。
- Q: ゼロトラストとSASEの違いは何ですか?
- A: ゼロトラストは「何も信頼しない」というセキュリティの考え方・原則であり、SASEはゼロトラストを実現するための統合的なアーキテクチャの一つです。SASEは、ZTNA、CASB、SWG、SD-WAN等の機能を統合したクラウドサービスとして提供されます。ゼロトラストを実現する手段としてSASEを採用する組織が増えていますが、SASEが唯一の選択肢というわけではありません。
まとめ:ゼロトラスト導入のロードマップ
ゼロトラストの導入は、一度の取り組みで完了するものではなく、継続的な改善プロセスです。
- 短期(〜6ヶ月)
- 現状アセスメント、ID基盤の整備(MFA導入)、優先度の高いアプリケーションへのZTNAパイロット導入を実施します。
- 中期(6〜18ヶ月)
- ZTNAの範囲拡大、マイクロセグメンテーションの導入、VPNの段階的廃止を進めます。
- 長期(18ヶ月〜)
- 継続的な最適化、新たなアプリケーション・ユーザーへの対応、脅威状況に応じたポリシー改善を行います。
本記事の情報が、ゼロトラスト導入検討の一助となれば幸いです。個別の導入判断については、セキュリティベンダーや専門家へのご相談をお勧めします。
関連記事
- ランサムウェアとは?仕組み・感染経路・対策を解説
- ランサムウェアの感染経路7選
- ランサムウェア対策ソフト比較
- Active Directoryをランサムウェアから守る
- クラウド環境のランサムウェア対策
- SIEMでランサムウェアを検知する
- 多要素認証バイパス対策
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
